3단계: 호스팅 및 암호화 구성

이 페이지는 Apigee에 적용되지만 Apigee Hybrid에는 적용되지 않습니다.

Apigee Edge 문서 보기

이 단계에서 수행할 작업

이 단계에서는 특정 사용자 경험에 따라 Apigee 분석 또는 제어 영역, 런타임 및 데이터 영역 인스턴스, API 소비자 데이터 리전의 호스팅 위치를 지정합니다. 암호화 키 선택도 지정합니다.

각 사용자 경험의 차이점은 암호화 키를 선택할지 아니면 만들지, Google이 관리하는지 아니면 고객이 관리하는지, 데이터 상주를 사용 설정하는지 여부입니다.

데이터 상주가 사용 설정되면 일부 기능이 지원되지 않습니다. 자세한 내용은 데이터 상주 호환성을 참조하세요.

조직을 만드는 동안 다음 키가 사용됩니다.

암호화 키	설명
제어 영역 키	Apigee 테넌트 프로젝트에서 BigQuery 내에 저장되는 분석 데이터를 암호화합니다. API 프록시, 대상 서버, 트러스트 저장소와 키 저장소, 런타임 동안 공유되는 기타 모든 항목을 암호화합니다.
API 소비자 데이터 키	서비스 인프라 데이터를 암호화합니다. 제어 영역 위치 내의 리전이어야 합니다.
런타임 데이터베이스 키	KVM, 캐시, 클라이언트 보안 비밀번호와 같은 애플리케이션 데이터를 암호화한 후 데이터베이스에 저장합니다.

암호화 키

설명

제어 영역 키

Apigee 테넌트 프로젝트에서 BigQuery 내에 저장되는 분석 데이터를 암호화합니다.

API 프록시, 대상 서버, 트러스트 저장소와 키 저장소, 런타임 동안 공유되는 기타 모든 항목을 암호화합니다.

API 소비자 데이터 키

서비스 인프라 데이터를 암호화합니다. 제어 영역 위치 내의 리전이어야 합니다.

런타임 데이터베이스 키

KVM, 캐시, 클라이언트 보안 비밀번호와 같은 애플리케이션 데이터를 암호화한 후 데이터베이스에 저장합니다.

각 인스턴스를 만들 때 다음 키가 사용됩니다.

암호화 키	설명
런타임 디스크 키	KVM, 환경 캐시, 할당량 버킷, 카운터를 암호화합니다. API 제품, 개발자, 개발자 앱, OAuth 토큰(액세스 토큰, 갱신 토큰, 승인 코드 포함), API 키 등의 KMS 데이터를 암호화합니다.

단계 수행

이 태스크에 필요한 권한

이 태스크를 완료하는 데 필요한 권한이 포함된 사전 정의된 역할을 Apigee 프로비저닝 도구에 제공하거나 필요한 최소 권한을 제공하는 보다 세분화된 권한을 부여할 수 있습니다. 사전 정의된 역할과 런타임 인스턴스 권한을 참조하세요.

특정 사용자 경험의 단계를 보려면 다음 사용자 경험 중 하나를 선택합니다. 복잡도 순서로 나열되어 있으며 가장 쉬운 방식은 사용자 경험 A입니다.

사용자 경험 흐름 다이어그램 보기

다음 다이어그램은 Cloud 콘솔을 사용하여 사용한 만큼만 지불 조직의 호스팅 및 암호화를 구성할 수 있는 사용자 경험을 보여줍니다.

사용자 경험은 A부터 F까지 쉬운 방식부터 복잡한 방식 순으로 표시되어 있습니다. A가 가장 쉽고 F가 가장 복잡합니다.

	사용자 경험	설명
	사용자 경험 A: Google 관리 암호화, 데이터 상주 없음	다음과 같은 경우 이 옵션을 선택하세요. Google이 암호화 키를 관리하도록 하려는 경우 핵심 콘텐츠 및 처리를 지리적으로 동일한 리전에 저장할 필요가 없는 경우
	사용자 경험 B: Google 관리 암호화, 데이터 상주 포함	다음과 같은 경우 이 옵션을 선택하세요. Google이 암호화 키를 관리하도록 하려는 경우 핵심 콘텐츠 및 처리를 지리적으로 동일한 리전에 저장하려는 경우
	사용자 경험 C: 고객 관리 암호화, 데이터 상주 없음	다음과 같은 경우 이 옵션을 선택하세요. 자체 암호화 키를 관리하려는 경우 핵심 콘텐츠 및 처리를 지리적으로 동일한 리전에 저장할 필요가 없는 경우
	사용자 경험 D: 고객 관리 암호화, 데이터 상주 포함	다음과 같은 경우 이 옵션을 선택하세요. 자체 암호화 키를 관리하려는 경우 핵심 콘텐츠 및 처리를 지리적으로 동일한 리전에 저장하려는 경우

사용자 경험 A: Google 관리 암호화, 데이터 상주 없음

3단계에서는 콘솔에 호스팅 및 암호화 구성 옵션 목록과 해당 기본값이 표시됩니다. 기본 구성을 수락하거나 수정을 클릭하여 호스팅 및 암호화 키 패널을 엽니다.

