Schritt 3: Hosting und Verschlüsselung konfigurieren

Diese Seite gilt für Apigee, aber nicht für Apigee Hybrid.

Apigee Edge-Dokumentation aufrufen

Was Sie in diesem Schritt tun

In diesem Schritt geben Sie abhängig von Ihrem spezifischen Nutzerpfad Hostingstandorte für Ihre Apigee-Analyse- oder -Steuerungsebene, Laufzeit- und Datenebeneninstanzen sowie die API-Nutzerdatenregion an. Sie geben auch die Art der Verschlüsselungsschlüssel an.

Der Unterschied zwischen den einzelnen Nutzerpfaden besteht in der Auswahl oder Erstellung von Verschlüsselungsschlüsseln, unabhängig davon, ob sie von Google verwaltet oder vom Kunden verwaltet sind und ob der Datenstandort aktiviert ist oder nicht.

Einige Funktionen werden nicht unterstützt, wenn der Datenstandort aktiviert ist. Weitere Informationen finden Sie unter Kompatibilität mit dem Datenstandort.

Die folgenden Schlüssel werden während der Erstellung der Organisation verwendet:

Verschlüsselungsschlüssel	Beschreibung
Schlüssel der Steuerungsebene	Verschlüsselt Analytics-Daten, die in BigQuery im Apigee-Mandantenprojekt gespeichert sind. Verschlüsselt API-Proxys, Zielserver, Truststores und Schlüsselspeicher sowie alles andere, das über verschiedene Laufzeiten hinweg gemeinsam genutzt wird.
API-Nutzerdatenschlüssel	Verschlüsselt Daten der Dienstinfrastruktur. Dies muss eine Region innerhalb des Standorts der Steuerungsebene sein.
Laufzeitdatenbankschlüssel	Verschlüsselt Anwendungsdaten wie KVMs, Cache und Clientschlüssel, die dann in der Datenbank gespeichert werden.

Verschlüsselungsschlüssel

Beschreibung

Schlüssel der Steuerungsebene

Verschlüsselt Analytics-Daten, die in BigQuery im Apigee-Mandantenprojekt gespeichert sind.

Verschlüsselt API-Proxys, Zielserver, Truststores und Schlüsselspeicher sowie alles andere, das über verschiedene Laufzeiten hinweg gemeinsam genutzt wird.

API-Nutzerdatenschlüssel

Verschlüsselt Daten der Dienstinfrastruktur. Dies muss eine Region innerhalb des Standorts der Steuerungsebene sein.

Laufzeitdatenbankschlüssel

Verschlüsselt Anwendungsdaten wie KVMs, Cache und Clientschlüssel, die dann in der Datenbank gespeichert werden.

Der folgende Schlüssel wird bei jeder Instanzerstellung verwendet:

Verschlüsselungsschlüssel	Beschreibung
Laufzeitlaufwerkschlüssel	Verschlüsselt KVMs; Umgebungscache; Kontingent-Buckets und -Zähler. Verschlüsselt KMS-Daten wie API-Produkte, Entwickler, Entwickler-Apps, OAuth-Tokens (einschließlich Zugriffstokens, Aktualisierungstokens und Autorisierungscodes) sowie API-Schlüssel.

Schritt ausführen

Erforderliche Berechtigungen für diese Aufgabe

Sie können dem Apigee-Bereitsteller eine vordefinierte Rolle mit den Berechtigungen zuweisen, die zum Ausführen dieser Aufgabe erforderlich sind, oder detailliertere Berechtigungen erteilen, um die geringste Berechtigung zu gewähren. Weitere Informationen finden Sie unter Vordefinierte Rollen und Berechtigungen für Laufzeitinstanzen.

Wählen Sie einen der folgenden Nutzerpfade aus, um die Schritte für Ihren spezifischen Nutzerpfad aufzurufen. Sie sind nach Komplexität geordnet, wobei der einfachste Weg Nutzerpfad A ist.

Flussdiagramm eines Nutzerpfads ansehen

Das folgende Diagramm zeigt die möglichen Nutzerpfade, um Hosting und Verschlüsselung für eine „Pay as you go“-Organisation mithilfe der Cloud Console zu konfigurieren.

Die Nutzerpfade sind von einfach bis komplex mit A bis F gekennzeichnet. Dabei ist A der einfachste und F der komplexeste Nutzerpfad.

