Questa pagina è stata tradotta dall'API Cloud Translation.

Passaggio 3: configura l'hosting e la crittografia

Questa pagina si applica a Apigee, ma non a Apigee ibrido.

Visualizza documentazione di Apigee Edge.

Cosa stai facendo in questo passaggio

In questo passaggio, a seconda delle tue esigenze specifiche di percorso dell'utente, specifichi le località di hosting per le analisi Apigee del piano di controllo, delle istanze di runtime e del piano dati e della regione dei dati consumer delle API. Puoi anche specificare le selezioni delle chiavi di crittografia.

La differenza tra ciascun percorso dell'utente è la selezione o creazione di chiavi di crittografia, che siano gestite da Google o cliente e se la residenza dei dati sia abilitata o meno.

Alcune funzionalità non sono supportate se è abilitata la residenza dei dati. Consulta Compatibilità della residenza dei dati per maggiori dettagli.

Durante la creazione dell'organizzazione vengono utilizzate le seguenti chiavi:

Chiave di crittografia	Descrizione
Chiave piano di controllo	Cripta i dati di Analytics archiviati all'interno di BigQuery in Apigee progetto tenant. Cripta proxy API, server di destinazione, archivi attendibili e archivi chiavi e qualsiasi altra informazione condivisa tra i runtime.
Chiave dati consumer API	Cripta i dati dell'infrastruttura del servizio. Deve essere una regione dalla posizione del piano di controllo.
Chiave di database di runtime	Cripta i dati delle applicazioni, ad esempio KVM, cache e client secret, che viene quindi archiviato nel database.

Chiave di crittografia

Descrizione

Chiave piano di controllo

Cripta i dati di Analytics archiviati all'interno di BigQuery in Apigee progetto tenant.

Cripta proxy API, server di destinazione, archivi attendibili e archivi chiavi e qualsiasi altra informazione condivisa tra i runtime.

Chiave dati consumer API

Cripta i dati dell'infrastruttura del servizio. Deve essere una regione dalla posizione del piano di controllo.

Chiave di database di runtime

Cripta i dati delle applicazioni, ad esempio KVM, cache e client secret, che viene quindi archiviato nel database.

Durante la creazione di ogni istanza viene utilizzata la seguente chiave:

Chiave di crittografia	Descrizione
Chiave del disco di runtime	Cripta le KVM; la cache dell'ambiente; bucket e contatori di quota. Cripta i prodotti API di dati KMS, sviluppatori, app per sviluppatori, I token OAuth (inclusi token di accesso, token di aggiornamento e codici di autorizzazione) e chiavi API.

Esegui il passaggio

Autorizzazioni richieste per questa attività

Puoi assegnare al provisioner Apigee un ruolo predefinito che include autorizzazioni necessarie per completare l'attività o da assegnare le autorizzazioni necessarie per fornire il privilegio minimo necessario. Vedi Ruoli predefiniti e Autorizzazioni dell'istanza di runtime.

Per visualizzare i passaggi relativi allo specifico percorso dell'utente, seleziona una delle seguenti opzioni percorsi degli utenti. Sono elencati in ordine di complessità, con la più semplice percorso dell'utente A.

Visualizza il diagramma di flusso del percorso dell'utente

Il seguente diagramma mostra i possibili percorsi dell'utente da configurare hosting e crittografia per un'organizzazione con pagamento a consumo utilizzando la console Cloud.

I percorsi dell'utente sono indicati dalla A alla F e sono ordinati da facile a complesso, dove A è la più semplice e F è la più complessa.

Flusso di provisioning del pagamento a consumo

	Percorso dell'utente	Descrizione
	Percorso dell'utente A: crittografia gestita da Google, nessuna residenza dei dati	Seleziona questa opzione se: Vuoi che Google gestisca le chiavi di crittografia Non sono tenuti ad archiviare contenuti principali ed elaborazione nella stessa regione geografica
	Percorso dell'utente B: crittografia gestita da Google, con residenza dei dati	Seleziona questa opzione se: Vuoi che Google gestisca le chiavi di crittografia Vuoi archiviare contenuti principali ed elaborazione nella stessa regione geografica
	Percorso dell'utente C: crittografia gestita dal cliente, nessuna residenza dei dati	Seleziona questa opzione se: Vuoi gestire le tue chiavi di crittografia Non sono tenuti ad archiviare i contenuti principali e l'elaborazione nella stessa regione geografica
	Percorso dell'utente D: crittografia gestita dal cliente, con residenza dei dati	Seleziona questa opzione se: Vuoi gestire le tue chiavi di crittografia Vuoi archiviare i tuoi contenuti principali e l'elaborazione nella stessa regione geografica

Percorso dell'utente A: crittografia gestita da Google, nessuna residenza dei dati

Nel passaggio 3, la console visualizza un elenco di hosting e crittografia le opzioni di configurazione e i relativi valori predefiniti. Puoi accettare la configurazione predefinita o fare clic su Modifica per aprire il riquadro Hosting e chiavi di crittografia.