암호화 유형 섹션에서 Google 관리 암호화 키를 선택합니다. Apigee 인스턴스 및 데이터를 디스크에 기록하기 전에 암호화하는 데 사용되는 Google 관리 서버 측 암호화 키입니다.
다음을 클릭합니다.
제어 영역 섹션에서 다음을 수행합니다.
1. 데이터 상주 사용 설정 체크박스를 선택 취소합니다.
  참고: 조직 정책에 리소스 위치 제약조건이 적용된 Google Cloud 프로젝트 내에서 새 Apigee 조직을 프로비저닝하는 경우 위치 제약조건이 global로 설정되어 있는지 확인합니다. Apigee 제어 영역은 기본적으로 전역 항목이므로 global 이외의 제약조건이 적용되면 프로비저닝이 실패합니다. 자세한 내용은 데이터 상주 소개를 참조하세요.
2. 분석 리전 드롭다운 목록에서 애널리틱스 데이터를 저장할 물리적 위치를 선택합니다. 사용 가능한 Apigee API 분석 리전 목록은 Apigee 위치를 참조하세요.
3. 확인을 클릭합니다.
런타임 섹션에서 다음을 수행합니다.
1. 런타임 호스팅 리전 드롭다운 목록에서 인스턴스를 호스팅할 리전을 선택합니다.
2. 런타임 데이터베이스 암호화 키 아래에 Google 관리가 암호화 유형으로 나열됩니다.
3. 런타임 디스크 암호화 키에 Google 관리가 암호화 유형으로 나열됩니다.
4. 확인을 클릭합니다.
5. 완료를 클릭합니다.
다음을 클릭합니다.

다음 단계인 4단계: 액세스 라우팅 맞춤설정으로 이동합니다.

사용자 경험 B: Google 관리 암호화, 데이터 상주 포함

암호화 유형 섹션에서 Google 관리 암호화 키를 선택합니다. Apigee 인스턴스 및 데이터를 디스크에 기록하기 전에 암호화하는 데 사용되는 Google 관리 서버 측 암호화 키입니다.
다음을 클릭합니다.
제어 영역 섹션에서 다음을 수행합니다.
1. 데이터 상주 사용 설정 체크박스를 선택합니다.
2. 제어 영역 호스팅 위치 섹션에서 다음을 수행합니다.
  1. 위치 유형을 선택합니다.
    - 리전: 데이터가 단일 리전에 저장되므로 지연 시간이 줄어들 수 있습니다.
    - 멀티 리전: 데이터가 2개 이상의 리전에 저장되므로 넓은 영역에서 가용성을 높일 수 있습니다.
  2. 표시되는 리전 또는 멀티 리전 드롭다운 목록에서 데이터를 저장하려는 물리적 위치를 선택합니다. 사용 가능한 제어 영역 리전 목록은 Apigee 위치를 참조하세요.
  3. 제어 영역 암호화 키에 Google 관리가 암호화 유형으로 표시됩니다.
    참고: 이 단계는 제어 영역 호스팅 위치로 us (multiple regions in us) 또는 eu (multiple regions in European Union)를 선택하는 경우에만 필요합니다. 다른 리전을 선택하면 이 키가 필요하지 않습니다.
3. API 소비자 데이터 리전 드롭다운 목록에서 데이터를 저장할 물리적 위치를 선택합니다. 사용 가능한 제어 영역 리전 목록은 Apigee 위치를 참조하세요.
4. API 소비자 데이터 암호화 키에 Google 관리가 암호화 유형으로 나열됩니다.
5. 확인을 클릭합니다.
6. 런타임 섹션에서 다음을 수행합니다.
  1. 런타임 호스팅 리전 드롭다운 목록에서 인스턴스를 호스팅할 리전을 선택합니다. 사용 가능한 런타임 리전 목록은 Apigee 위치를 참조하세요. 데이터 상주를 사용하는 경우 런타임 위치는 제어 영역 리전 내에 있어야 합니다.
  2. 런타임 데이터베이스 암호화 키 아래에 Google 관리가 암호화 유형으로 나열됩니다.
  3. 런타임 디스크 암호화 키에 Google 관리가 암호화 유형으로 나열됩니다.
  4. 확인을 클릭합니다.
  5. 완료를 클릭합니다.
7. 다음을 클릭합니다.
경고: Apigee 프로비저닝을 위해 완료된 구성을 제출하면(4단계 마지막) 뒤로 돌아가서 호스팅 리전 및 암호화 키 선택을 변경할 수 없습니다. Apigee에서는 프로비저닝이 완료된 후 호스팅 리전 또는 암호화 키 선택을 업데이트할 수 없습니다. 예를 들어 Google 관리 암호화를 선택한 경우 나중에 이를 고객 관리 암호화로 바꾸거나 그 반대로 바꿀 수 없습니다.