„Pay as you go“-Bereitstellungsverfahren

	Nutzerpfad	Beschreibung
	Nutzerpfad A: Von Google verwaltete Verschlüsselung, kein Datenstandort	Wählen Sie diese Option in folgenden Fällen aus: Sie möchten, dass Google Verschlüsselungsschlüssel verwaltet Sie müssen Kerninhalte und -Prozesse nicht in derselben geografischen Region speichern.
	Nutzerpfad B: Von Google verwaltete Verschlüsselung, mit Datenstandort	Wählen Sie diese Option in folgenden Fällen aus: Sie möchten, dass Google Verschlüsselungsschlüssel verwaltet Sie möchten Kerninhalte und -Prozesse in derselben geografischen Region speichern.
	Nutzerpfad C: Vom Kunden verwaltete Verschlüsselung, kein Datenstandort	Wählen Sie diese Option in folgenden Fällen aus: Sie möchten Ihre eigenen Verschlüsselungsschlüssel verwalten Sie müssen keine Kerninhalte und -Prozesse in derselben geografischen Region speichern
	Nutzerpfad D: Vom Kunden verwaltete Verschlüsselung, mit Datenstandort	Wählen Sie diese Option in folgenden Fällen aus: Sie möchten Ihre eigenen Verschlüsselungsschlüssel verwalten Sie möchten Ihre Kerninhalte und -Prozesse in derselben geografischen Region speichern

Nutzerpfad A: Von Google verwaltete Verschlüsselung, kein Datenstandort

In Schritt 3 zeigt die Konsole eine Liste von Konfigurationsoptionen für Hosting und Verschlüsselung sowie deren Standardwerte an. Sie können die Standardkonfiguration akzeptieren oder auf Bearbeiten klicken, um den Bereich Hosting und Verschlüsselungsschlüssel zu öffnen.

Wählen Sie im Abschnitt Verschlüsselungstyp die Option Von Google verwalteter Verschlüsselungsschlüssel aus. Dies ist ein von Google verwalteter, serverseitiger Verschlüsselungsschlüssel, der zum Verschlüsseln Ihrer Apigee-Instanzen und -Daten verwendet wird, bevor sie auf das Laufwerk geschrieben werden.
Klicken Sie auf Next (Weiter).
Im Abschnitt Steuerungsebene:
1. Entfernen Sie das Häkchen aus dem Kästchen Datenstandort aktivieren.
  Hinweis: Wenn Sie eine neue Apigee-Organisation in einem Google Cloud-Projekt mit einer Einschränkung des Ressourcenstandorts bereitstellen, die auf eine Organisationsrichtlinie angewendet wird, bestätigen Sie ob die Standortbeschränkung auf global gesetzt ist. Da die Apigee-Steuerungsebene standardmäßig eine globale Entität ist, schlägt die Bereitstellung fehl, wenn eine andere Einschränkung als global angewendet wird. Weitere Informationen finden Sie unter Einführung in den Datenstandort.
2. Wählen Sie in der Drop-down-Liste Analytics-Region den physischen Speicherort aus, an dem Ihre Analysedaten gespeichert werden sollen. Eine Liste der verfügbaren Apigee API Analytics-Regionen finden Sie unter Apigee-Standorte.
3. Klicken Sie auf Bestätigen.
Im Bereich Laufzeit:
1. Wählen Sie in der Drop-down-Liste Laufzeit-Hosting-Region die Region aus, in der die Instanz gehostet werden soll.
2. Unter Verschlüsselungsschlüssel der Laufzeitdatenbank wird Von Google verwaltet als Verschlüsselungstyp aufgeführt.
3. Unter Verschlüsselungsschlüssel des Laufzeitlaufwerks wird Von Google verwaltet als Verschlüsselungstyp aufgeführt.
4. Klicken Sie auf Bestätigen.
5. Klicken Sie auf Fertig.
Klicken Sie auf Next (Weiter).

Fahren Sie mit dem nächsten Schritt fort: Schritt 4: Zugriffsrouting anpassen.

