Esta página foi traduzida pela API Cloud Translation.

Passo 3: configure o alojamento e a encriptação

Esta página aplica-se ao Apigee, mas não ao Apigee Hybrid.

Veja a documentação do Apigee Edge.

O que está a fazer neste passo

Neste passo, consoante o percurso do utilizador específico, especifica as localizações de alojamento para as suas estatísticas do Apigee ou instâncias do plano de controlo, do tempo de execução e do plano de dados, bem como a região de dados do consumidor de API. Também especifica as seleções de chaves de encriptação.

A diferença entre cada um dos percursos do utilizador é a seleção ou a criação de chaves de encriptação, quer sejam geridas pela Google ou pelo cliente, e se a residência de dados está ativada ou não.

Algumas funcionalidades não são suportadas quando a residência de dados está ativada. Consulte o artigo Compatibilidade da residência dos dados para ver detalhes.

As seguintes chaves são usadas durante a criação da organização:

Chave de encriptação	Descrição
Chave do plano de controlo	Encripta os dados do Analytics armazenados no BigQuery no projeto do inquilino do Apigee. Encripta proxies de API, servidores de destino, Truststores e Keystores, bem como tudo o resto partilhado entre tempos de execução.
Chave de dados do consumidor da API	Encripta os dados da infraestrutura de serviço. Tem de ser uma região na localização do plano de controlo.
Chave da base de dados de tempo de execução	Encripta os dados da aplicação, como KVMs, cache e segredos do cliente, que são armazenados na base de dados.

Chave de encriptação

Descrição

Chave do plano de controlo

Encripta os dados do Analytics armazenados no BigQuery no projeto do inquilino do Apigee.

Encripta proxies de API, servidores de destino, Truststores e Keystores, bem como tudo o resto partilhado entre tempos de execução.

Chave de dados do consumidor da API

Encripta os dados da infraestrutura de serviço. Tem de ser uma região na localização do plano de controlo.

Chave da base de dados de tempo de execução

Encripta os dados da aplicação, como KVMs, cache e segredos do cliente, que são armazenados na base de dados.

A seguinte chave é usada durante a criação de cada instância:

Chave de encriptação	Descrição
Chave do disco de tempo de execução	Envia KVMs encriptados; cache do ambiente; contadores e quotas. Encripta produtos da API de dados do KMS, programadores, apps de programadores, tokens OAuth (incluindo tokens de acesso, tokens de atualização e códigos de autorização) e chaves da API.

Realize o passo

Autorizações necessárias para esta tarefa

Pode atribuir ao aprovisionador do Apigee uma função predefinida que inclua as autorizações necessárias para concluir esta tarefa ou atribuir autorizações mais detalhadas para fornecer o mínimo de privilégios necessário. Consulte as funções predefinidas e as autorizações de instâncias de tempo de execução.

Para ver os passos do seu percurso do utilizador específico, selecione um dos seguintes percursos do utilizador. Estão listados por ordem de complexidade, sendo o percurso do utilizador A o mais fácil.

Veja o diagrama de fluxo do percurso do utilizador

O diagrama seguinte mostra os possíveis percursos do utilizador para configurar o alojamento e a encriptação para uma organização de pagamento conforme o uso através da Cloud Console.

Os percursos do utilizador estão indicados de A a F e estão ordenados do mais fácil ao mais complexo, em que A é o mais fácil e F é o mais complexo.

	Percurso do utilizador	Descrição
	Percurso do utilizador A: encriptação gerida pela Google, sem residência dos dados	Selecione esta opção se: Quiser que a Google faça a gestão das chaves de encriptação Não têm de armazenar o conteúdo e o processamento principais na mesma região geográfica
	Percurso do utilizador B: encriptação gerida pela Google, com residência dos dados	Selecione esta opção se: Quiser que a Google faça a gestão das chaves de encriptação Quiser armazenar conteúdo e processamento essenciais na mesma região geográfica
	Percurso do utilizador C: encriptação gerida pelo cliente, sem residência de dados	Selecione esta opção se: Quiser gerir as suas próprias chaves de encriptação Não têm de armazenar o conteúdo principal e o processamento na mesma região geográfica
	Percurso do utilizador D: encriptação gerida pelo cliente, com residência dos dados	Selecione esta opção se: Quiser gerir as suas próprias chaves de encriptação Quiser armazenar o conteúdo principal e o processamento na mesma região geográfica

Percurso do utilizador A: encriptação gerida pela Google, sem residência de dados

No passo 3, a consola apresenta uma lista de opções de configuração de alojamento e encriptação, bem como os respetivos valores predefinidos. Pode aceitar a configuração predefinida ou clicar em Editar para abrir o painel Chaves de alojamento e encriptação.