다음 단계인 4단계: 액세스 라우팅 맞춤설정으로 이동합니다.

사용자 경험 C: 고객 관리 암호화, 데이터 상주 없음

3단계에서는 콘솔에 호스팅 및 암호화 구성 옵션 목록과 해당 기본값이 표시됩니다. 기본 구성을 수락하거나 수정을 클릭하여 호스팅 및 암호화 키 패널을 엽니다.
1. 암호화 유형 섹션에서 고객 관리 암호화 키(CMEK)를 선택합니다. Apigee 인스턴스 및 데이터를 디스크에 기록하기 전에 암호화하는 데 사용되는 사용자 관리 서버 측 암호화 키입니다.
2. 다음을 클릭합니다.
3. 제어 영역 섹션에서 다음을 수행합니다.
  1. 데이터 상주 사용 설정 체크박스를 선택 취소합니다.
    참고: 조직 정책에 리소스 위치 제약조건이 적용된 Google Cloud 프로젝트 내에서 새 Apigee 조직을 프로비저닝하는 경우 위치 제약조건이 global로 설정되어 있는지 확인합니다. Apigee 제어 영역은 기본적으로 전역 항목이므로 global 이외의 제약조건이 적용되면 프로비저닝이 실패합니다. 자세한 내용은 데이터 상주 소개를 참조하세요.
  2. 분석 리전 드롭다운 목록에서 애널리틱스 데이터를 저장할 물리적 위치를 선택합니다. 사용 가능한 Apigee API 분석 리전 목록은 Apigee 위치를 참조하세요.
  3. 확인을 클릭합니다.
4. 런타임 섹션에서 다음을 수행합니다.
  1. 런타임 호스팅 리전 드롭다운 목록에서 인스턴스를 호스팅할 리전을 선택합니다.
  2. 런타임 데이터베이스 암호화 키 드롭다운 목록에서 런타임 위치에 저장 및 복제된 데이터의 키를 선택하거나 만듭니다.
  3. 메시지가 표시되면 권한 부여를 클릭합니다.
  4. 런타임 디스크 암호화 키의 드롭다운 목록에서 디스크에 기록되기 전의 런타임 인스턴스 데이터에 대한 키를 선택하거나 만듭니다. 인스턴스마다 고유한 디스크 암호화 키가 있습니다.
  5. 메시지가 표시되면 권한 부여를 클릭합니다.
  6. 확인을 클릭합니다.
  7. 완료를 클릭합니다.
5. 다음을 클릭합니다.
경고: Apigee 프로비저닝을 위해 완료된 구성을 제출하면(4단계 마지막) 뒤로 돌아가서 호스팅 리전 및 암호화 키 선택을 변경할 수 없습니다. Apigee에서는 프로비저닝이 완료된 후 호스팅 리전 또는 암호화 키 선택을 업데이트할 수 없습니다. 예를 들어 Google 관리 암호화를 선택한 경우 나중에 이를 고객 관리 암호화로 바꾸거나 그 반대로 바꿀 수 없습니다.

다음 단계인 4단계: 액세스 라우팅 맞춤설정으로 이동합니다.