Nutzerpfad B: Von Google verwaltete Verschlüsselung, mit Datenstandort

Wählen Sie im Abschnitt Verschlüsselungstyp die Option Von Google verwalteter Verschlüsselungsschlüssel aus. Dies ist ein von Google verwalteter, serverseitiger Verschlüsselungsschlüssel, der zum Verschlüsseln Ihrer Apigee-Instanzen und -Daten verwendet wird, bevor sie auf das Laufwerk geschrieben werden.
Klicken Sie auf Next (Weiter).
Im Abschnitt Steuerungsebene:
1. Klicken Sie auf das Kästchen Datenstandort aktivieren.
2. Im Abschnitt Hosting-Standort der Steuerungsebene:
  1. Wählen Sie den Standorttyp aus:
    - Region: Ihre Daten werden in einer einzelnen Region gespeichert, wodurch die Latenz verringert werden kann.
    - Mehrere Regionen: Ihre Daten werden in mehr als einer Region gespeichert, was die Verfügbarkeit in einem großen Gebiet erhöhen kann.
  2. Wählen Sie in der angezeigten Drop-down-Liste Region oder Mehrere Regionen den physischen Speicherort aus, an dem Ihre Daten gespeichert werden sollen. Eine Liste der verfügbaren Regionen der Steuerungsebene finden Sie unter Apigee-Standorte.
  3. Unter Verschlüsselungsschlüssel der Steuerungsebene wird Von Google verwaltet als Verschlüsselungstyp aufgeführt.
    Hinweis: Dieser Schritt ist nur erforderlich, wenn Sie us (multiple regions in us) oder eu (multiple regions in European Union) als Hosting-Standort für die Steuerungsebene auswählen. Wenn Sie eine andere Region auswählen, ist dieser Schlüssel nicht erforderlich.
3. Wählen Sie in der Drop-down-Liste API-Nutzerdatenregion den physischen Speicherort aus, an dem Ihre Daten gespeichert werden sollen. Eine Liste der verfügbaren Regionen der Steuerungsebene finden Sie unter Apigee-Standorte.
4. Unter Verschlüsselungsschlüssel für API-Nutzerdaten wird Von Google verwaltet als Verschlüsselungstyp aufgeführt.
5. Klicken Sie auf Bestätigen.
6. Im Bereich Laufzeit:
  1. Wählen Sie in der Drop-down-Liste Laufzeit-Hosting-Region die Region aus, in der die Instanz gehostet werden soll. Eine Liste der verfügbaren Laufzeitregionen finden Sie unter Apigee-Standorte. Wenn Sie den Datenstandort verwenden, muss sich der Laufzeitstandort innerhalb der Region der Steuerungsebene befinden.
  2. Unter Verschlüsselungsschlüssel der Laufzeitdatenbank wird Von Google verwaltet als Verschlüsselungstyp aufgeführt.
  3. Unter Verschlüsselungsschlüssel des Laufzeitlaufwerks wird Von Google verwaltet als Verschlüsselungstyp aufgeführt.
  4. Klicken Sie auf Bestätigen.
  5. Klicken Sie auf Fertig.
7. Klicken Sie auf Next (Weiter).
Warnung: Wenn Sie (am Ende von Schritt 4) die vollständige Konfiguration zur Bereitstellung von Apigee eingereicht haben, können Sie nicht mehr zurückgehen und die Auswahl der Hosting-Region und der Verschlüsselungsschlüssel ändern. Apigee unterstützt nach Abschluss der Bereitstellung nicht die Aktualisierung der getroffenen Auswahl der Hosting-Region oder der Verschlüsselungsschlüssel. Wenn Sie beispielsweise von Google verwaltete Verschlüsselung auswählen, können Sie die Auswahl nicht später in eine vom Kunden verwaltete Verschlüsselung ändern oder umgekehrt.

Fahren Sie mit dem nächsten Schritt fort: Schritt 4: Zugriffsrouting anpassen.

