Esta página se ha traducido con Cloud Translation API.

Paso 3: Configura el alojamiento y el cifrado

Esta página se aplica a Apigee, pero no a Apigee Hybrid.

Consulta la documentación de Apigee Edge.

Qué vas a hacer en este paso

En este paso, en función del recorrido del usuario específico, debe especificar las ubicaciones de alojamiento de sus instancias de Apigee Analytics o del plano de control, del entorno de ejecución y del plano de datos, así como de la región de datos de los consumidores de APIs. También se especifican las selecciones de claves de cifrado.

La diferencia entre cada uno de los recorridos de usuario es la selección o la creación de claves de cifrado, si las gestiona Google o el cliente, y si la residencia de los datos está habilitada o no.

Algunas funciones no están disponibles cuando está habilitada la residencia de datos. Para obtener más información, consulta Compatibilidad con la residencia de datos.

Durante la creación de la organización, se usan las siguientes claves:

Clave de cifrado	Descripción
Clave del plano de control	Cifra los datos de Analytics almacenados en BigQuery en el proyecto de inquilino de Apigee. Cifra los proxies de API, los servidores de destino, los almacenes de confianza y los almacenes de claves, así como cualquier otro elemento compartido entre los tiempos de ejecución.
Clave de datos de consumidor de la API	Cifra los datos de la infraestructura de servicio. Esta debe ser una región dentro de la ubicación del plano de control.
Clave de base de datos de tiempo de ejecución	Encripta los datos de la aplicación, como las KVMs, la caché y los secretos de cliente, que se almacenan en la base de datos.

Clave de cifrado

Descripción

Clave del plano de control

Cifra los datos de Analytics almacenados en BigQuery en el proyecto de inquilino de Apigee.

Cifra los proxies de API, los servidores de destino, los almacenes de confianza y los almacenes de claves, así como cualquier otro elemento compartido entre los tiempos de ejecución.

Clave de datos de consumidor de la API

Cifra los datos de la infraestructura de servicio. Esta debe ser una región dentro de la ubicación del plano de control.

Clave de base de datos de tiempo de ejecución

Encripta los datos de la aplicación, como las KVMs, la caché y los secretos de cliente, que se almacenan en la base de datos.

Se usa la siguiente clave durante la creación de cada instancia:

Clave de cifrado	Descripción
Clave de disco de tiempo de ejecución	Encripta las KVMs, la caché del entorno, los segmentos de cuota y los contadores. Cifra los productos de API de datos de KMS, los desarrolladores, las aplicaciones para desarrolladores, los tokens de OAuth (incluidos los tokens de acceso, los tokens de actualización y los códigos de autorización) y las claves de API.

Realiza el paso

Permisos que se necesitan para completar esta tarea

Puedes asignar al aprovisionador de Apigee un rol predefinido que incluya los permisos necesarios para completar esta tarea o asignar permisos más específicos para proporcionar los privilegios mínimos necesarios. Consulta Roles predefinidos y Permisos de instancias de tiempo de ejecución.

Para ver los pasos de un recorrido de usuario concreto, selecciona uno de los siguientes. Se enumeran por orden de complejidad, siendo el recorrido de usuario A el más sencillo.

Ver el diagrama de flujo del recorrido del usuario

En el siguiente diagrama se muestran los posibles recorridos de usuario para configurar el alojamiento y el cifrado de una organización de pago por uso mediante la consola de Cloud.

Los recorridos de los usuarios se indican con las letras de la A a la F y se ordenan de más sencillo a más complejo. El recorrido A es el más sencillo y el F, el más complejo.

