Questa pagina è stata tradotta dall'API Cloud Translation.

Passaggio 3: configura l'hosting e la crittografia

Questa pagina si applica ad Apigee, ma non ad Apigee ibrido.

Visualizza la documentazione di Apigee Edge.

Cosa stai facendo in questo passaggio

In questo passaggio, a seconda del percorso dell'utente specifico, specificherai le località di hosting per le analisi o il piano di controllo Apigee, le istanze di runtime e dataplane e la regione di dati consumer delle API. Puoi anche specificare le selezioni delle chiavi di crittografia.

La differenza tra ogni percorso dell'utente è la selezione o la creazione di chiavi di crittografia, che siano gestite da Google o dal cliente e dal fatto che la residenza dei dati sia abilitata o meno.

Alcune funzionalità non sono supportate quando è abilitata la residenza dei dati. Per maggiori dettagli, consulta Compatibilità della residenza dei dati.

Le seguenti chiavi vengono utilizzate durante la creazione dell'organizzazione:

Chiave di crittografia	Description
Chiave del piano di controllo	Cripta i dati di Analytics archiviati in BigQuery nel progetto tenant di Apigee. Cripta i proxy API, i server di destinazione, gli archivi di attendibilità e gli archivi chiavi e qualsiasi altra risorsa condivisa tra i runtime.
Chiave dati utente API	Cripta i dati dell'infrastruttura dei servizi. Deve essere una regione all'interno della località del piano di controllo.
Chiave database di runtime	Cripta i dati delle applicazioni come KVM, cache e client secret, che vengono poi archiviati nel database.

Chiave di crittografia

Description

Chiave del piano di controllo

Cripta i dati di Analytics archiviati in BigQuery nel progetto tenant di Apigee.

Cripta i proxy API, i server di destinazione, gli archivi di attendibilità e gli archivi chiavi e qualsiasi altra risorsa condivisa tra i runtime.

Chiave dati utente API

Cripta i dati dell'infrastruttura dei servizi. Deve essere una regione all'interno della località del piano di controllo.

Chiave database di runtime

Cripta i dati delle applicazioni come KVM, cache e client secret, che vengono poi archiviati nel database.

La seguente chiave viene utilizzata durante ogni creazione dell'istanza:

Chiave di crittografia	Description
Chiave disco di runtime	Cripta le KVM, la cache dell'ambiente, i bucket e i contatori della quota. Cripta prodotti API di dati KMS, sviluppatori, app di sviluppatori, token OAuth (inclusi token di accesso, token di aggiornamento e codici di autorizzazione) e chiavi API.

Esegui il passaggio

Autorizzazioni richieste per questa attività

Puoi assegnare al provisioner Apigee un ruolo predefinito che include le autorizzazioni necessarie per completare questa attività oppure concedere autorizzazioni più granulari per fornire il privilegio minimo necessario. Consulta Ruoli predefiniti e Autorizzazioni delle istanze di runtime.

Per visualizzare i passaggi relativi a uno specifico percorso dell'utente, seleziona uno dei seguenti percorsi dell'utente. Sono elencati in ordine di complessità, il più semplice è il percorso dell'utente A.

Visualizza il diagramma di flusso del percorso dell'utente

Il seguente diagramma mostra i possibili percorsi degli utenti per configurare l'hosting e la crittografia per un'organizzazione con pagamento a consumo utilizzando la console Cloud.

I percorsi degli utenti sono indicati da A ad F e sono ordinati da facile a complesso, dove A è il più semplice e F è il più complesso.

Flusso di provisioning del pagamento a consumo

	Percorso dell'utente	Descrizione
	Percorso dell'utente A: crittografia gestita da Google, nessuna residenza dei dati	Seleziona questa opzione se: Vuoi che Google gestisca le chiavi di crittografia Non sono tenuti ad archiviare contenuti principali ed elaborazione nella stessa regione geografica
	Percorso dell'utente B: crittografia gestita da Google, con residenza dei dati	Seleziona questa opzione se: Vuoi che Google gestisca le chiavi di crittografia Vogliono archiviare contenuti principali ed elaborazione nella stessa regione geografica
	Percorso dell'utente C: crittografia gestita dal cliente, nessuna residenza dei dati	Seleziona questa opzione se: Vuoi gestire le tue chiavi di crittografia Non sono tenuti ad archiviare i contenuti principali e l'elaborazione nella stessa regione geografica
	Percorso dell'utente D: crittografia gestita dal cliente, con residenza dei dati	Seleziona questa opzione se: Vuoi gestire le tue chiavi di crittografia Desideri archiviare i contenuti principali e le relative procedure nella stessa regione geografica