Nutzerpfad C: Vom Kunden verwaltete Verschlüsselung, kein Datenstandort

In Schritt 3 zeigt die Konsole eine Liste von Konfigurationsoptionen für Hosting und Verschlüsselung sowie deren Standardwerte an. Sie können die Standardkonfiguration akzeptieren oder auf Bearbeiten klicken, um den Bereich Hosting und Verschlüsselungsschlüssel zu öffnen.
1. Wählen Sie im Abschnitt Verschlüsselungstyp die Option Vom Kunden verwalteter Verschlüsselungsschlüssel (CMEK) aus. Dies ist ein vom Nutzer verwalteter, serverseitiger Verschlüsselungsschlüssel, der zum Verschlüsseln Ihrer Apigee-Instanzen und -Daten verwendet wird, bevor sie auf das Laufwerk geschrieben werden.
2. Klicken Sie auf Next (Weiter).
3. Im Abschnitt Steuerungsebene:
  1. Entfernen Sie das Häkchen aus dem Kästchen Datenstandort aktivieren.
    Hinweis: Wenn Sie eine neue Apigee-Organisation in einem Google Cloud-Projekt mit einer Einschränkung des Ressourcenstandorts bereitstellen, die auf eine Organisationsrichtlinie angewendet wird, bestätigen Sie ob die Standortbeschränkung auf global gesetzt ist. Da die Apigee-Steuerungsebene standardmäßig eine globale Entität ist, schlägt die Bereitstellung fehl, wenn eine andere Einschränkung als global angewendet wird. Weitere Informationen finden Sie unter Einführung in den Datenstandort.
  2. Wählen Sie in der Drop-down-Liste Analytics-Region den physischen Speicherort aus, an dem Ihre Analysedaten gespeichert werden sollen. Eine Liste der verfügbaren Apigee API Analytics-Regionen finden Sie unter Apigee-Standorte.
  3. Klicken Sie auf Bestätigen.
4. Im Bereich Laufzeit:
  1. Wählen Sie in der Drop-down-Liste Laufzeit-Hosting-Region die Region aus, in der die Instanz gehostet werden soll.
  2. In der Drop-down-Liste Verschlüsselungsschlüssel der Laufzeitdatenbank wählen oder erstellen Sie einen Schlüssel für die Daten, die an Laufzeitstandorten gespeichert und repliziert werden.
  3. Klicken Sie auf Erteilen, wenn Sie dazu aufgefordert werden.
  4. In der Drop-down-Liste Verschlüsselungsschlüssel des Laufzeitlaufwerks wählen oder erstellen Sie einen Schlüssel für Laufzeitinstanzdaten, bevor diese auf das Laufwerk geschrieben werden. Jede Instanz hat einen eigenen Laufwerkverschlüsselungsschlüssel.
  5. Klicken Sie auf Erteilen, wenn Sie dazu aufgefordert werden.
  6. Klicken Sie auf Bestätigen.
  7. Klicken Sie auf Fertig.
5. Klicken Sie auf Next (Weiter).
Warnung: Wenn Sie (am Ende von Schritt 4) die vollständige Konfiguration zur Bereitstellung von Apigee eingereicht haben, können Sie nicht mehr zurückgehen und die Auswahl der Hosting-Region und der Verschlüsselungsschlüssel ändern. Apigee unterstützt nach Abschluss der Bereitstellung nicht die Aktualisierung der getroffenen Auswahl der Hosting-Region oder der Verschlüsselungsschlüssel. Wenn Sie beispielsweise von Google verwaltete Verschlüsselung auswählen, können Sie die Auswahl nicht später in eine vom Kunden verwaltete Verschlüsselung ändern oder umgekehrt.

Fahren Sie mit dem nächsten Schritt fort: Schritt 4: Zugriffsrouting anpassen.

