Étape 3 : Configurer l'hébergement et le chiffrement

Cette page s'applique à Apigee, mais pas à Apigee hybrid.

Consultez la documentation d'Apigee Edge.

Procédure de cette étape

Au cours de cette étape, en fonction de votre parcours utilisateur spécifique, vous spécifiez des emplacements d'hébergement pour votre plan d'analyse ou de contrôle Apigee, vos instances d'exécution et de plan de données, et votre région de données client d'API. Vous devez également spécifier les sélections de clés de chiffrement.

La différence entre chacun des parcours utilisateur réside dans la sélection ou la création de clés de chiffrement, qu'elles soient gérées par Google ou par le client, et que la résidence des données soit activée ou non.

Certaines fonctionnalités ne sont pas disponibles lorsque la résidence des données est activée. Pour en savoir plus, consultez Compatibilité avec la résidence des données.

Si votre projet Google Cloud est soumis à une contrainte de règle d'organisation CMEK, la résidence des données est activée par défaut et le CMEK est obligatoire.

Les clés suivantes sont utilisées lors de la création de l'organisation :

Encryption key (Clé de chiffrement) Description
Clé du plan de contrôle

Chiffre les données Analytics stockées dans BigQuery, dans un projet locataire Apigee.

Chiffre les proxys d'API, les serveurs cibles, les truststores et les keystores, ainsi que tout autre élément partagé entre les environnements d'exécution.

Clé de données client de l'API Chiffre les données d'infrastructure du service. Il doit s'agir d'une région située dans l'emplacement du plan de contrôle.
Clé de base de données d'exécution Chiffre les données d'application telles que les KVM, le cache et les codes secrets du client, qui sont ensuite stockés dans la base de données.

La clé suivante est utilisée lors de la création de chaque instance :

Encryption key (Clé de chiffrement) Description
Clé de disque d'exécution Chiffre les KVM, le cache de l'environnement, les buckets de quota et des compteurs.

Chiffre les produits d'API des données KMS, les développeurs, les applications de développeur, les jetons OAuth (y compris les jetons d'accès, les jetons d'actualisation et les codes d'autorisation), et les clés API.

Réaliser cette étape

Pour afficher les étapes de votre parcours utilisateur spécifique, sélectionnez l'un des parcours suivants. Ils sont répertoriés par ordre de complexité, le plus simple étant le parcours utilisateur A.

Afficher le diagramme du parcours utilisateur


Le schéma suivant illustre les parcours utilisateur possibles pour configurer l'hébergement et le chiffrement d'une organisation facturée à l'usage à l'aide de la console Cloud.

Les parcours utilisateur sont notés de A à F et sont classés du plus simple au plus complexe, A étant le plus simple et F le plus complexe.

Flux de provisionnement payant
Parcours utilisateur Description
icône A Parcours utilisateur A : chiffrement géré par Google, aucune résidence des données

Sélectionnez cette option dans les cas suivants :

Icône B. Parcours utilisateur B : chiffrement géré par Google et résidence des données

Sélectionnez cette option dans les cas suivants :

Icône C Parcours utilisateur C : chiffrement géré par le client, pas de résidence des données

Sélectionnez cette option dans les cas suivants :

  • Vous souhaitez gérer vos propres clés de chiffrement.
  • Il n'est pas nécessaire de stocker le contenu et le traitement principaux dans la même région géographique
  • Votre projet Google Cloud ne comporte pas de contrainte de règle d'organisation CMEK
icône D Parcours utilisateur D : chiffrement géré par le client et résidence des données

Sélectionnez cette option dans les cas suivants :

  • Vous souhaitez gérer vos propres clés de chiffrement.
  • Vous souhaitez stocker le contenu et le traitement principaux dans la même région géographique
  • Votre projet Google Cloud est soumis à une contrainte de règle d'administration CMEK

Parcours utilisateur A : chiffrement géré par Google, pas de résidence des données

À l'étape 3, la console affiche une liste des options de configuration de l'hébergement et du chiffrement, ainsi que leurs valeurs par défaut. Vous pouvez accepter la configuration par défaut ou cliquer sur Modifier pour ouvrir le panneau Hébergement et clés de chiffrement.

  1. Dans la section Type de chiffrement, sélectionnez Clé de chiffrement gérée par Google Il s'agit d'une clé de chiffrement côté serveur gérée par Google et utilisée pour chiffrer vos instances et données Apigee avant qu'elles ne soient écrites sur le disque.
  2. Cliquez sur Suivant.
  3. Dans la section Plan de contrôle :
    1. Décochez la case Activer la résidence des données.
    2. Dans la liste déroulante Région Analytics, sélectionnez l'emplacement physique dans lequel vous souhaitez stocker vos données d'analyse. Pour obtenir la liste des régions Apigee API Analytics disponibles, consultez la page Emplacements Apigee.