Percorso dell'utente A: crittografia gestita da Google, nessuna residenza dei dati

Nel passaggio 3, la console visualizza un elenco di opzioni di configurazione di hosting e crittografia con i relativi valori predefiniti. Puoi accettare la configurazione predefinita o fare clic su Modifica per aprire il riquadro Chiavi di hosting e crittografia.

Nella sezione Tipo di crittografia, seleziona Chiave di crittografia gestita da Google. Questa è una chiave di crittografia lato server, gestita da Google, utilizzata per criptare i dati e le istanze Apigee prima che vengano scritti su disco.
Tocca Avanti.
Nella sezione Piano di controllo:
1. Deseleziona la casella Abilita la residenza dei dati.
  Nota: se esegui il provisioning di una nuova organizzazione Apigee all'interno di un progetto Google Cloud con un vincolo di località delle risorse applicato in un criterio dell'organizzazione, verifica che il vincolo di località sia impostato su global. Poiché il piano di controllo Apigee è un'entità globale per impostazione predefinita, il provisioning non andrà a buon fine se viene applicato un vincolo diverso da global. Per saperne di più, consulta Introduzione alla residenza dei dati.
2. Nell'elenco a discesa Regione di Analytics, seleziona la località fisica in cui vuoi che vengano archiviati i dati di Analytics. Per un elenco delle regioni di analisi delle API Apigee disponibili, consulta le località di Apigee.
3. Fai clic su Conferma.
Nella sezione Runtime:
1. Nell'elenco a discesa Regione hosting runtime, seleziona la regione in cui vuoi che venga ospitata l'istanza.
2. In Chiave di crittografia del database di runtime, il tipo di crittografia indicato è Gestita da Google.
3. In Chiave di crittografia del disco di runtime, il tipo di crittografia è Gestita da Google.
4. Fai clic su Conferma.
5. Fai clic su Fine.
Tocca Avanti.

Vai al passaggio successivo, Passaggio 4: personalizza il routing degli accessi.

Percorso dell'utente B: crittografia gestita da Google, con residenza dei dati

Nella sezione Tipo di crittografia, seleziona Chiave di crittografia gestita da Google. Questa è una chiave di crittografia lato server, gestita da Google, utilizzata per criptare i dati e le istanze Apigee prima che vengano scritti su disco.
Tocca Avanti.
Nella sezione Piano di controllo:
1. Seleziona la casella Abilita la residenza dei dati.
2. Nella sezione Posizione di hosting del piano di controllo:
  1. Seleziona il Tipo di località:
    - Regione: i dati vengono archiviati in un'unica regione, il che può ridurre la latenza.
    - Più regioni: i dati sono archiviati in più di una regione, il che può aumentare la disponibilità in un'area di grandi dimensioni.
  2. Nell'elenco a discesa Regione o Più regioni visualizzato, seleziona la località fisica in cui vuoi che vengano archiviati i dati. Per un elenco delle regioni del piano di controllo disponibili, consulta le località di Apigee.
  3. In Chiave di crittografia del piano di controllo, il tipo di crittografia è Gestita da Google.
    Nota: questo passaggio è necessario solo se selezioni us (multiple regions in us) o eu (multiple regions in European Union) come posizione di hosting del piano di controllo. Se selezioni un'altra regione, questa chiave non è obbligatoria.
3. Dall'elenco a discesa Regione di dati consumer API, seleziona la località fisica in cui vuoi che vengano archiviati i dati. Per un elenco delle regioni del piano di controllo disponibili, consulta Località di Apigee.
4. In Chiave di crittografia dei dati consumer API, il tipo di crittografia è Gestita da Google.
5. Fai clic su Conferma.
6. Nella sezione Runtime:
  1. Nell'elenco a discesa Regione hosting runtime, seleziona la regione in cui vuoi che venga ospitata l'istanza. Per un elenco delle regioni di runtime disponibili, consulta le località di Apigee. Se utilizzi la residenza dei dati, la località di runtime deve trovarsi all'interno della regione del piano di controllo.
  2. In Chiave di crittografia del database di runtime, il tipo di crittografia indicato è Gestita da Google.
  3. In Chiave di crittografia del disco di runtime, il tipo di crittografia è Gestita da Google.
  4. Fai clic su Conferma.
  5. Fai clic su Fine.
7. Tocca Avanti.
Avviso: quando invii la configurazione completata per il provisioning di Apigee (alla fine del passaggio 4), non puoi tornare indietro e modificare le selezioni della regione di hosting e della chiave di crittografia. Apigee non supporta l'aggiornamento della regione di hosting o delle selezioni delle chiavi di crittografia dopo il completamento del provisioning. Ad esempio, se selezioni la crittografia gestita da Google, non puoi passare alla crittografia gestita dal cliente in un secondo momento e viceversa.

