Etapa 3: configurar a hospedagem e a criptografia

Esta página se aplica à Apigee, mas não à Apigee híbrida.

Confira a documentação da Apigee Edge.

O que você está fazendo nesta etapa

Nesta etapa, dependendo da sua jornada do usuário específica, você especifica os locais de hospedagem para seu plano de controle ou análise da Apigee, instâncias do ambiente de execução e plano de dados e região de dados do consumidor da API. Você também especifica seleções de chave de criptografia.

A diferença entre cada uma das jornadas do usuário é a seleção ou a criação de chaves de criptografia, se elas são gerenciadas pelo Google ou pelo cliente e se a residência de dados está ativada ou não.

Alguns recursos não são compatíveis quando a residência de dados está ativada. Consulte Compatibilidade da residência de dados para ver detalhes.

As chaves a seguir são usadas durante a criação da organização:

Chave de criptografia	Descrição
Chave do plano de controle	Criptografa dados do Analytics armazenados no BigQuery no projeto de locatário da Apigee. Criptografa proxies de API, servidores de destino, Truststores, Keystores e qualquer outra coisa compartilhada entre ambientes de execução.
Chave de dados do consumidor da API	Criptografa dados da infraestrutura de serviços. É necessário que seja uma região no local do plano de controle.
Chave do banco de dados do ambiente de execução	Criptografa dados de aplicativos como KVMs, cache e chaves secretas do cliente, que são armazenadas no banco de dados.

Chave de criptografia

Descrição

Chave do plano de controle

Criptografa dados do Analytics armazenados no BigQuery no projeto de locatário da Apigee.

Criptografa proxies de API, servidores de destino, Truststores, Keystores e qualquer outra coisa compartilhada entre ambientes de execução.

Chave de dados do consumidor da API

Criptografa dados da infraestrutura de serviços. É necessário que seja uma região no local do plano de controle.

Chave do banco de dados do ambiente de execução

Criptografa dados de aplicativos como KVMs, cache e chaves secretas do cliente, que são armazenadas no banco de dados.

A chave a seguir é usada durante a criação de cada instância:

Chave de criptografia	Descrição
Chave do disco do ambiente de execução	Criptografa KVMs, cache do ambiente, buckets de cota e contadores. Criptografa os produtos de APIs Data do KMS, desenvolvedores, apps de desenvolvedor, tokens OAuth (incluindo tokens de acesso, tokens de atualização e códigos de autorização) e chaves de API.

Realizar a etapa

Permissões exigidas para a tarefa

É possível conceder ao provisionador da Apigee um papel predefinido que inclua as permissões necessárias para realizar essa tarefa ou conceder permissões mais refinadas a fim de fornecer o privilégio mínimo necessário. Consulte Papéis predefinidos e Permissões de instância do ambiente de execução.

Para ver as etapas da sua jornada do usuário específica, selecione uma das jornadas a seguir. Elas são listadas em ordem de complexidade, com a jornada do usuário A sendo a mais fácil.

Ver diagrama do fluxo da jornada do usuário

No diagrama a seguir, mostramos as possíveis jornadas do usuário para configurar hospedagem e criptografia para uma organização de pagamento por uso usando o console do Cloud.

As jornadas do usuário são marcadas de A a F e estão ordenadas de fácil a complexa, em que A é a mais fácil e F é a mais complexa.

Fluxo de provisionamento de pagamento por uso

	Jornada do usuário	Descrição
	Jornada do usuário A: criptografia gerenciada pelo Google, sem residência de dados	Selecione essa opção se você: quiser que o Google gerencie as chaves de criptografia não precisar armazenar o conteúdo e processamento principal na mesma região geográfica
	Jornada do usuário B: criptografia gerenciada pelo Google, com residência de dados	Selecione essa opção se você: quiser que o Google gerencie as chaves de criptografia quiser armazenar o conteúdo e processamento principal na mesma região geográfica
	Jornada do usuário C: criptografia gerenciada pelo cliente, sem residência de dados	Selecione essa opção se você: quiser gerenciar suas próprias chaves de criptografia não precisar armazenar o conteúdo e processamento principal na mesma região geográfica
	Jornada do usuário D: criptografia gerenciada pelo cliente, com residência de dados	Selecione essa opção se você: quiser gerenciar suas próprias chaves de criptografia quiser armazenar o conteúdo e processamento principal na mesma região geográfica

