Questa pagina è stata tradotta dall'API Cloud Translation.

Passaggio 3: configura l'hosting e la crittografia

Questa pagina riguarda Apigee, ma non Apigee ibrido.

Visualizza la documentazione di Apigee Edge.

Cosa stai facendo in questo passaggio

In questo passaggio, a seconda del tuo percorso dell'utente specifico, specificherai le località di hosting per l'analisi o il piano di controllo Apigee, le istanze di runtime e del piano dati e la regione di dati consumer delle API. Puoi anche specificare le selezioni delle chiavi di crittografia.

La differenza tra ogni percorso dell'utente è la selezione o la creazione di chiavi di crittografia, a prescindere dal fatto che siano gestite da Google o dal cliente e se la residenza dei dati è abilitata o meno.

Alcune funzionalità non sono supportate se è abilitata la residenza dei dati. Per maggiori dettagli, consulta Compatibilità della residenza dei dati.

Durante la creazione dell'organizzazione vengono utilizzate le seguenti chiavi:

Chiave di crittografia	Descrizione
Chiave piano di controllo	Cripta i dati di Analytics archiviati all'interno di BigQuery nel progetto tenant di Apigee. Cripta i proxy API, i server di destinazione, gli archivi di attendibilità e gli archivi chiavi e qualsiasi altro contenuto condiviso tra i runtime.
Chiave dati consumer API	Cripta i dati dell'infrastruttura del servizio. Deve essere una regione all'interno della località del piano di controllo.
Chiave di database di runtime	Cripta i dati delle applicazioni, come KVM, cache e client secret, che vengono quindi archiviati nel database.

Chiave di crittografia

Descrizione

Chiave piano di controllo

Cripta i dati di Analytics archiviati all'interno di BigQuery nel progetto tenant di Apigee.

Cripta i proxy API, i server di destinazione, gli archivi di attendibilità e gli archivi chiavi e qualsiasi altro contenuto condiviso tra i runtime.

Chiave dati consumer API

Cripta i dati dell'infrastruttura del servizio. Deve essere una regione all'interno della località del piano di controllo.

Chiave di database di runtime

Cripta i dati delle applicazioni, come KVM, cache e client secret, che vengono quindi archiviati nel database.

Durante la creazione di ogni istanza viene utilizzata la seguente chiave:

Chiave di crittografia	Descrizione
Chiave del disco di runtime	Cripta KVM, cache dell'ambiente, bucket e contatori di quota. Cripta prodotti API di dati KMS, sviluppatori, app per sviluppatori, token OAuth (inclusi token di accesso, token di aggiornamento e codici di autorizzazione) e chiavi API.

Esegui il passaggio

Autorizzazioni richieste per questa attività

Puoi assegnare al provisioner Apigee un ruolo predefinito che include le autorizzazioni necessarie per completare questa attività oppure concedere autorizzazioni più granulari per fornire il privilegio minimo necessario. Vedi Ruoli predefiniti e Autorizzazioni delle istanze di runtime.

Per visualizzare i passaggi relativi al tuo specifico percorso dell'utente, seleziona uno dei seguenti percorsi dell'utente. Sono elencati in ordine di complessità, con il percorso dell'utente A più semplice.

Visualizza il diagramma di flusso del percorso dell'utente

Il seguente diagramma mostra i possibili percorsi degli utenti per configurare hosting e crittografia per un'organizzazione con pagamento a consumo utilizzando la console Cloud.

I percorsi dell'utente sono indicati da A a F e sono ordinati da facile a complesso, dove A è il più semplice, mentre F è il più complesso.

Flusso di provisioning del pagamento a consumo

	Percorso dell'utente	Descrizione
	Percorso dell'utente A: crittografia gestita da Google, nessuna residenza dei dati	Seleziona questa opzione se: Vuoi che Google gestisca le chiavi di crittografia Non sono tenuti ad archiviare contenuti principali ed elaborazione nella stessa regione geografica
	Percorso dell'utente B: crittografia gestita da Google, con residenza dei dati	Seleziona questa opzione se: Vuoi che Google gestisca le chiavi di crittografia Vuoi archiviare contenuti principali ed elaborazione nella stessa regione geografica
	Percorso dell'utente C: crittografia gestita dal cliente, nessuna residenza dei dati	Seleziona questa opzione se: Vuoi gestire le tue chiavi di crittografia Non sono tenuti ad archiviare i contenuti principali e l'elaborazione nella stessa regione geografica
	Percorso dell'utente D: crittografia gestita dal cliente, con residenza dei dati	Seleziona questa opzione se: Vuoi gestire le tue chiavi di crittografia Vuoi archiviare i tuoi contenuti principali e l'elaborazione nella stessa regione geografica

