Paso 3: Configura el hosting y la encriptación

Esta página se aplica a Apigee, pero no a Apigee Hybrid.

Consulta la documentación de Apigee Edge.

Qué se hace en este paso

En este paso, según el recorrido del usuario específico, debes especificar las ubicaciones de hosting para el plano de control o las estadísticas de Apigee, las instancias del entorno de ejecución y el plano de datos, y la región de datos del consumidor de la API. También debes especificar las selecciones de claves de encriptación.

La diferencia entre cada uno de los recorridos del usuario es la selección o creación de las claves de encriptación, ya estén administradas por Google o por el cliente y si la residencia de los datos está habilitada o no.

Algunas funciones no se admiten cuando la residencia de datos está habilitada. Consulta Compatibilidad con la residencia de datos para obtener más información.

Si tu proyecto de Google Cloud tiene una restricción de la política de la organización de CMEK, la residencia de datos se habilita de forma predeterminada y se requiere CMEK.

Las siguientes claves se usan durante la creación de la organización:

Clave de encriptación	Descripción
Clave del plano de control	Encripta datos de Analytics que se almacenan en BigQuery en el proyecto de usuario de Apigee. Encripta proxies de API, servidores de destino, almacenes de claves y almacenes de claves, y cualquier otro elemento compartido entre los entornos de ejecución.
Clave de datos del consumidor de API	Encripta los datos de la infraestructura de servicios. Debe ser una región dentro de la ubicación del plano de control.
Clave de base de datos de entorno de ejecución	Encripta datos de aplicación, como KVMs, caché y secretos de cliente, que luego se almacenan en la base de datos.

Clave de encriptación

Descripción

Clave del plano de control

Encripta datos de Analytics que se almacenan en BigQuery en el proyecto de usuario de Apigee.

Encripta proxies de API, servidores de destino, almacenes de claves y almacenes de claves, y cualquier otro elemento compartido entre los entornos de ejecución.

Clave de datos del consumidor de API

Encripta los datos de la infraestructura de servicios. Debe ser una región dentro de la ubicación del plano de control.

Clave de base de datos de entorno de ejecución

Encripta datos de aplicación, como KVMs, caché y secretos de cliente, que luego se almacenan en la base de datos.

La siguiente clave se usa durante cada creación de instancia:

Clave de encriptación	Descripción
Clave de disco de entorno de ejecución	Encripta KVMs; caché del entorno; buckets y contadores de cuota. Encripta datos de KMS de productos de API, desarrolladores, aplicaciones de desarrollador, tokens de OAuth (incluidos tokens de acceso, tokens de actualización y códigos de autorización), y claves de API.

Realiza el paso

Permisos necesarios para esta tarea

Puedes otorgar al aprovisionador de Apigee un rol predefinido que incluya los permisos necesarios para completar esta tarea, o bien otorgar permisos más detallados para proporcionar el privilegio mínimo necesario. Consulta los roles predefinidos y los permisos de las instancias del entorno de ejecución.

Para ver los pasos de tu recorrido del usuario específico, selecciona uno de los siguientes recorridos del usuario. Se enumeran en orden de complejidad, y el más fácil es el recorrido del usuario A.

Consulta el diagrama de flujo de recorrido del usuario

En el siguiente diagrama, se muestran los posibles recorridos del usuario para configurar el hosting y la encriptación de una organización de pago por uso con la consola de Cloud.

Los recorridos del usuario se indican de la A a la F y se ordenan de fáciles a complejos, en los que A es el más fácil y F es el más complejo.

	Recorrido del usuario	Descripción
	Recorrido del usuario A: Encriptación administrada por Google, sin residencia de datos	Selecciona esta opción en los siguientes casos: Quieres que Google administre las claves de encriptación No son necesarios para almacenar el contenido y el procesamiento principales en la misma región geográfica. Tu proyecto de Google Cloud no tiene una restricción de la política de la organización de CMEK.
	Recorrido del usuario B: Encriptación administrada por Google, con residencia de datos	Selecciona esta opción en los siguientes casos: Quieres que Google administre las claves de encriptación Si deseas almacenar el contenido y el procesamiento principales en la misma región geográfica Tu proyecto de Google Cloud no tiene una restricción de la política de la organización de CMEK.
	Recorrido del usuario C: Encriptación administrada por el cliente, sin residencia de datos	Selecciona esta opción en los siguientes casos: Si deseas administrar tus propias claves de encriptación No son necesarios para almacenar el contenido y el procesamiento principales en la misma región geográfica. Tu proyecto de Google Cloud no tiene una restricción de la política de la organización de CMEK.
	Recorrido del usuario D: Encriptación administrada por el cliente, con residencia de datos	Selecciona esta opción en los siguientes casos: Si deseas administrar tus propias claves de encriptación Si quieres almacenar el contenido y el procesamiento principales en la misma región geográfica Tu proyecto de Google Cloud tiene una restricción de la política de la organización de CMEK.

Recorrido del usuario A: Encriptación administrada por Google, sin residencia de datos

En el paso 3, la consola muestra una lista de opciones de configuración de hosting y encriptación, y sus valores predeterminados. Puedes aceptar la configuración predeterminada o hacer clic en Editar para abrir el panel Hosting y claves de encriptación.