	Recorrido del usuario	Descripción
	Recorrido del usuario A: encriptado gestionado por Google, sin residencia de datos	Selecciona esta opción si: Quieres que Google gestione las claves de cifrado No es necesario almacenar el contenido principal y el procesamiento en la misma zona geográfica
	Recorrido del usuario B: cifrado gestionado por Google, con residencia de datos	Selecciona esta opción si: Quieres que Google gestione las claves de cifrado Quieres almacenar el contenido y el procesamiento principales en la misma zona geográfica
	Recorrido de usuario C: cifrado gestionado por el cliente, sin residencia de datos	Selecciona esta opción si: Quieres gestionar tus propias claves de cifrado No tienen la obligación de almacenar el contenido principal y el procesamiento en la misma región geográfica
	Recorrido del usuario D: encriptado gestionado por el cliente con residencia de datos	Selecciona esta opción si: Quieres gestionar tus propias claves de cifrado Quieres almacenar tu contenido principal y procesarlo en la misma zona geográfica

Recorrido del usuario A: cifrado gestionado por Google, sin residencia de datos

En el paso 3, la consola muestra una lista de opciones de configuración de alojamiento y cifrado, así como sus valores predeterminados. Puedes aceptar la configuración predeterminada o hacer clic en Editar para abrir el panel Claves de alojamiento y cifrado.

En la sección Tipo de cifrado, selecciona Google-managed encryption key. Se trata de una clave de cifrado del lado del servidor gestionada por Google que se usa para cifrar tus instancias y datos de Apigee antes de que se escriban en el disco.
Haz clic en Siguiente.
En la sección Control Plane (Plano de control):
1. Desmarca la casilla Habilitar residencia de datos.
  Nota: Si vas a aprovisionar una nueva organización de Apigee en un proyecto de Google Cloud con una restricción de ubicación de recursos aplicada en una política de organización, confirma que la restricción de ubicación esté definida como global. Como el plano de control de Apigee es una entidad global de forma predeterminada, el aprovisionamiento fallará si se aplica una restricción que no sea global. Para obtener más información, consulta el artículo Introducción a la residencia de datos.
2. En la lista desplegable Región de Analytics, seleccione la ubicación física en la que quiere que se almacenen sus datos analíticos. Para ver una lista de las regiones disponibles de Apigee API Analytics, incluidas las que admiten el hub de APIs, consulta Ubicaciones de Apigee. Si seleccionas una región que no admite el centro de APIs, no se creará ninguna instancia del centro de APIs. Para obtener más información sobre el hub de APIs, consulta ¿Qué es el hub de APIs?
3. Haz clic en Confirmar.
En la sección Tiempo de ejecución:
1. En la lista desplegable Región de alojamiento del tiempo de ejecución, selecciona la región en la que quieras alojar tu instancia.
2. En Clave de cifrado de la base de datos de tiempo de ejecución, se indica Gestionada por Google como tipo de cifrado.
3. En Clave de cifrado del disco de tiempo de ejecución, se indica Gestionado por Google como tipo de cifrado.
4. Haz clic en Confirmar.
5. Haz clic en Listo.
Haz clic en Siguiente.

Ve al siguiente paso: Paso 4: Personaliza el enrutamiento del acceso.