Jornada do usuário A: criptografia gerenciada pelo Google, sem residência de dados

Na etapa 3, o console mostra uma lista de opções de configuração de hospedagem e criptografia e os valores padrão delas. Aceite a configuração padrão ou clique em Editar para abrir o painel Hospedagem e chaves de criptografia.

Na seção Tipo de criptografia, selecione Chave de criptografia gerenciada pelo Google. Essa é uma chave de criptografia do lado do servidor gerenciada pelo Google usada para criptografar seus dados e instâncias da Apigee antes de serem gravados no disco.
Clique em Próxima.
Na seção Plano de controle:
1. Desmarque a caixa Ativar residência de dados.
  Observação: se você estiver provisionando uma nova organização da Apigee em um projeto do Google Cloud com uma restrição de local de recursos aplicada em uma política da organização, confirme que a restrição de local está definida como global. Como o plano de controle da Apigee é uma entidade global por padrão, o provisionamento falhará se uma restrição diferente de global for aplicada. Para mais informações, consulte Introdução à residência de dados.
2. Na lista suspensa Região do Analytics, selecione o local físico onde você quer armazenar os dados de análise. Para ver uma lista de regiões disponíveis do Apigee API Analytics, consulte Locais da Apigee.
3. Clique em Confirmar.
Na seção Ambiente de execução:
1. Na lista suspensa Região de hospedagem do ambiente de execução, selecione a região onde você quer hospedar sua instância.
2. Em Chave de criptografia do banco de dados do ambiente de execução, a opção Gerenciada pelo Google aparece como o tipo de criptografia.
3. Em Chave de criptografia do disco do ambiente de execução, a opção Gerenciada pelo Google aparece como o tipo de criptografia.
4. Clique em Confirmar.
5. Clique em Concluído.
Clique em Próxima.

Avance para a próxima etapa, Etapa 4: personalizar o roteamento de acesso.

Jornada do usuário B: criptografia gerenciada pelo Google, com residência de dados

Na seção Tipo de criptografia, selecione Chave de criptografia gerenciada pelo Google. Essa é uma chave de criptografia do lado do servidor gerenciada pelo Google usada para criptografar seus dados e instâncias da Apigee antes de serem gravados no disco.
Clique em Próxima.
Na seção Plano de controle:
1. Marque a caixa Ativar residência de dados.
2. Na seção Local de hospedagem do plano de controle:
  1. Selecione o Tipo de local:
    - Região: seus dados são armazenados em uma única região, o que pode reduzir a latência.
    - Multirregional: seus dados são armazenados em mais de uma região, o que pode aumentar a disponibilidade em uma área grande.
  2. Na lista suspensa Região ou Multirregional exibida, selecione o local físico onde você quer armazenar os dados. Para ver uma lista de regiões do plano de controle disponíveis, consulte Locais da Apigee.
  3. Em Chave de criptografia do plano de controle, a opção Gerenciada pelo Google aparece como o tipo de criptografia.
    Observação: essa etapa só será necessária se você selecionar us (multiple regions in us) ou eu (multiple regions in European Union) como o local de hospedagem do plano de controle. Se você selecionar outra região, essa chave não será necessária.
3. Na lista suspensa Região de dados do consumidor da API, selecione o local físico onde você quer armazenar os dados. Para ver uma lista de regiões do plano de controle disponíveis, consulte Locais da Apigee.
4. Em Chave de criptografia de dados do consumidor da API, a opção Gerenciada pelo Google aparece como o tipo de criptografia.
5. Clique em Confirmar.
6. Na seção Ambiente de execução:
  1. Na lista suspensa Região de hospedagem em ambiente de execução, selecione a região em que você quer que sua instância fique hospedada. Para ver uma lista de regiões de ambiente de execução disponíveis, consulte Locais da Apigee. Ao usar a residência de dados, o local do ambiente de execução precisa estar dentro da região do plano de controle.
  2. Em Chave de criptografia do banco de dados do ambiente de execução, a opção Gerenciada pelo Google aparece como o tipo de criptografia.
  3. Em Chave de criptografia do disco do ambiente de execução, a opção Gerenciada pelo Google aparece como o tipo de criptografia.
  4. Clique em Confirmar.
  5. Clique em Concluído.
7. Clique em Próxima.
Cuidado: ao enviar a configuração concluída para provisionar a Apigee (no final da Etapa 4), não é possível voltar e alterar as seleções de região de hospedagem e de chave de criptografia. A Apigee não é compatível com a atualização das seleções de região de hospedagem ou de chave de criptografia após a conclusão do provisionamento. Por exemplo, se você selecionar a criptografia gerenciada pelo Google, não será possível alterá-la para a criptografia gerenciada pelo cliente mais tarde e vice-versa.