En la sección Tipo de encriptación, selecciona Clave de encriptación administrada por Google. Esta es una clave de encriptación del servidor administrada por Google que se usa para encriptar tus instancias y datos de Apigee antes de que se escriban en el disco.
Haz clic en Siguiente.
En la sección Control Plane, haz lo siguiente:
1. Desmarca la casilla Habilitar residencia de datos.
  Nota: Si aprovisionas una nueva organización de Apigee dentro de un proyecto de Google Cloud con una restricción de ubicación de recursos aplicada en una política de la organización, confirma que la restricción de ubicación se establezca en global. Debido a que el plano de control de Apigee es una entidad global de forma predeterminada, el aprovisionamiento fallará si se aplica una restricción distinta de global. Para obtener más información, consulta Introducción a la residencia de datos.
2. En la lista desplegable Región de Analytics, selecciona la ubicación física en la que quieres que se almacenen tus datos de estadísticas. Para obtener una lista de las regiones disponibles de las estadísticas de la API de Apigee, consulta Ubicaciones de Apigee.
3. Haz clic en Confirmar.
En la sección Entorno de ejecución, haz lo siguiente:
1. En la lista desplegable Región de hosting del entorno de ejecución, selecciona la región en la que deseas alojar tu instancia.
2. En Clave de encriptación de la base de datos del entorno de ejecución, Administrada por Google aparece como el tipo de encriptación.
3. En Clave de encriptación de disco del entorno de ejecución, Administrada por Google aparece como el tipo de encriptación.
4. Haz clic en Confirmar.
5. Haz clic en Listo.
Haz clic en Siguiente.

Ve al siguiente paso, Paso 4: Personaliza el enrutamiento de acceso.

Recorrido del usuario B: Encriptación administrada por Google, con residencia de datos

En la sección Tipo de encriptación, selecciona Clave de encriptación administrada por Google. Esta es una clave de encriptación del servidor administrada por Google que se usa para encriptar tus instancias y datos de Apigee antes de que se escriban en el disco.
Haz clic en Siguiente.
En la sección Control Plane, haz lo siguiente:
1. Selecciona la casilla Habilitar residencia de datos.
2. En la lista desplegable jurisdicción de hosting del plano de control, selecciona la ubicación física en la que quieres que se almacenen tus datos.
  Nota: Una jurisdicción hace referencia a una ubicación dentro de un límite geopolítico que puede abarcar más de una región. Para obtener una lista de las jurisdicciones de hosting del plano de control disponibles, consulta Ubicaciones de Apigee.
3. En Clave de encriptación del plano de control, Administrada por Google aparece como el tipo de encriptación.
En la sección de región de datos del consumidor de la API:
1. En la lista desplegable Región de datos del consumidor de la API, selecciona la ubicación física en la que quieres que se almacenen tus datos. Para obtener una lista de las regiones de datos del consumidor disponibles, consulta Ubicaciones de Apigee.
2. En Clave de encriptación de datos del consumidor de la API, Administrada por Google aparece como el tipo de encriptación.
3. Haz clic en Confirmar.
En la sección Entorno de ejecución, haz lo siguiente:
1. En la lista desplegable Región de hosting del entorno de ejecución, selecciona la región en la que deseas alojar tu instancia. Para obtener una lista de las regiones de entorno de ejecución disponibles, consulta Ubicaciones de Apigee. Cuando usas la residencia de datos, la ubicación del entorno de ejecución debe estar dentro de la región del plano de control.
2. En Clave de encriptación de la base de datos del entorno de ejecución, Administrada por Google aparece como el tipo de encriptación.
3. En Clave de encriptación de disco del entorno de ejecución, Administrada por Google aparece como el tipo de encriptación.
4. Haz clic en Confirmar.
5. Haz clic en Listo.
Haz clic en Siguiente.

Ve al siguiente paso, Paso 4: Personaliza el enrutamiento de acceso.

Recorrido del usuario C: Encriptación administrada por el cliente, sin residencia de datos

En la sección Tipo de encriptación, selecciona Clave de encriptación administrada por el cliente (CMEK). Esta es una clave de encriptación del servidor administrada por el usuario que se usa para encriptar tus instancias y datos de Apigee antes de que se escriban en el disco.
Haz clic en Siguiente.
En la sección Control Plane, haz lo siguiente:
1. Desmarca la casilla Habilitar residencia de datos.
  Nota: Si aprovisionas una nueva organización de Apigee dentro de un proyecto de Google Cloud con una restricción de ubicación de recursos aplicada en una política de la organización, confirma que la restricción de ubicación se establezca en global. Debido a que el plano de control de Apigee es una entidad global de forma predeterminada, el aprovisionamiento fallará si se aplica una restricción distinta de global. Para obtener más información, consulta Introducción a la residencia de datos.
2. En la lista desplegable Región de Analytics, selecciona la ubicación física en la que quieres que se almacenen tus datos de estadísticas. Para obtener una lista de las regiones disponibles de las estadísticas de la API de Apigee, consulta Ubicaciones de Apigee.
3. Haz clic en Confirmar.
En la sección Entorno de ejecución, haz lo siguiente:
1. En la lista desplegable Región de hosting del entorno de ejecución, selecciona la región en la que deseas alojar tu instancia.
2. En la lista desplegable Clave de encriptación de la base de datos del entorno de ejecución, selecciona o crea una clave para los datos almacenados y replicados en las ubicaciones del entorno de ejecución.
3. Haz clic en Otorgar si se te solicita.
4. En la lista desplegable Clave de encriptación de disco del entorno de ejecución, selecciona o crea una clave para los datos de la instancia del entorno de ejecución antes de que se escriban en el disco. Cada instancia tiene su propia clave de encriptación del disco.
5. Haz clic en Otorgar si se te solicita.
6. Haz clic en Confirmar.
7. Haz clic en Listo.
Haz clic en Siguiente.