Percorso dell'utente A: crittografia gestita da Google, nessuna residenza dei dati

Nel passaggio 3, la console visualizza un elenco di opzioni di configurazione di hosting e crittografia e relativi valori predefiniti. Puoi accettare la configurazione predefinita o fare clic su Modifica per aprire il riquadro Hosting e chiavi di crittografia.

Nella sezione Tipo di crittografia, seleziona Chiave di crittografia gestita da Google. Si tratta di una chiave di crittografia lato server gestita da Google utilizzata per criptare i dati e le istanze Apigee prima che siano scritti su disco.
Fai clic su Avanti.
Nella sezione Piano di controllo:
1. Deseleziona la casella Abilita la residenza dei dati.
  Nota: se stai eseguendo il provisioning di una nuova organizzazione Apigee all'interno di un progetto Google Cloud con un vincolo di località delle risorse applicato in un criterio dell'organizzazione, verifica che il vincolo di località sia impostato su global. Poiché il piano di controllo Apigee è un'entità globale per impostazione predefinita, il provisioning non riuscirà se viene applicato un vincolo diverso da global. Per saperne di più, consulta Introduzione alla residenza dei dati.
2. Nell'elenco a discesa Regione di Analytics, seleziona la località fisica in cui vuoi archiviare i dati di analisi. Per un elenco delle regioni disponibili per l'analisi delle API Apigee, consulta le località di Apigee.
3. Fai clic su Conferma.
Nella sezione Runtime:
1. Dall'elenco a discesa Regione hosting runtime, seleziona la regione in cui vuoi ospitare l'istanza.
2. In Chiave di crittografia del database di runtime, Gestita da Google è elencato come tipo di crittografia.
3. In Chiave di crittografia del disco di runtime, il tipo di crittografia Gestito da Google è elencato come tipo di crittografia.
4. Fai clic su Conferma.
5. Fai clic su Fine.
Fai clic su Avanti.

Vai al passaggio successivo, Passaggio 4: personalizza il routing degli accessi.

Percorso dell'utente B: crittografia gestita da Google, con residenza dei dati

Nella sezione Tipo di crittografia, seleziona Chiave di crittografia gestita da Google. Si tratta di una chiave di crittografia lato server gestita da Google utilizzata per criptare i dati e le istanze Apigee prima che siano scritti su disco.
Fai clic su Avanti.
Nella sezione Piano di controllo:
1. Seleziona la casella Abilita la residenza dei dati.
2. Nella sezione Località di hosting del piano di controllo:
  1. Seleziona il Tipo di località:
    - Regione: i tuoi dati vengono archiviati in un'unica regione, il che può ridurre la latenza.
    - Più regioni: i tuoi dati vengono archiviati in più regioni, il che può aumentare la disponibilità in un'area di grandi dimensioni.
  2. Dall'elenco a discesa Regione o Più regioni visualizzato, seleziona la località fisica in cui vuoi archiviare i dati. Per un elenco delle regioni del piano di controllo disponibili, consulta le località Apigee.
  3. In Chiave di crittografia del piano di controllo, il tipo di crittografia indicato è Gestita da Google.
    Nota: questo passaggio è obbligatorio solo se selezioni us (multiple regions in us) o eu (multiple regions in European Union) come località di hosting del piano di controllo. Se selezioni un'altra regione, questa chiave non è obbligatoria.
3. Dall'elenco a discesa Regione di dati dei consumatori delle API, seleziona la località fisica in cui vuoi archiviare i dati. Per un elenco delle regioni disponibili del piano di controllo, consulta le località Apigee.
4. In Chiave di crittografia dei dati consumer delle API, il tipo di crittografia indicato è Gestita da Google.
5. Fai clic su Conferma.
6. Nella sezione Runtime:
  1. Nell'elenco a discesa Regione hosting runtime, seleziona la regione in cui deve essere ospitata l'istanza. Per un elenco delle regioni di runtime disponibili, consulta le località di Apigee. Quando si utilizza la residenza dei dati, la località di runtime deve trovarsi all'interno della regione del piano di controllo.
  2. In Chiave di crittografia del database di runtime, Gestita da Google è elencato come tipo di crittografia.
  3. In Chiave di crittografia del disco di runtime, il tipo di crittografia Gestito da Google è elencato come tipo di crittografia.
  4. Fai clic su Conferma.
  5. Fai clic su Fine.
7. Fai clic su Avanti.
Avviso: quando invii la configurazione completata per il provisioning di Apigee (al termine del passaggio 4), non puoi tornare indietro e modificare la regione di hosting e le selezioni delle chiavi di crittografia. Apigee non supporta l'aggiornamento della regione di hosting o delle selezioni delle chiavi di crittografia al termine del provisioning. Ad esempio, se selezioni la crittografia gestita da Google, non potrai passare alla crittografia gestita dal cliente in un secondo momento e viceversa.