Recorrido de usuario B: encriptado gestionado por Google con residencia de datos

En la sección Tipo de cifrado, selecciona Google-managed encryption key. Se trata de una clave de cifrado del lado del servidor gestionada por Google que se usa para cifrar tus instancias y datos de Apigee antes de que se escriban en el disco.
Haz clic en Siguiente.
En la sección Control Plane (Plano de control):
1. Seleccione la casilla Habilitar residencia de datos.
2. En la lista desplegable Jurisdicción de alojamiento del plano de control que se muestra, selecciona la ubicación física en la que quieres que se almacenen tus datos.
  Nota: Una jurisdicción es una ubicación dentro de un límite geopolítico que puede abarcar más de una región. Para ver una lista de las jurisdicciones de alojamiento del plano de control disponibles, consulta las ubicaciones de Apigee
  .
3. En la lista desplegable Clave de cifrado del plano de control, selecciona o crea una clave para los datos almacenados y replicados en las ubicaciones de tiempo de ejecución.
  Nota: Este paso solo es obligatorio si seleccionas us (multiple regions in us) o eu (multiple regions in European Union) como ubicación de alojamiento del plano de control. Si seleccionas otra región, no es necesario que introduzcas esta clave.
4. Haz clic en Conceder si se te solicita.
En la sección Región de datos del consumidor de la API, haz lo siguiente:
1. En la lista desplegable Región de datos del consumidor de la API, selecciona la ubicación física en la que quieres que se almacenen tus datos. Para ver una lista de las regiones de datos de consumidores disponibles, consulta Ubicaciones de Apigee.
2. En Clave de cifrado de datos de consumidor de API, se indica Gestionada por Google como tipo de cifrado.
3. Haz clic en Confirmar.
En la sección Tiempo de ejecución:
1. En la lista desplegable Región de alojamiento del tiempo de ejecución, selecciona la región en la que quieres que se aloje tu instancia. Para ver una lista de las regiones de tiempo de ejecución disponibles, consulta Ubicaciones de Apigee. Cuando se usa la residencia de datos, la ubicación del tiempo de ejecución debe estar dentro de la región del plano de control.
2. En Clave de cifrado de la base de datos de tiempo de ejecución, se indica Gestionada por Google como tipo de cifrado.
3. En Clave de cifrado del disco de tiempo de ejecución, se indica Gestionado por Google como tipo de cifrado.
4. Haz clic en Confirmar.
5. Haz clic en Listo.
Haz clic en Siguiente.

Ve al siguiente paso: Paso 4: Personaliza el enrutamiento del acceso.

Recorrido del usuario C: cifrado gestionado por el cliente, sin residencia de datos

En la sección Tipo de cifrado, selecciona Clave de cifrado gestionada por el cliente (CMEK). Se trata de una clave de cifrado del lado del servidor gestionada por el usuario que se usa para cifrar tus instancias y datos de Apigee antes de que se escriban en el disco.
Haz clic en Siguiente.
En la sección Control Plane (Plano de control):
1. Desmarca la casilla Habilitar residencia de datos.
  Nota: Si vas a aprovisionar una nueva organización de Apigee en un proyecto de Google Cloud con una restricción de ubicación de recursos aplicada en una política de organización, confirma que la restricción de ubicación esté definida como global. Como el plano de control de Apigee es una entidad global de forma predeterminada, el aprovisionamiento fallará si se aplica una restricción que no sea global. Para obtener más información, consulta el artículo Introducción a la residencia de datos.
2. En la lista desplegable Región de Analytics, seleccione la ubicación física en la que quiere que se almacenen sus datos de analíticas. Para ver una lista de las regiones disponibles de Apigee API Analytics, consulta Ubicaciones de Apigee.
3. Haz clic en Confirmar.
En la sección Tiempo de ejecución:
1. En la lista desplegable Región de alojamiento del tiempo de ejecución, selecciona la región en la que quieras alojar tu instancia.
2. En la lista desplegable Clave de cifrado de la base de datos de tiempo de ejecución, selecciona o crea una clave para los datos almacenados y replicados en las ubicaciones de tiempo de ejecución.
3. Haz clic en Conceder si se te solicita.
4. En la lista desplegable Clave de cifrado de disco en tiempo de ejecución, selecciona o crea una clave para los datos de la instancia en tiempo de ejecución antes de que se escriban en el disco. Cada instancia tiene su propia clave de cifrado de disco.
5. Haz clic en Conceder si se te solicita.
6. Haz clic en Confirmar.
7. Haz clic en Listo.
Haz clic en Siguiente.

Ve al siguiente paso: Paso 4: Personaliza el enrutamiento del acceso.