    3. Cliquez sur Confirmer.
  4. Dans la section Environnement d'exécution :
    1. Dans la liste déroulante Région d'hébergement de l'environnement d'exécution, sélectionnez la région dans laquelle vous souhaitez héberger votre instance.
    2. Sous Clé de chiffrement de base de données d'exécution, le type de chiffrement est défini sur Géré par Google.
    3. Sous Clé de chiffrement du disque d'exécution, le type de chiffrement est défini sur Géré par Google.
    4. Cliquez sur Confirmer.
    5. Cliquez sur OK.
  5. Cliquez sur Suivant.

Passez à l'étape suivante, Étape 4 : Personnaliser le routage d'accès.

Parcours utilisateur B : chiffrement géré par Google, avec résidence des données

À l'étape 3, la console affiche une liste des options de configuration de l'hébergement et du chiffrement, ainsi que leurs valeurs par défaut. Vous pouvez accepter la configuration par défaut ou cliquer sur Modifier pour ouvrir le panneau Hébergement et clés de chiffrement.

  1. Dans la section Type de chiffrement, sélectionnez Clé de chiffrement gérée par Google Il s'agit d'une clé de chiffrement côté serveur gérée par Google et utilisée pour chiffrer vos instances et données Apigee avant qu'elles ne soient écrites sur le disque.
  2. Cliquez sur Suivant.
  3. Dans la section Plan de contrôle :
    1. Cochez la case Activer la résidence des données.
    2. Dans la liste déroulante Juridiction d'hébergement du plan de contrôle qui s'affiche, sélectionnez l'emplacement physique où vous souhaitez stocker vos données.

    3. Sous Clé de chiffrement du plan de contrôle, le type de chiffrement est défini sur Géré par Google.
  4. Dans la section Région des données client de l'API :
    1. Dans la liste déroulante Région des données client de l'API, sélectionnez l'emplacement physique dans lequel vous souhaitez stocker vos données. Pour obtenir la liste des régions de données client disponibles, consultez la section Emplacements Apigee.
    2. Sous Clé de chiffrement des données client de l'API, le type de chiffrement est défini sur Géré par Google.
    3. Cliquez sur Confirmer.
  5. Dans la section Environnement d'exécution :
    1. Dans la liste déroulante Région d'hébergement de l'environnement d'exécution, sélectionnez la région dans laquelle vous souhaitez héberger votre instance. Pour obtenir la liste des régions d'exécution disponibles, consultez la section Emplacements Apigee. Lorsque vous utilisez la résidence des données, l'emplacement d'exécution doit se trouver dans la région du plan de contrôle.
    2. Sous Clé de chiffrement de base de données d'exécution, le type de chiffrement est défini sur Géré par Google.
    3. Sous Clé de chiffrement du disque d'exécution, le type de chiffrement est défini sur Géré par Google.
    4. Cliquez sur Confirmer.
    5. Cliquez sur OK.
  6. Cliquez sur Suivant.

Passez à l'étape suivante, Étape 4 : Personnaliser le routage d'accès.

Parcours utilisateur C : chiffrement géré par le client, pas de résidence des données

À l'étape 3, la console affiche une liste des options de configuration de l'hébergement et du chiffrement, ainsi que leurs valeurs par défaut. Vous pouvez accepter la configuration par défaut ou cliquer sur Modifier pour ouvrir le panneau Hébergement et clés de chiffrement.

  1. Dans la section Type de chiffrement, sélectionnez Clé de chiffrement gérée par le client (CMEK). Il s'agit d'une clé de chiffrement côté serveur gérée par l'utilisateur pour chiffrer vos instances Apigee et vos données avant qu'elles ne soient écrites sur le disque.
  2. Cliquez sur Suivant.
  3. Dans la section Plan de contrôle :
    1. Décochez la case Activer la résidence des données.
    2. Dans la liste déroulante Région Analytics, sélectionnez l'emplacement physique dans lequel vous souhaitez stocker vos données d'analyse. Pour obtenir la liste des régions Apigee API Analytics disponibles, consultez la page Emplacements Apigee.