Vai al passaggio successivo, Passaggio 4: personalizza il routing degli accessi.

Percorso dell'utente C: crittografia gestita dal cliente, nessuna residenza dei dati

Nel passaggio 3, la console visualizza un elenco di opzioni di configurazione di hosting e crittografia e relativi valori predefiniti. Puoi accettare la configurazione predefinita o fare clic su Modifica per aprire il riquadro Hosting e chiavi di crittografia.
1. Nella sezione Tipo di crittografia, seleziona Chiave di crittografia gestita dal cliente (CMEK). Si tratta di una chiave di crittografia lato server gestita dall'utente utilizzata per criptare le istanze e i dati Apigee prima che siano scritti su disco.
2. Fai clic su Avanti.
3. Nella sezione Piano di controllo:
  1. Deseleziona la casella Abilita la residenza dei dati.
    Nota: se stai eseguendo il provisioning di una nuova organizzazione Apigee all'interno di un progetto Google Cloud con un vincolo di località delle risorse applicato in un criterio dell'organizzazione, verifica che il vincolo di località sia impostato su global. Poiché il piano di controllo Apigee è un'entità globale per impostazione predefinita, il provisioning non riuscirà se viene applicato un vincolo diverso da global. Per saperne di più, consulta Introduzione alla residenza dei dati.
  2. Nell'elenco a discesa Regione di Analytics, seleziona la località fisica in cui vuoi archiviare i dati di analisi. Per un elenco delle regioni disponibili per l'analisi delle API Apigee, consulta le località di Apigee.
  3. Fai clic su Conferma.
4. Nella sezione Runtime:
  1. Dall'elenco a discesa Regione hosting runtime, seleziona la regione in cui vuoi ospitare l'istanza.
  2. Nell'elenco a discesa Chiave di crittografia del database di runtime, seleziona o crea una chiave per i dati archiviati e replicati tra le località di runtime.
  3. Se richiesto, fai clic su Concedi.
  4. Nell'elenco a discesa Chiave di crittografia del disco di runtime, seleziona o crea una chiave per i dati dell'istanza di runtime prima che vengano scritti sul disco. Ogni istanza ha una propria chiave di crittografia del disco.
  5. Se richiesto, fai clic su Concedi.
  6. Fai clic su Conferma.
  7. Fai clic su Fine.
5. Fai clic su Avanti.
Avviso: quando invii la configurazione completata per il provisioning di Apigee (al termine del passaggio 4), non puoi tornare indietro e modificare la regione di hosting e le selezioni delle chiavi di crittografia. Apigee non supporta l'aggiornamento della regione di hosting o delle selezioni delle chiavi di crittografia al termine del provisioning. Ad esempio, se selezioni la crittografia gestita da Google, non potrai passare alla crittografia gestita dal cliente in un secondo momento e viceversa.

Vai al passaggio successivo, Passaggio 4: personalizza il routing degli accessi.