Vai al passaggio successivo, Passaggio 4: personalizza il routing degli accessi.

Percorso dell'utente C: crittografia gestita dal cliente, nessuna residenza dei dati

Nel passaggio 3, la console visualizza un elenco di opzioni di configurazione di hosting e crittografia con i relativi valori predefiniti. Puoi accettare la configurazione predefinita o fare clic su Modifica per aprire il riquadro Chiavi di hosting e crittografia.
1. Nella sezione Tipo di crittografia, seleziona Chiave di crittografia gestita dal cliente (CMEK). Questa è una chiave di crittografia lato server gestita dall'utente utilizzata per criptare i dati e le istanze Apigee prima che vengano scritti su disco.
2. Tocca Avanti.
3. Nella sezione Piano di controllo:
  1. Deseleziona la casella Abilita la residenza dei dati.
    Nota: se esegui il provisioning di una nuova organizzazione Apigee all'interno di un progetto Google Cloud con un vincolo di località delle risorse applicato in un criterio dell'organizzazione, verifica che il vincolo di località sia impostato su global. Poiché il piano di controllo Apigee è un'entità globale per impostazione predefinita, il provisioning non andrà a buon fine se viene applicato un vincolo diverso da global. Per saperne di più, consulta Introduzione alla residenza dei dati.
  2. Nell'elenco a discesa Regione di Analytics, seleziona la località fisica in cui vuoi che vengano archiviati i dati di Analytics. Per un elenco delle regioni di analisi delle API Apigee disponibili, consulta le località di Apigee.
  3. Fai clic su Conferma.
4. Nella sezione Runtime:
  1. Nell'elenco a discesa Regione hosting runtime, seleziona la regione in cui vuoi che venga ospitata l'istanza.
  2. Nell'elenco a discesa Chiave di crittografia del database di runtime, seleziona o crea una chiave per i dati archiviati e replicati nelle località di runtime.
  3. Se richiesto, fai clic su Concedi.
  4. Dall'elenco a discesa Chiave di crittografia del disco di runtime, seleziona o crea una chiave per i dati delle istanze di runtime prima che vengano scritti su disco. Ogni istanza ha la propria chiave di crittografia del disco.
  5. Se richiesto, fai clic su Concedi.
  6. Fai clic su Conferma.
  7. Fai clic su Fine.
5. Tocca Avanti.
Avviso: quando invii la configurazione completata per il provisioning di Apigee (alla fine del passaggio 4), non puoi tornare indietro e modificare le selezioni della regione di hosting e della chiave di crittografia. Apigee non supporta l'aggiornamento della regione di hosting o delle selezioni delle chiavi di crittografia dopo il completamento del provisioning. Ad esempio, se selezioni la crittografia gestita da Google, non puoi passare alla crittografia gestita dal cliente in un secondo momento e viceversa.

Vai al passaggio successivo, Passaggio 4: personalizza il routing degli accessi.