Na secção Tipo de encriptação, selecione Google-managed encryption key. Esta é uma chave de encriptação do lado do servidor gerida pela Google usada para encriptar as suas instâncias e dados do Apigee antes de serem escritos no disco.
Clicar em Seguinte.
Na secção Control Plane (Plano de controlo):
1. Desmarque a caixa Ativar residência de dados.
  Nota: se estiver a aprovisionar uma nova organização do Apigee num Google Cloud projeto com uma restrição de localização de recursos aplicada numa política organizacional, confirme que a restrição de localização está definida como global. Uma vez que o plano de controlo do Apigee é uma entidade global por predefinição, o aprovisionamento falha se for aplicada uma restrição que não seja global. Para mais informações, consulte o artigo Introdução à residência de dados.
2. Na lista pendente Região do Analytics, selecione a localização física onde quer que os dados do Analytics sejam armazenados. Para ver uma lista das regiões da API Apigee Analytics disponíveis, incluindo as regiões que suportam o hub de APIs, consulte as localizações da Apigee. Se selecionar uma região que não suporta o hub de APIs, não é criada uma instância do hub de APIs. Para saber mais sobre o hub de APIs, consulte o artigo O que é o hub de APIs?
3. Clique em Confirm.
Na secção Tempo de execução:
1. Na lista pendente Região de alojamento de tempo de execução, selecione a região na qual quer que a sua instância seja alojada.
2. Em Chave de encriptação da base de dados de tempo de execução, Gerida pela Google é apresentada como o tipo de encriptação.
3. Em Chave de encriptação do disco de tempo de execução, Gerida pela Google é apresentada como o tipo de encriptação.
4. Clique em Confirm.
5. Clique em Concluído.
Clicar em Seguinte.

Aceda ao passo seguinte: Passo 4: personalize o encaminhamento de acesso.

Percurso do utilizador B: encriptação gerida pela Google, com residência de dados

Na secção Tipo de encriptação, selecione Google-managed encryption key. Esta é uma chave de encriptação do lado do servidor gerida pela Google usada para encriptar as suas instâncias e dados do Apigee antes de serem escritos no disco.
Clicar em Seguinte.
Na secção Control Plane (Plano de controlo):
1. Selecione a caixa Ativar residência de dados.
2. Na lista pendente Jurisdição de alojamento do plano de controlo apresentada, selecione a localização física onde quer que os seus dados sejam armazenados.
  Nota: uma jurisdição refere-se a uma localização dentro de um limite geopolítico que pode abranger mais do que uma região. Para ver uma lista das jurisdições de alojamento do plano de controlo disponíveis, consulte o artigo Localizações do Apigee.
3. Na lista pendente Chave de encriptação do plano de controlo, selecione ou crie uma chave para os dados armazenados e replicados nas localizações de tempo de execução.
  Nota: este passo só é necessário se selecionar us (multiple regions in us) ou eu (multiple regions in European Union) como localização de alojamento do plano de controlo. Se selecionar outra região, esta chave não é necessária.
4. Se lhe for pedido, clique em Conceder.
Na secção Região de dados do consumidor da API:
1. Na lista pendente Região de dados do consumidor da API, selecione a localização física onde quer que os seus dados sejam armazenados. Para ver uma lista das regiões de dados de consumidores disponíveis, consulte as localizações do Apigee.
2. Em Chave de encriptação de dados do consumidor da API, Gerida pela Google é apresentada como o tipo de encriptação.
3. Clique em Confirm.
Na secção Tempo de execução:
1. Na lista pendente Região de alojamento de tempo de execução, selecione a região na qual quer alojar a sua instância. Para ver uma lista das regiões de tempo de execução disponíveis, consulte as localizações do Apigee. Quando usar a residência de dados, a localização de tempo de execução tem de estar na região do plano de controlo.
2. Em Chave de encriptação da base de dados de tempo de execução, o tipo de encriptação apresentado é Gerido pela Google.
3. Em Chave de encriptação do disco de tempo de execução, o tipo de encriptação apresentado é Gerido pela Google.
4. Clique em Confirm.
5. Clique em Concluído.
Clicar em Seguinte.

Aceda ao passo seguinte, Passo 4: personalize o encaminhamento de acesso.

Percurso do utilizador C: encriptação gerida pelo cliente, sem residência de dados

Na secção Tipo de encriptação, selecione Chave de encriptação gerida pelo cliente (CMEK). Esta é uma chave de encriptação do lado do servidor gerida pelo utilizador usada para encriptar as suas instâncias e dados do Apigee antes de serem escritos no disco.
Clicar em Seguinte.
Na secção Control Plane (Plano de controlo):
1. Desmarque a caixa Ativar residência de dados.
  Nota: se estiver a aprovisionar uma nova organização do Apigee num Google Cloud projeto com uma restrição de localização de recursos aplicada numa política organizacional, confirme que a restrição de localização está definida como global. Uma vez que o plano de controlo do Apigee é uma entidade global por predefinição, o aprovisionamento falha se for aplicada uma restrição que não seja global. Para mais informações, consulte o artigo Introdução à residência de dados.
2. Na lista pendente Região do Analytics, selecione a localização física onde quer que os dados de estatísticas sejam armazenados. Para uma lista das regiões da API Apigee Analytics disponíveis, consulte Localizações do Apigee.
3. Clique em Confirm.
Na secção Tempo de execução:
1. Na lista pendente Região de alojamento de tempo de execução, selecione a região na qual quer que a sua instância seja alojada.
2. Na lista pendente Chave de encriptação da base de dados de tempo de execução, selecione ou crie uma chave para os dados armazenados e replicados em localizações de tempo de execução.
3. Se lhe for pedido, clique em Conceder.
4. Na lista pendente Chave de encriptação do disco de tempo de execução, selecione ou crie uma chave para os dados da instância de tempo de execução antes de serem escritos no disco. Cada instância tem a sua própria chave de encriptação de disco.
5. Se lhe for pedido, clique em Conceder.
6. Clique em Confirm.
7. Clique em Concluído.
Clicar em Seguinte.