Percorso dell'utente D: crittografia gestita dal cliente, con residenza dei dati

Nel passaggio 3, la console visualizza un elenco di opzioni di configurazione di hosting e crittografia e relativi valori predefiniti. Puoi accettare la configurazione predefinita o fare clic su Modifica per aprire il riquadro Hosting e chiavi di crittografia.
1. Nella sezione Tipo di crittografia, seleziona Chiave di crittografia gestita dal cliente (CMEK). Si tratta di una chiave di crittografia lato server gestita dall'utente utilizzata per criptare le istanze e i dati Apigee prima che siano scritti su disco.
2. Fai clic su Avanti.
3. Nella sezione Piano di controllo:
  1. Seleziona la casella Abilita la residenza dei dati.
  2. Nella sezione Località di hosting del piano di controllo:
    1. Seleziona il Tipo di località:
      - Regione: i tuoi dati vengono archiviati in un'unica regione, il che può ridurre la latenza.
      - Più regioni: i tuoi dati vengono archiviati in più regioni, il che può aumentare la disponibilità in un'area di grandi dimensioni.
    2. Dall'elenco a discesa Regione o Più regioni visualizzato, seleziona la località fisica in cui vuoi archiviare i dati. Per un elenco delle regioni del piano di controllo disponibili, consulta le località Apigee.
    3. Nell'elenco a discesa Chiave di crittografia del piano di controllo, seleziona o crea una chiave per i dati archiviati e replicati tra le località di runtime.
      Nota: questo passaggio è obbligatorio solo se selezioni us (multiple regions in us) o eu (multiple regions in European Union) come località di hosting del piano di controllo. Se selezioni un'altra regione, questa chiave non è obbligatoria.
    4. Se richiesto, fai clic su Concedi.
  3. Dall'elenco a discesa Regione di dati dei consumatori delle API, seleziona la località fisica in cui vuoi archiviare i dati. Per un elenco delle regioni disponibili del piano di controllo, consulta le località Apigee.
  4. Nell'elenco a discesa Chiave di crittografia dei dati consumer delle API, seleziona o crea una chiave per i dati archiviati per il piano di controllo.
  5. Se richiesto, fai clic su Concedi.
  6. Fai clic su Conferma.
  7. Nella sezione Runtime:
    1. Dall'elenco a discesa Regione hosting runtime, seleziona la regione in cui vuoi ospitare l'istanza. Quando si utilizza la residenza dei dati, la località di runtime deve trovarsi all'interno della regione del piano di controllo.
    2. Nell'elenco a discesa Chiave di crittografia del database di runtime, seleziona o crea una chiave per i dati archiviati e replicati tra le località di runtime.
    3. Se richiesto, fai clic su Concedi.
    4. Nell'elenco a discesa Chiave di crittografia del disco di runtime, seleziona o crea una chiave per i dati dell'istanza di runtime prima che vengano scritti sul disco. Ogni istanza ha una propria chiave di crittografia del disco.
    5. Se richiesto, fai clic su Concedi.
    6. Fai clic su Conferma.
    7. Fai clic su Fine.
  8. Fai clic su Avanti.
  Avviso: quando invii la configurazione completata per il provisioning di Apigee (al termine del passaggio 4), non puoi tornare indietro e modificare la regione di hosting e le selezioni delle chiavi di crittografia. Apigee non supporta l'aggiornamento della regione di hosting o delle selezioni delle chiavi di crittografia al termine del provisioning. Ad esempio, se selezioni la crittografia gestita da Google, non potrai passare alla crittografia gestita dal cliente in un secondo momento e viceversa.
  
  Vai al passaggio successivo, Passaggio 4: personalizza il routing degli accessi.
  
  Come creare una chiave
  
  Per creare una chiave:
  1. Fai clic su Crea chiave.
  2. Seleziona un keyring oppure, se non ne esiste uno, abilita Crea keyring, inserisci il nome del keyring e scegli la posizione del keyring. I nomi dei keyring possono contenere lettere, numeri, trattini bassi (_) e trattini (-). Non è possibile rinominare o eliminare i keyring.
  3. Fai clic su Continua.
  4. Crea una chiave. Inserisci un nome e un livello di protezione. Tieni presente che i nomi delle chiavi possono contenere lettere, numeri, trattini bassi (_) e trattini (-). Non è possibile rinominare o eliminare le chiavi. Per il livello di protezione, il Software è una buona scelta. Si tratta dello stesso valore predefinito utilizzato da Cloud KMS, ma puoi modificarlo se vuoi.
  5. Fai clic su Continua e rivedi le selezioni.
  6. Fai clic su Crea.