Avance para a próxima etapa, Etapa 4: personalizar o roteamento de acesso.

Jornada do usuário C: criptografia gerenciada pelo cliente, sem residência de dados

Na etapa 3, o console mostra uma lista de opções de configuração de hospedagem e criptografia e os valores padrão delas. Aceite a configuração padrão ou clique em Editar para abrir o painel Hospedagem e chaves de criptografia.
1. Na seção Tipo de criptografia, selecione Chave de criptografia gerenciada pelo cliente (CMEK). Essa é uma chave de criptografia do lado do servidor gerenciada pelo usuário usada para criptografar seus dados e instâncias da Apigee antes de serem gravados no disco.
2. Clique em Próxima.
3. Na seção Plano de controle:
  1. Desmarque a caixa Ativar residência de dados.
    Observação: se você estiver provisionando uma nova organização da Apigee em um projeto do Google Cloud com uma restrição de local de recursos aplicada em uma política da organização, confirme que a restrição de local está definida como global. Como o plano de controle da Apigee é uma entidade global por padrão, o provisionamento falhará se uma restrição diferente de global for aplicada. Para mais informações, consulte Introdução à residência de dados.
  2. Na lista suspensa Região do Analytics, selecione o local físico onde você quer armazenar os dados de análise. Para ver uma lista de regiões disponíveis do Apigee API Analytics, consulte Locais da Apigee.
  3. Clique em Confirmar.
4. Na seção Ambiente de execução:
  1. Na lista suspensa Região de hospedagem do ambiente de execução, selecione a região onde você quer hospedar sua instância.
  2. Na lista suspensa Chave de criptografia do banco de dados do ambiente de execução, selecione ou crie uma chave para os dados armazenados e replicados nos locais do ambiente de execução.
  3. Clique em Conceder, se solicitado.
  4. Na lista suspensa Chave de criptografia do disco do ambiente de execução, selecione ou crie uma chave para os dados da instância do ambiente de execução antes que eles sejam gravados no disco. Cada instância tem a própria chave de criptografia do disco.
  5. Clique em Conceder, se solicitado.
  6. Clique em Confirmar.
  7. Clique em Concluído.
5. Clique em Próxima.
Cuidado: ao enviar a configuração concluída para provisionar a Apigee (no final da Etapa 4), não é possível voltar e alterar as seleções de região de hospedagem e de chave de criptografia. A Apigee não é compatível com a atualização das seleções de região de hospedagem ou de chave de criptografia após a conclusão do provisionamento. Por exemplo, se você selecionar a criptografia gerenciada pelo Google, não será possível alterá-la para a criptografia gerenciada pelo cliente mais tarde e vice-versa.

Avance para a próxima etapa, Etapa 4: personalizar o roteamento de acesso.