Nella sezione Tipo di crittografia, seleziona Chiave di crittografia gestita da Google. Si tratta di un account lato server gestito da Google chiave di crittografia utilizzata per criptare i dati e le istanze Apigee prima che siano vengono scritte su disco.
Fai clic su Avanti.
Nella sezione Piano di controllo:
1. Deseleziona la casella Abilita la residenza dei dati.
  Nota: se stai eseguendo il provisioning di una nuova organizzazione Apigee all'interno un progetto Google Cloud con un vincolo di località delle risorse applicata a un criterio dell'organizzazione, verifica che il vincolo di località è impostato su global. Poiché il piano di controllo Apigee un'entità globale per impostazione predefinita, il provisioning avrà esito negativo se un vincolo diverso da global . Per saperne di più, consulta Introduzione alla residenza dei dati.
2. Nell'elenco a discesa Regione di Analytics, seleziona la posizione fisica in cui vuoi archiviare i dati di analisi. Per un elenco delle regioni disponibili per l'analisi delle API Apigee, consulta Località Apigee.
3. Fai clic su Conferma.
Nella sezione Runtime:
1. Nell'elenco a discesa Regione hosting runtime, seleziona la in cui desideri ospitare l'istanza.
2. In Chiave di crittografia del database di runtime, Gestita da Google è elencato come tipo di crittografia.
3. In Chiave di crittografia del disco di runtime, Gestita da Google è elencato come tipo di crittografia.
4. Fai clic su Conferma.
5. Fai clic su Fine.
Fai clic su Avanti.

Vai al passaggio successivo. Passaggio 4: personalizza il routing degli accessi

Percorso dell'utente B: crittografia gestita da Google, con residenza dei dati

Nella sezione Tipo di crittografia, seleziona Chiave di crittografia gestita da Google. Si tratta di un account lato server gestito da Google chiave di crittografia utilizzata per criptare i dati e le istanze Apigee prima che siano vengono scritte su disco.
Fai clic su Avanti.
Nella sezione Piano di controllo:
1. Seleziona la casella Abilita la residenza dei dati.
2. Dall'elenco a discesa Giurisdizione di hosting del piano di controllo che viene visualizzato, seleziona la posizione in cui vuoi che vengano archiviati i tuoi dati.
  Nota: una giurisdizione si riferisce a una località all'interno di un confine geopolitico che può coprire più di una regione. Per un elenco delle le giurisdizioni di hosting del piano di controllo, vedi Località Apigee.
3. Nell'elenco a discesa Chiave di crittografia del piano di controllo: seleziona o crea una chiave per i dati archiviati e replicati tra le località di runtime.
  Nota: questo passaggio è necessario solo se selezioni us (multiple regions in us) oppure eu (multiple regions in European Union) come località di hosting del piano di controllo. Se selezioni in un'altra regione, questa chiave non è obbligatoria.
4. Se richiesto, fai clic su Concedi.
Nella sezione relativa alla regione dei dati dei consumatori dell'API:
1. Dall'elenco a discesa Regione di dati dei consumatori dell'API, seleziona la posizione fisica in cui vuoi archiviare i dati. Per un elenco delle regioni di dati dei consumatori disponibili, consulta Località Apigee.
2. In Chiave di crittografia dei dati consumer delle API, Gestita da Google è elencato come tipo di crittografia.
3. Fai clic su Conferma.
Nella sezione Runtime:
1. Nell'elenco a discesa Regione hosting runtime, seleziona la regione in che deve essere ospitata dall'istanza. Per un elenco di regioni di runtime disponibili, Località Apigee. Quando si utilizza la residenza dei dati, la località deve trovarsi all'interno della regione del piano di controllo.
2. In Chiave di crittografia del database di runtime, Gestita da Google è elencato come tipo di crittografia.
3. In Chiave di crittografia del disco di runtime, Gestita da Google è elencato come tipo di crittografia.
4. Fai clic su Conferma.
5. Fai clic su Fine.
Fai clic su Avanti.

Vai al passaggio successivo. Passaggio 4: personalizza il routing degli accessi

Percorso dell'utente C: crittografia gestita dal cliente, nessuna residenza dei dati