Percorso dell'utente D: crittografia gestita dal cliente, con residenza dei dati

Nel passaggio 3, la console visualizza un elenco di opzioni di configurazione di hosting e crittografia con i relativi valori predefiniti. Puoi accettare la configurazione predefinita o fare clic su Modifica per aprire il riquadro Chiavi di hosting e crittografia.
1. Nella sezione Tipo di crittografia, seleziona Chiave di crittografia gestita dal cliente (CMEK). Questa è una chiave di crittografia lato server gestita dall'utente utilizzata per criptare i dati e le istanze Apigee prima che vengano scritti su disco.
2. Tocca Avanti.
3. Nella sezione Piano di controllo:
  1. Seleziona la casella Abilita la residenza dei dati.
  2. Nella sezione Posizione di hosting del piano di controllo:
    1. Seleziona il Tipo di località:
      - Regione: i dati vengono archiviati in un'unica regione, il che può ridurre la latenza.
      - Più regioni: i dati sono archiviati in più di una regione, il che può aumentare la disponibilità in un'area di grandi dimensioni.
    2. Nell'elenco a discesa Regione o Più regioni visualizzato, seleziona la località fisica in cui vuoi che vengano archiviati i dati. Per un elenco delle regioni del piano di controllo disponibili, consulta le località di Apigee.
    3. Nell'elenco a discesa Chiave di crittografia del piano di controllo, seleziona o crea una chiave per i dati archiviati e replicati nelle località di runtime.
      Nota: questo passaggio è necessario solo se selezioni us (multiple regions in us) o eu (multiple regions in European Union) come posizione di hosting del piano di controllo. Se selezioni un'altra regione, questa chiave non è obbligatoria.
    4. Se richiesto, fai clic su Concedi.
  3. Dall'elenco a discesa Regione di dati consumer API, seleziona la località fisica in cui vuoi che vengano archiviati i dati. Per un elenco delle regioni del piano di controllo disponibili, consulta Località di Apigee.
  4. Nell'elenco a discesa Chiave di crittografia dei dati consumer dell'API, seleziona o crea una chiave per i dati archiviati per il piano di controllo.
  5. Se richiesto, fai clic su Concedi.
  6. Fai clic su Conferma.
  7. Nella sezione Runtime:
    1. Nell'elenco a discesa Regione hosting runtime, seleziona la regione in cui vuoi che venga ospitata l'istanza. Se utilizzi la residenza dei dati, la località del runtime deve trovarsi all'interno della regione del piano di controllo.
    2. Nell'elenco a discesa Chiave di crittografia del database di runtime, seleziona o crea una chiave per i dati archiviati e replicati nelle località di runtime.
    3. Se richiesto, fai clic su Concedi.
    4. Dall'elenco a discesa Chiave di crittografia del disco di runtime, seleziona o crea una chiave per i dati delle istanze di runtime prima che vengano scritti su disco. Ogni istanza ha la propria chiave di crittografia del disco.
    5. Se richiesto, fai clic su Concedi.
    6. Fai clic su Conferma.
    7. Fai clic su Fine.
  8. Tocca Avanti.
  Avviso: quando invii la configurazione completata per il provisioning di Apigee (alla fine del passaggio 4), non puoi tornare indietro e modificare le selezioni della regione di hosting e della chiave di crittografia. Apigee non supporta l'aggiornamento della regione di hosting o delle selezioni delle chiavi di crittografia dopo il completamento del provisioning. Ad esempio, se selezioni la crittografia gestita da Google, non puoi passare alla crittografia gestita dal cliente in un secondo momento e viceversa.
  
  Vai al passaggio successivo, Passaggio 4: personalizza il routing degli accessi.
  
  Come creare una chiave
  
  Per creare una chiave:
  1. Fai clic su Crea chiave.
  2. Seleziona un keyring o, se non ne esiste uno, abilita Crea keyring e inserisci il nome di un keyring e seleziona la posizione del keyring. I nomi dei keyring possono contenere lettere, numeri, trattini bassi (_) e trattini (-). I keyring non possono essere rinominati o eliminati.
  3. Fai clic su Continua.
  4. Crea una chiave. Inserisci un nome e un livello di protezione. Tieni presente che i nomi delle chiavi possono contenere lettere, numeri, trattini bassi (_) e trattini (-). Le chiavi non possono essere rinominate o eliminate. Per il livello di protezione, il Software è un'ottima scelta. Si tratta dello stesso valore predefinito utilizzato da Cloud KMS, ma se vuoi, puoi modificarlo.
  5. Fai clic su Continua e rivedi le selezioni.
  6. Fai clic su Crea.