Jornada do usuário D: criptografia gerenciada pelo cliente, com residência de dados

Na etapa 3, o console mostra uma lista de opções de configuração de hospedagem e criptografia e os valores padrão delas. Aceite a configuração padrão ou clique em Editar para abrir o painel Hospedagem e chaves de criptografia.
1. Na seção Tipo de criptografia, selecione Chave de criptografia gerenciada pelo cliente (CMEK). Essa é uma chave de criptografia do lado do servidor gerenciada pelo usuário usada para criptografar seus dados e instâncias da Apigee antes de serem gravados no disco.
2. Clique em Próxima.
3. Na seção Plano de controle:
  1. Marque a caixa Ativar residência de dados.
  2. Na seção Local de hospedagem do plano de controle:
    1. Selecione o Tipo de local:
      - Região: seus dados são armazenados em uma única região, o que pode reduzir a latência.
      - Multirregional: seus dados são armazenados em mais de uma região, o que pode aumentar a disponibilidade em uma área grande.
    2. Na lista suspensa Região ou Multirregional exibida, selecione o local físico onde você quer armazenar os dados. Para ver uma lista de regiões do plano de controle disponíveis, consulte Locais da Apigee.
    3. Na lista suspensa Chave de criptografia do plano de controle, selecione ou crie uma chave para os dados armazenados e replicados nos locais do ambiente de execução.
      Observação: essa etapa só será necessária se você selecionar us (multiple regions in us) ou eu (multiple regions in European Union) como o local de hospedagem do plano de controle. Se você selecionar outra região, essa chave não será necessária.
    4. Clique em Conceder, se solicitado.
  3. Na lista suspensa Região de dados do consumidor da API, selecione o local físico onde você quer armazenar os dados. Para ver uma lista de regiões do plano de controle disponíveis, consulte Locais da Apigee.
  4. Na lista suspensa Chave de criptografia de dados do consumidor da API, selecione ou crie uma chave para os dados armazenados no plano de controle.
  5. Clique em Conceder, se solicitado.
  6. Clique em Confirmar.
  7. Na seção Ambiente de execução:
    1. Na lista suspensa Região de hospedagem do ambiente de execução, selecione a região onde você quer hospedar sua instância. Ao usar a residência de dados, o local do ambiente de execução precisa estar dentro da região do plano de controle.
    2. Na lista suspensa Chave de criptografia do banco de dados do ambiente de execução, selecione ou crie uma chave para os dados armazenados e replicados nos locais do ambiente de execução.
    3. Clique em Conceder, se solicitado.
    4. Na lista suspensa Chave de criptografia do disco do ambiente de execução, selecione ou crie uma chave para os dados da instância do ambiente de execução antes que eles sejam gravados no disco. Cada instância tem a própria chave de criptografia do disco.
    5. Clique em Conceder, se solicitado.
    6. Clique em Confirmar.
    7. Clique em Concluído.
  8. Clique em Próxima.
  Cuidado: ao enviar a configuração concluída para provisionar a Apigee (no final da Etapa 4), não é possível voltar e alterar as seleções de região de hospedagem e de chave de criptografia. A Apigee não é compatível com a atualização das seleções de região de hospedagem ou de chave de criptografia após a conclusão do provisionamento. Por exemplo, se você selecionar a criptografia gerenciada pelo Google, não será possível alterá-la para a criptografia gerenciada pelo cliente mais tarde e vice-versa.
  
  Avance para a próxima etapa, Etapa 4: personalizar o roteamento de acesso.
  
  Como criar uma chave
  
  Para criar uma chave:
  1. Clique em Criar chave.
  2. Selecione um keyring ou, se não existir um, ative Criar keyring e insira um nome de keyring e escolha um local para ele. Os nomes de keyrings podem conter letras, números, sublinhados (_) e hifens (-). Os keyrings não podem ser renomeados ou excluídos.
  3. Clique em Continuar.
  4. Criar uma chave. Digite um nome e um nível de proteção. Os nomes das chaves podem conter letras, números, sublinhados (_) e hifens (-). As chaves não podem ser renomeadas ou excluídas. Para o nível de proteção, Software é uma boa escolha. Esse é o mesmo padrão usado pelo Cloud KMS. No entanto, é possível alterá-lo se quiser.
  5. Clique em Continuar e revise suas seleções.
  6. Clique em Criar.