Nella sezione Tipo di crittografia, seleziona Chiave di crittografia gestita dal cliente (CMEK). Questo è un cluster gestito dall'utente, chiave di crittografia lato server utilizzata per criptare le istanze Apigee prima che vengano scritti su disco.
Fai clic su Avanti.
Nella sezione Piano di controllo:
1. Deseleziona la casella Abilita la residenza dei dati.
  Nota: se stai eseguendo il provisioning di una nuova organizzazione Apigee all'interno un progetto Google Cloud con un vincolo di località delle risorse applicata a un criterio dell'organizzazione, verifica che il vincolo di località è impostato su global. Poiché il piano di controllo Apigee un'entità globale per impostazione predefinita, il provisioning avrà esito negativo se un vincolo diverso da global . Per saperne di più, consulta Introduzione alla residenza dei dati.
2. Nell'elenco a discesa Regione di Analytics, seleziona la posizione fisica in cui vuoi archiviare i dati di analisi. Per un elenco delle regioni disponibili per l'analisi delle API Apigee, consulta Località Apigee.
3. Fai clic su Conferma.
Nella sezione Runtime:
1. Nell'elenco a discesa Regione hosting runtime, seleziona la in cui desideri ospitare l'istanza.
2. Nell'elenco a discesa Chiave di crittografia del database di runtime: seleziona o crea una chiave per i dati archiviati e replicati tra le località di runtime.
3. Se richiesto, fai clic su Concedi.
4. Nell'elenco a discesa Chiave di crittografia del disco di runtime, seleziona o crea una chiave per il runtime dei dati dell'istanza prima che vengano scritti su disco. Ogni istanza ha e la propria chiave di crittografia.
5. Se richiesto, fai clic su Concedi.
6. Fai clic su Conferma.
7. Fai clic su Fine.
Fai clic su Avanti.

Vai al passaggio successivo. Passaggio 4: personalizza il routing degli accessi

Percorso dell'utente D: crittografia gestita dal cliente, con residenza dei dati

Nella sezione Tipo di crittografia, seleziona Chiave di crittografia gestita dal cliente (CMEK). Questo è un cluster gestito dall'utente, chiave di crittografia lato server utilizzata per criptare le istanze Apigee prima che vengano scritti su disco.
Fai clic su Avanti.
Nella sezione Piano di controllo:
1. Seleziona la casella Abilita la residenza dei dati.
2. Dall'elenco a discesa Giurisdizione di hosting del piano di controllo che viene visualizzato, seleziona la posizione in cui vuoi che vengano archiviati i tuoi dati.
  Nota: una giurisdizione si riferisce a una località all'interno di un confine geopolitico che può coprire più di una regione. Per un elenco delle le giurisdizioni di hosting del piano di controllo, vedi Località Apigee.
3. Nell'elenco a discesa Chiave di crittografia del piano di controllo: seleziona o crea una chiave per i dati archiviati e replicati tra le località di runtime.
  Nota: questo passaggio è necessario solo se selezioni us (multiple regions in us) oppure eu (multiple regions in European Union) come giurisdizione di hosting del piano di controllo. Se selezioni in un'altra regione, questa chiave non è obbligatoria.
4. Se richiesto, fai clic su Concedi.
Nella sezione relativa alla regione dei dati dei consumatori dell'API:
1. Dall'elenco a discesa Regione di dati dei consumatori dell'API, seleziona la posizione fisica in cui vuoi archiviare i dati. Per un elenco delle regioni di dati dei consumatori disponibili, consulta Località Apigee.
2. Nell'elenco a discesa Chiave di crittografia dei dati consumer dell'API, seleziona o crea una chiave per i dati archiviati per il piano di controllo.
3. Se richiesto, fai clic su Concedi.
4. Fai clic su Conferma.
Nella sezione Runtime:
1. Nell'elenco a discesa Regione hosting runtime, seleziona la in cui desideri ospitare l'istanza. Quando vengono utilizzati i dati la residenza, il runtime la località deve trovarsi all'interno della regione del piano di controllo.
2. Nell'elenco a discesa Chiave di crittografia del database di runtime: seleziona o crea una chiave per i dati archiviati e replicati tra le località di runtime.
3. Se richiesto, fai clic su Concedi.
4. Nell'elenco a discesa Chiave di crittografia del disco di runtime, seleziona o crea una chiave per il runtime dei dati dell'istanza prima che vengano scritti su disco. Ogni istanza ha e la propria chiave di crittografia.
5. Se richiesto, fai clic su Concedi.
6. Fai clic su Conferma.
7. Fai clic su Fine.
Fai clic su Avanti.

Vai al passaggio successivo. Passaggio 4: personalizza il routing degli accessi

Come creare una chiave

Per creare una chiave:

Fai clic su Crea chiave.
Seleziona un keyring oppure, se non ne esiste uno, abilita Crea keyring e inserisci il nome del keyring e scegli la posizione del keyring. I nomi dei keyring possono contenere lettere, numeri trattini bassi (_) e trattini (-). I keyring non possono essere rinominati o eliminati.
Fai clic su Continua.
Crea una chiave. Inserisci un nome e un livello di protezione. Tieni presente che i nomi delle chiavi possono contenere lettere, numeri, trattini bassi (_) e trattini (-). Chiavi non possono essere rinominati o eliminati. Per il livello di protezione, il software è un buon scelta. Si tratta dello stesso valore predefinito utilizzato da Cloud KMS. ma puoi modificarlo desiderato.
Fai clic su Continua e rivedi le selezioni.
Fai clic su Crea.