    3. Cliquez sur Confirmer.
  4. Dans la section Environnement d'exécution :
    1. Dans la liste déroulante Région d'hébergement de l'environnement d'exécution, sélectionnez la région dans laquelle vous souhaitez héberger votre instance.
    2. Dans la liste déroulante Clé de chiffrement de base de données d'exécution, sélectionnez ou créez une clé pour les données stockées et répliquées sur plusieurs emplacements d'exécution.
    3. Cliquez sur Accorder si une telle invite s'affiche.
    4. Dans la liste déroulante Clé de chiffrement du disque d'exécution, sélectionnez ou créez une clé pour les données de l'instance d'exécution avant qu'elles ne soient écrites sur le disque. Chaque instance possède sa propre clé de chiffrement pour le disque.
    5. Cliquez sur Accorder si une telle invite s'affiche.
    6. Cliquez sur Confirmer.
    7. Cliquez sur OK.
  5. Cliquez sur Suivant.

Passez à l'étape suivante, Étape 4 : Personnaliser le routage d'accès.

Parcours utilisateur D : chiffrement géré par le client et résidence des données

À l'étape 3, la console affiche une liste des options de configuration de l'hébergement et du chiffrement, ainsi que leurs valeurs par défaut. Vous pouvez accepter la configuration par défaut ou cliquer sur Modifier pour ouvrir le panneau Hébergement et clés de chiffrement.

  1. Dans la section Type de chiffrement, sélectionnez Clé de chiffrement gérée par le client (CMEK). Il s'agit d'une clé de chiffrement côté serveur gérée par l'utilisateur pour chiffrer vos instances Apigee et vos données avant qu'elles ne soient écrites sur le disque.
  2. Cliquez sur Suivant.
  3. Dans la section Plan de contrôle :
    1. Cochez la case Activer la résidence des données.
    2. Dans la liste déroulante Juridiction d'hébergement du plan de contrôle qui s'affiche, sélectionnez l'emplacement physique où vous souhaitez stocker vos données.

    3. Dans la liste déroulante Clé de chiffrement du plan de contrôle, sélectionnez ou créez une clé pour les données stockées et répliquées sur plusieurs emplacements d'exécution.
    4. Cliquez sur Accorder si une telle invite s'affiche.
  4. Dans la section Région des données client de l'API :
    1. Dans la liste déroulante Région des données client de l'API, sélectionnez l'emplacement physique dans lequel vous souhaitez stocker vos données. Pour obtenir la liste des régions de données client disponibles, consultez la section Emplacements Apigee.
    2. Dans la liste déroulante Clé de chiffrement des données client de l'API, sélectionnez ou créez une clé pour les données stockées pour le plan de contrôle.
    3. Cliquez sur Accorder si une telle invite s'affiche.
    4. Cliquez sur Confirmer.
  5. Dans la section Environnement d'exécution :
    1. Dans la liste déroulante Région d'hébergement de l'environnement d'exécution, sélectionnez la région dans laquelle vous souhaitez héberger votre instance. Lorsque vous utilisez la résidence des données, l'emplacement d'exécution doit se trouver dans la région du plan de contrôle.
    2. Dans la liste déroulante Clé de chiffrement de base de données d'exécution, sélectionnez ou créez une clé pour les données stockées et répliquées sur plusieurs emplacements d'exécution.
    3. Cliquez sur Accorder si une telle invite s'affiche.
    4. Dans la liste déroulante Clé de chiffrement du disque d'exécution, sélectionnez ou créez une clé pour les données de l'instance d'exécution avant qu'elles ne soient écrites sur le disque. Chaque instance possède sa propre clé de chiffrement pour le disque.
    5. Cliquez sur Accorder si une telle invite s'affiche.
    6. Cliquez sur Confirmer.
    7. Cliquez sur OK.
  6. Cliquez sur Suivant.

Passez à l'étape suivante, Étape 4 : Personnaliser le routage d'accès.

Créer une clé

Pour créer une clé :

  1. Cliquez sur Créer une clé.
  2. Sélectionnez un trousseau de clés ou, à défaut, activez l'option Créer un trousseau de clés et saisissez un nom de trousseau de clés, puis sélectionnez l'emplacement de votre trousseau de clés. Les noms des trousseaux de clés peuvent contenir des lettres, des chiffres, des traits de soulignement (_) et des traits d'union (-). Les trousseaux de clés ne peuvent être ni renommés, ni supprimés.
  3. Cliquez sur Continuer.
  4. Créez une clé. Saisissez un nom et un niveau de protection. Notez que les noms de clé peuvent contenir des lettres, des chiffres, des traits de soulignement (_) et des tirets (-). Les clés ne peuvent être ni renommées, ni supprimées. Pour le niveau de protection, Logiciel est un bon choix. Cloud KMS utilise le même niveau de protection par défaut. Vous pouvez toutefois le modifier si vous le souhaitez.
  5. Cliquez sur Continue (Continuer) et vérifiez vos sélections.
  6. Cliquez sur Créer.