사용자 경험 D: 고객 관리 암호화, 데이터 상주 포함

3단계에서는 콘솔에 호스팅 및 암호화 구성 옵션 목록과 해당 기본값이 표시됩니다. 기본 구성을 수락하거나 수정을 클릭하여 호스팅 및 암호화 키 패널을 엽니다.
1. 암호화 유형 섹션에서 고객 관리 암호화 키(CMEK)를 선택합니다. Apigee 인스턴스 및 데이터를 디스크에 기록하기 전에 암호화하는 데 사용되는 사용자 관리 서버 측 암호화 키입니다.
2. 다음을 클릭합니다.
3. 제어 영역 섹션에서 다음을 수행합니다.
  1. 데이터 상주 사용 설정 체크박스를 선택합니다.
  2. 제어 영역 호스팅 위치 섹션에서 다음을 수행합니다.
    1. 위치 유형을 선택합니다.
      - 리전: 데이터가 단일 리전에 저장되므로 지연 시간이 줄어들 수 있습니다.
      - 멀티 리전: 데이터가 2개 이상의 리전에 저장되므로 넓은 영역에서 가용성을 높일 수 있습니다.
    2. 표시되는 리전 또는 멀티 리전 드롭다운 목록에서 데이터를 저장하려는 물리적 위치를 선택합니다. 사용 가능한 제어 영역 리전 목록은 Apigee 위치를 참조하세요.
    3. 제어 영역 암호화 키 드롭다운 목록에서 런타임 위치에 저장 및 복제된 데이터의 키를 선택하거나 만듭니다.
      참고: 이 단계는 제어 영역 호스팅 위치로 us (multiple regions in us) 또는 eu (multiple regions in European Union)를 선택하는 경우에만 필요합니다. 다른 리전을 선택하면 이 키가 필요하지 않습니다.
    4. 메시지가 표시되면 권한 부여를 클릭합니다.
  3. API 소비자 데이터 리전 드롭다운 목록에서 데이터를 저장할 물리적 위치를 선택합니다. 사용 가능한 제어 영역 리전 목록은 Apigee 위치를 참조하세요.
  4. API 소비자 데이터 암호화 키 드롭다운 목록에서 제어 영역에 저장된 데이터의 키를 선택하거나 만듭니다.
  5. 메시지가 표시되면 권한 부여를 클릭합니다.
  6. 확인을 클릭합니다.
  7. 런타임 섹션에서 다음을 수행합니다.
    1. 런타임 호스팅 리전 드롭다운 목록에서 인스턴스를 호스팅할 리전을 선택합니다. 데이터 상주를 사용하는 경우 런타임 위치는 제어 영역 리전 내에 있어야 합니다.
    2. 런타임 데이터베이스 암호화 키 드롭다운 목록에서 런타임 위치에 저장 및 복제된 데이터의 키를 선택하거나 만듭니다.
    3. 메시지가 표시되면 권한 부여를 클릭합니다.
    4. 런타임 디스크 암호화 키의 드롭다운 목록에서 디스크에 기록되기 전의 런타임 인스턴스 데이터에 대한 키를 선택하거나 만듭니다. 인스턴스마다 고유한 디스크 암호화 키가 있습니다.
    5. 메시지가 표시되면 권한 부여를 클릭합니다.
    6. 확인을 클릭합니다.
    7. 완료를 클릭합니다.
  8. 다음을 클릭합니다.
  경고: Apigee 프로비저닝을 위해 완료된 구성을 제출하면(4단계 마지막) 뒤로 돌아가서 호스팅 리전 및 암호화 키 선택을 변경할 수 없습니다. Apigee에서는 프로비저닝이 완료된 후 호스팅 리전 또는 암호화 키 선택을 업데이트할 수 없습니다. 예를 들어 Google 관리 암호화를 선택한 경우 나중에 이를 고객 관리 암호화로 바꾸거나 그 반대로 바꿀 수 없습니다.
  
  다음 단계인 4단계: 액세스 라우팅 맞춤설정으로 이동합니다.
  
  키 만드는 방법
  
  키를 만들려면 다음 안내를 따르세요.
  1. 키 만들기를 클릭합니다.
  2. 키링을 선택하거나 키링이 없으면 키링 만들기를 사용 설정한 후 키링 이름을 입력하고 키링 위치를 선택합니다. 키링 이름에는 문자, 숫자, 밑줄(_), 하이픈(-)을 포함할 수 있습니다. 키링 이름을 변경하거나 키링을 삭제할 수 없습니다.
  3. 계속을 클릭합니다.
  4. 키를 만듭니다. 이름 및 보호 수준을 입력합니다. 키 이름은 문자, 숫자, 밑줄(_), 하이픈(-)을 포함할 수 있습니다. 키는 이름을 바꾸거나 삭제할 수 없습니다. 보호 수준의 경우 소프트웨어가 적합합니다. Cloud KMS에 사용되는 동일 기본값이지만, 필요한 경우 이를 변경할 수 있습니다.
  5. 계속을 클릭하고 선택한 내용을 검토합니다.
  6. 만들기를 클릭합니다.