Recorrido de usuario D: cifrado gestionado por el cliente con residencia de datos

En la sección Tipo de cifrado, selecciona Clave de cifrado gestionada por el cliente (CMEK). Se trata de una clave de cifrado del lado del servidor gestionada por el usuario que se usa para cifrar tus instancias y datos de Apigee antes de que se escriban en el disco.
Haz clic en Siguiente.
En la sección Control Plane (Plano de control):
1. Seleccione la casilla Habilitar residencia de datos.
2. En la lista desplegable Jurisdicción de alojamiento del plano de control que se muestra, selecciona la ubicación física en la que quieres que se almacenen tus datos.
  Nota: Una jurisdicción es una ubicación dentro de un límite geopolítico que puede abarcar más de una región. Para ver una lista de las jurisdicciones de alojamiento del plano de control disponibles, consulta las ubicaciones de Apigee
  .
3. En la lista desplegable Clave de cifrado del plano de control, selecciona o crea una clave para los datos almacenados y replicados en las ubicaciones de tiempo de ejecución.
  Nota: Este paso solo es obligatorio si seleccionas us (multiple regions in us) o eu (multiple regions in European Union) como jurisdicción de alojamiento del plano de control. Si seleccionas otra región, no es necesario que introduzcas esta clave.
4. Haz clic en Conceder si se te solicita.
En la sección Región de datos del consumidor de la API:
1. En la lista desplegable Región de datos del consumidor de la API, selecciona la ubicación física en la que quieres que se almacenen tus datos. Para ver una lista de las regiones de datos de consumidores disponibles, consulta Ubicaciones de Apigee.
2. En la lista desplegable Clave de cifrado de datos del consumidor de la API, selecciona o crea una clave para los datos almacenados en el plano de control.
3. Haz clic en Conceder si se te solicita.
4. Haz clic en Confirmar.
En la sección Tiempo de ejecución:
1. En la lista desplegable Región de alojamiento del tiempo de ejecución, selecciona la región en la que quieras alojar tu instancia. Cuando se usa la residencia de datos, la ubicación del tiempo de ejecución debe estar dentro de la región del plano de control.
2. En la lista desplegable Clave de cifrado de la base de datos de tiempo de ejecución, selecciona o crea una clave para los datos almacenados y replicados en las ubicaciones de tiempo de ejecución.
3. Haz clic en Conceder si se te solicita.
4. En la lista desplegable Clave de cifrado de disco en tiempo de ejecución, selecciona o crea una clave para los datos de la instancia en tiempo de ejecución antes de que se escriban en el disco. Cada instancia tiene su propia clave de cifrado de disco.
5. Haz clic en Conceder si se te solicita.
6. Haz clic en Confirmar.
7. Haz clic en Listo.
Haz clic en Siguiente.

Ve al siguiente paso: Paso 4: Personaliza el enrutamiento del acceso.

Cómo crear una clave

Para crear una clave, sigue estos pasos:

Haz clic en Crear clave.
Selecciona un conjunto de claves o, si no hay ninguno, habilita Crear conjunto de claves, introduce un nombre y elige su ubicación. Los nombres de los conjuntos de claves pueden contener letras, números, guiones bajos (_) y guiones (-). No puedes eliminar los conjuntos de claves ni cambiar su nombre.
Haz clic en Continuar.
Crea una clave. Introduce un nombre y un nivel de protección. Ten en cuenta que los nombres de las claves pueden incluir letras, números, guiones bajos (_) y guiones (-). No es posible cambiar el nombre de las claves ni eliminarlas. En cuanto al nivel de protección, Software es una buena opción. Este es el mismo valor predeterminado que usa Cloud KMS. Sin embargo, puedes cambiarlo si quieres.
Haga clic en Continuar y revise sus selecciones.
Haz clic en Crear.

Paso 3: Configura el alojamiento y el cifrado Organízate con las colecciones Guarda y clasifica el contenido según tus preferencias.

Qué vas a hacer en este paso

Realiza el paso

Permisos que se necesitan para completar esta tarea

Ver el diagrama de flujo del recorrido del usuario

Recorrido del usuario A: cifrado gestionado por Google, sin residencia de datos

Recorrido de usuario B: encriptado gestionado por Google con residencia de datos

Recorrido del usuario C: cifrado gestionado por el cliente, sin residencia de datos

Recorrido de usuario D: cifrado gestionado por el cliente con residencia de datos

Cómo crear una clave

Paso 3: Configura el alojamiento y el cifrado