Nutzerpfad D: Vom Kunden verwaltete Verschlüsselung, mit Datenstandort

In Schritt 3 zeigt die Konsole eine Liste von Konfigurationsoptionen für Hosting und Verschlüsselung sowie deren Standardwerte an. Sie können die Standardkonfiguration akzeptieren oder auf Bearbeiten klicken, um den Bereich Hosting und Verschlüsselungsschlüssel zu öffnen.
1. Wählen Sie im Abschnitt Verschlüsselung die Option Vom Kunden verwalteter Verschlüsselungsschlüssel (CMEK) aus. Dies ist ein vom Nutzer verwalteter, serverseitiger Verschlüsselungsschlüssel, der zum Verschlüsseln Ihrer Apigee-Instanzen und -Daten verwendet wird, bevor sie auf das Laufwerk geschrieben werden.
2. Klicken Sie auf Next (Weiter).
3. Im Abschnitt Steuerungsebene:
  1. Klicken Sie auf das Kästchen Datenstandort aktivieren.
  2. Im Abschnitt Hosting-Standort der Steuerungsebene:
    1. Wählen Sie den Standorttyp aus:
      - Region: Ihre Daten werden in einer einzelnen Region gespeichert, wodurch die Latenz verringert werden kann.
      - Mehrere Regionen: Ihre Daten werden in mehr als einer Region gespeichert, was die Verfügbarkeit in einem großen Gebiet erhöhen kann.
    2. Wählen Sie in der angezeigten Drop-down-Liste Region oder Mehrere Regionen den physischen Speicherort aus, an dem Ihre Daten gespeichert werden sollen. Eine Liste der verfügbaren Regionen der Steuerungsebene finden Sie unter Apigee-Standorte.
    3. In der Drop-down-Liste Verschlüsselungsschlüssel der Steuerungsebene wählen oder erstellen Sie einen Schlüssel für die Daten, die an Laufzeitstandorten gespeichert und repliziert werden.
      Hinweis: Dieser Schritt ist nur erforderlich, wenn Sie us (multiple regions in us) oder eu (multiple regions in European Union) als Hosting-Standort für die Steuerungsebene auswählen. Wenn Sie eine andere Region auswählen, ist dieser Schlüssel nicht erforderlich.
    4. Klicken Sie auf Erteilen, wenn Sie dazu aufgefordert werden.
  3. Wählen Sie in der Drop-down-Liste API-Nutzerdatenregion den physischen Speicherort aus, an dem Ihre Daten gespeichert werden sollen. Eine Liste der verfügbaren Regionen der Steuerungsebene finden Sie unter Apigee-Standorte.
  4. In der Drop-down-Liste Verschlüsselungsschlüssel für API-Nutzerdaten wählen oder erstellen Sie einen Schlüssel für Daten, die für die Steuerungsebene gespeichert sind.
  5. Klicken Sie auf Erteilen, wenn Sie dazu aufgefordert werden.
  6. Klicken Sie auf Bestätigen.
  7. Im Bereich Laufzeit:
    1. Wählen Sie in der Drop-down-Liste Laufzeit-Hosting-Region die Region aus, in der die Instanz gehostet werden soll. Wenn Sie den Datenstandort verwenden, muss sich der Laufzeitstandort innerhalb der Region der Steuerungsebene befinden.
    2. In der Drop-down-Liste Verschlüsselungsschlüssel der Laufzeitdatenbank wählen oder erstellen Sie einen Schlüssel für die Daten, die an Laufzeitstandorten gespeichert und repliziert werden.
    3. Klicken Sie auf Erteilen, wenn Sie dazu aufgefordert werden.
    4. In der Drop-down-Liste Verschlüsselungsschlüssel des Laufzeitlaufwerks wählen oder erstellen Sie einen Schlüssel für Laufzeitinstanzdaten, bevor diese auf das Laufwerk geschrieben werden. Jede Instanz hat einen eigenen Laufwerkverschlüsselungsschlüssel.
    5. Klicken Sie auf Erteilen, wenn Sie dazu aufgefordert werden.
    6. Klicken Sie auf Bestätigen.
    7. Klicken Sie auf Fertig.
  8. Klicken Sie auf Next (Weiter).
  Warnung: Wenn Sie (am Ende von Schritt 4) die vollständige Konfiguration zur Bereitstellung von Apigee eingereicht haben, können Sie nicht mehr zurückgehen und die Auswahl der Hosting-Region und der Verschlüsselungsschlüssel ändern. Apigee unterstützt nach Abschluss der Bereitstellung nicht die Aktualisierung der getroffenen Auswahl der Hosting-Region oder der Verschlüsselungsschlüssel. Wenn Sie beispielsweise von Google verwaltete Verschlüsselung auswählen, können Sie die Auswahl nicht später in eine vom Kunden verwaltete Verschlüsselung ändern oder umgekehrt.
  
  Fahren Sie mit dem nächsten Schritt fort: Schritt 4: Zugriffsrouting anpassen.
  
  Schlüssel erstellen
  
  So erstellen Sie einen Schlüssel:
  1. Klicken Sie auf Schlüssel erstellen.
  2. Wählen Sie einen Schlüsselbund aus. Wenn kein Schlüsselbund vorhanden ist, aktivieren Sie Schlüsselbund erstellen. Geben Sie dann einen Schlüsselbundnamen ein und wählen Sie einen Standort für den Schlüsselbund aus. Schlüsselbundnamen können Buchstaben, Ziffern, Unterstriche (_) und Bindestriche (-) enthalten. Schlüsselbunde können weder umbenannt noch gelöscht werden.
  3. Klicken Sie auf Weiter.
  4. Erstellen Sie einen Schlüssel. Geben Sie einen Namen und ein Schutzniveau ein. Beachten Sie, dass Schlüsselnamen Buchstaben, Ziffern, Unterstriche (_) und Bindestriche (-) enthalten können. Schlüssel können nicht umbenannt oder gelöscht werden. Als Schutzniveau ist Software eine gute Wahl. Dies ist die Standardeinstellung, die auch von Cloud KMS verwendet wird. Sie können sie aber bei Bedarf ändern.
  5. Klicken Sie auf Weiter und prüfen Sie Ihre Auswahl.
  6. Klicken Sie auf Erstellen.