Aceda ao passo seguinte: Passo 4: personalize o encaminhamento de acesso.

Percurso do utilizador D: encriptação gerida pelo cliente, com residência de dados

Na secção Tipo de encriptação, selecione Chave de encriptação gerida pelo cliente (CMEK). Esta é uma chave de encriptação do lado do servidor gerida pelo utilizador usada para encriptar as suas instâncias e dados do Apigee antes de serem escritos no disco.
Clicar em Seguinte.
Na secção Control Plane (Plano de controlo):
1. Selecione a caixa Ativar residência de dados.
2. Na lista pendente Jurisdição de alojamento do plano de controlo apresentada, selecione a localização física onde quer que os seus dados sejam armazenados.
  Nota: uma jurisdição refere-se a uma localização dentro de um limite geopolítico que pode abranger mais do que uma região. Para ver uma lista das jurisdições de alojamento do plano de controlo disponíveis, consulte o artigo Localizações do Apigee.
3. Na lista pendente Chave de encriptação do plano de controlo, selecione ou crie uma chave para os dados armazenados e replicados nas localizações de tempo de execução.
  Nota: este passo só é necessário se selecionar us (multiple regions in us) ou eu (multiple regions in European Union) como jurisdição de alojamento do plano de controlo. Se selecionar outra região, esta chave não é necessária.
4. Se lhe for pedido, clique em Conceder.
Na secção Região de dados do consumidor da API:
1. Na lista pendente Região de dados do consumidor da API, selecione a localização física onde quer que os seus dados sejam armazenados. Para ver uma lista das regiões de dados de consumidores disponíveis, consulte as localizações do Apigee.
2. Na lista pendente Chave de encriptação de dados do consumidor da API, selecione ou crie uma chave para os dados armazenados para o plano de controlo.
3. Se lhe for pedido, clique em Conceder.
4. Clique em Confirm.
Na secção Tempo de execução:
1. Na lista pendente Região de alojamento de tempo de execução, selecione a região na qual quer que a sua instância seja alojada. Quando usar a residência de dados, a localização de tempo de execução tem de estar na região do plano de controlo.
2. Na lista pendente Chave de encriptação da base de dados de tempo de execução, selecione ou crie uma chave para os dados armazenados e replicados em localizações de tempo de execução.
3. Se lhe for pedido, clique em Conceder.
4. Na lista pendente Chave de encriptação do disco de tempo de execução, selecione ou crie uma chave para os dados da instância de tempo de execução antes de serem escritos no disco. Cada instância tem a sua própria chave de encriptação de disco.
5. Se lhe for pedido, clique em Conceder.
6. Clique em Confirm.
7. Clique em Concluído.
Clicar em Seguinte.

Aceda ao passo seguinte: Passo 4: personalize o encaminhamento de acesso.

Como criar uma chave

Para criar uma chave:

Clique em Criar chave.
Selecione um conjunto de chaves ou, se não existir, ative a opção Criar conjunto de chaves e introduza um nome para o conjunto de chaves e escolha a respetiva localização. Os nomes dos anéis de chaves podem conter letras, números, sublinhados (_) e hífenes (-). Não é possível mudar o nome nem eliminar os anéis de chaves.
Clique em Continuar.
Crie uma chave. Introduza um nome e um nível de proteção. Tenha em atenção que os nomes das chaves podem conter letras, números, sublinhados (_) e hífenes (-). Não é possível mudar o nome nem eliminar as chaves. Para o nível de proteção, o Software é uma boa opção. Este é o predefinição usado pelo Cloud KMS. No entanto, pode alterá-lo se quiser.
Clique em Continuar e reveja as suas seleções.
Clique em Criar.

Passo 3: configure o alojamento e a encriptação Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

O que está a fazer neste passo

Realize o passo

Autorizações necessárias para esta tarefa

Veja o diagrama de fluxo do percurso do utilizador

Percurso do utilizador A: encriptação gerida pela Google, sem residência de dados

Percurso do utilizador B: encriptação gerida pela Google, com residência de dados

Percurso do utilizador C: encriptação gerida pelo cliente, sem residência de dados

Percurso do utilizador D: encriptação gerida pelo cliente, com residência de dados

Como criar uma chave

Passo 3: configure o alojamento e a encriptação