Ve al siguiente paso, Paso 4: Personaliza el enrutamiento de acceso.

Recorrido del usuario D: Encriptación administrada por el cliente, con residencia de datos

En la sección Tipo de encriptación, selecciona Clave de encriptación administrada por el cliente (CMEK). Esta es una clave de encriptación del servidor administrada por el usuario que se usa para encriptar tus instancias y datos de Apigee antes de que se escriban en el disco.
Nota: Si tu proyecto de Google Cloud tiene una restricción de política de la organización para CMEK, la clave de encriptación administrada por Google está inhabilitada y no se puede borrar la clave de encriptación administrada por el cliente.
Haz clic en Siguiente.
En la sección Control Plane, haz lo siguiente:
1. Selecciona la casilla Habilitar residencia de datos.
  Nota: Si tu proyecto de Google Cloud tiene una restricción de la política de la organización para CMEK, la residencia de datos está seleccionada y no se puede borrar.
2. En la lista desplegable jurisdicción de hosting del plano de control, selecciona la ubicación física en la que quieres que se almacenen tus datos.
  Nota: Una jurisdicción hace referencia a una ubicación dentro de un límite geopolítico que puede abarcar más de una región. Para obtener una lista de las jurisdicciones de hosting del plano de control disponibles, consulta Ubicaciones de Apigee.
3. En la lista desplegable Clave de encriptación del plano de control, selecciona o crea una clave para los datos almacenados y replicados en las ubicaciones del entorno de ejecución.
  Nota: Este paso solo es necesario si seleccionas us (multiple regions in us) o eu (multiple regions in European Union) como la jurisdicción de hosting del plano de control. Si seleccionas otra región, no se requiere esta clave.
4. Haz clic en Otorgar si se te solicita.
En la sección de región de datos del consumidor de la API:
1. En la lista desplegable Región de datos del consumidor de la API, selecciona la ubicación física en la que quieres que se almacenen tus datos. Para obtener una lista de las regiones de datos del consumidor disponibles, consulta Ubicaciones de Apigee.
2. En la lista desplegable Clave de encriptación de datos del consumidor de la API, selecciona o crea una clave para los datos almacenados en el plano de control.
3. Haz clic en Otorgar si se te solicita.
4. Haz clic en Confirmar.
En la sección Entorno de ejecución, haz lo siguiente:
1. En la lista desplegable Región de hosting del entorno de ejecución, selecciona la región en la que deseas alojar tu instancia. Cuando usas la residencia de datos, la ubicación del entorno de ejecución debe estar dentro de la región del plano de control.
2. En la lista desplegable Clave de encriptación de la base de datos del entorno de ejecución, selecciona o crea una clave para los datos almacenados y replicados en las ubicaciones del entorno de ejecución.
3. Haz clic en Otorgar si se te solicita.
4. En la lista desplegable Clave de encriptación de disco del entorno de ejecución, selecciona o crea una clave para los datos de la instancia del entorno de ejecución antes de que se escriban en el disco. Cada instancia tiene su propia clave de encriptación del disco.
5. Haz clic en Otorgar si se te solicita.
6. Haz clic en Confirmar.
7. Haz clic en Listo.
Haz clic en Siguiente.

Ve al siguiente paso, Paso 4: Personaliza el enrutamiento de acceso.

Cómo crear una clave

Para crear una clave, sigue estos pasos:

Haz clic en Crear clave.
Selecciona un llavero de claves o, si no existe uno, habilita Crear un llavero de claves e ingresa un nombre de llavero de claves y elige su ubicación. Los nombres de los llaveros de claves pueden contener letras, números, guiones bajos (_) y guiones (-). No es posible cambiar ni borrar el nombre de los llaveros de claves.
Haz clic en Continuar.
Crea una clave. Ingresa un nombre y un nivel de protección. Ten en cuenta que los nombres de las claves pueden contener letras, números, guiones bajos (_) y guiones (-). No se puede cambiar el nombre de las claves ni borrarlas. Para el nivel de protección, el Software es una buena opción. Este es el mismo valor predeterminado que usa Cloud KMS. Sin embargo, puedes cambiarlo si lo deseas.
Haz clic en Continuar y revisa tus selecciones.
Haz clic en Crear.