Paso 3: Configura el hosting y la encriptación

Esta página se aplica a Apigee, pero no a Apigee Hybrid.

Consulta la documentación de Apigee Edge.

Qué se hace en este paso

En este paso, según el recorrido del usuario específico, debes especificar las ubicaciones de hosting para el plano de control o las estadísticas de Apigee, las instancias del entorno de ejecución y el plano de datos, y la región de datos del consumidor de la API. También puedes especificar selecciones de claves de encriptación.

La diferencia entre cada uno de los recorridos del usuario es la selección o creación de las claves de encriptación, ya estén administradas por Google o por el cliente y si la residencia de los datos está habilitada o no.

Algunas funciones no son compatibles cuando la residencia de datos está habilitada. Consulta Compatibilidad de la residencia de datos para obtener más detalles.

Las siguientes claves se usan durante la creación de la organización:

Clave de encriptación	Descripción
Clave del plano de control	Encripta datos de Analytics que se almacenan en BigQuery en el proyecto de usuario de Apigee. Encripta proxies de API, servidores de destino, almacenes de claves y almacenes de claves, y cualquier otro elemento compartido en los entornos de ejecución.
Clave de datos del consumidor de API	Encripta datos de infraestructura de servicios. Esta debe ser una región dentro de la ubicación del plano de control.
Clave de base de datos de entorno de ejecución	Encripta datos de aplicación, como KVMs, caché y secretos de cliente, que luego se almacenan en la base de datos.

Clave de encriptación

Descripción

Clave del plano de control

Encripta datos de Analytics que se almacenan en BigQuery en el proyecto de usuario de Apigee.

Encripta proxies de API, servidores de destino, almacenes de claves y almacenes de claves, y cualquier otro elemento compartido en los entornos de ejecución.

Clave de datos del consumidor de API

Encripta datos de infraestructura de servicios. Esta debe ser una región dentro de la ubicación del plano de control.

Clave de base de datos de entorno de ejecución

Encripta datos de aplicación, como KVMs, caché y secretos de cliente, que luego se almacenan en la base de datos.

Se usa la siguiente clave durante la creación de cada instancia:

Clave de encriptación	Descripción
Clave de disco de entorno de ejecución	Encripta KVMs; caché del entorno; buckets y contadores de cuota. Encripta datos de KMS de productos de API, desarrolladores, aplicaciones de desarrollador, tokens de OAuth (incluidos tokens de acceso, tokens de actualización y códigos de autorización), y claves de API.

Realiza el paso

Permisos necesarios para esta tarea

Puedes otorgar al aprovisionador de Apigee un rol predefinido que incluya los permisos necesarios para completar esta tarea, o bien otorgar permisos más detallados para proporcionar el privilegio mínimo necesario. Consulta los roles predefinidos y los permisos de las instancias del entorno de ejecución.

Para ver los pasos del recorrido específico de tu usuario, selecciona uno de los siguientes recorridos del usuario. Se enumeran en orden de complejidad, y el más fácil es el recorrido del usuario A.

Diagrama de flujo del recorrido del usuario

En el siguiente diagrama, se muestran los posibles recorridos del usuario para configurar el hosting y la encriptación de una organización de pago por uso mediante la consola de Cloud.

Los recorridos del usuario se indican de la A a la F y se ordenan con facilidad por lo complejo, donde A es la más fácil y F es la más compleja.

Flujo de aprovisionamiento de pago por uso

	Recorrido del usuario	Descripción
	Recorrido del usuario A: Encriptación administrada por Google, sin residencia de datos	Selecciona esta opción si: Quieres que Google administre las claves de encriptación No son necesarios para almacenar el contenido y el procesamiento principales en la misma región geográfica.
	Recorrido del usuario B: Encriptación administrada por Google, con residencia de datos	Selecciona esta opción si: Quieres que Google administre las claves de encriptación Deseas almacenar el contenido y el procesamiento principales en la misma región geográfica
	Recorrido del usuario C: Encriptación administrada por el cliente, sin residencia de datos	Selecciona esta opción si: Si deseas administrar tus propias claves de encriptación No son necesarios para almacenar el contenido y el procesamiento principales en la misma región geográfica.
	Recorrido del usuario D: Encriptación administrada por el cliente, con residencia de datos	Selecciona esta opción si: Si deseas administrar tus propias claves de encriptación Deseas almacenar tu contenido principal y tu procesamiento en la misma región geográfica

Recorrido del usuario A: Encriptación administrada por Google sin residencia de datos

En el paso 3, la consola muestra una lista de opciones de configuración de hosting y encriptación, y sus valores predeterminados. Puedes aceptar la configuración predeterminada o hacer clic en Editar para abrir el panel Claves de hosting y encriptación.

En la sección Tipo de encriptación, selecciona Clave de encriptación administrada por Google. Esta es una clave de encriptación administrada por Google del lado del servidor que se usa para encriptar tus instancias y datos de Apigee antes de que se escriban en el disco.
Haz clic en Siguiente.
En la sección Plano de control, haz lo siguiente:
1. Desmarca la casilla Habilitar residencia de datos.
  Nota: Si aprovisionas una organización de Apigee nueva dentro de un proyecto de Google Cloud con una restricción de ubicación de recursos aplicada en una política de la organización, confirma que la restricción de ubicación esté establecida en global. Debido a que el plano de control de Apigee es una entidad global de forma predeterminada, el aprovisionamiento fallará si se aplica una restricción distinta de global. Para obtener más información, consulta Introducción a la residencia de datos.
2. En la lista desplegable Región de Analytics, selecciona la ubicación física en la que quieres que se almacenen tus datos de estadísticas. Para obtener una lista de las regiones disponibles de las estadísticas de la API de Apigee, consulta Ubicaciones de Apigee.
3. Haz clic en Confirmar.
En la sección Entorno de ejecución, haz lo siguiente:
1. En la lista desplegable Región de hosting del entorno de ejecución, selecciona la región en la que deseas alojar tu instancia.
2. En Clave de encriptación de la base de datos del entorno de ejecución, Administrada por Google aparece como el tipo de encriptación.
3. En Clave de encriptación del disco del entorno de ejecución, Administrado por Google aparece como el tipo de encriptación.
4. Haz clic en Confirmar.
5. Haz clic en Listo.
Haz clic en Siguiente.

Ve al siguiente paso, Paso 4: Personaliza el enrutamiento de acceso.

Recorrido del usuario B: Encriptación administrada por Google con residencia de datos

En la sección Tipo de encriptación, selecciona Clave de encriptación administrada por Google. Esta es una clave de encriptación administrada por Google del lado del servidor que se usa para encriptar tus instancias y datos de Apigee antes de que se escriban en el disco.
Haz clic en Siguiente.
En la sección Plano de control, haz lo siguiente:
1. Selecciona la casilla Habilitar residencia de datos.
2. En la sección Ubicación del hosting del plano de control, haz lo siguiente:
  1. Selecciona tu Tipo de ubicación:
    - Región: Tus datos se almacenan en una sola región, lo que puede reducir la latencia.
    - Multirregión: tus datos se almacenan en más de una región, lo que puede aumentar la disponibilidad en un área grande.
  2. En la lista desplegable Región o Multirregión que aparece, selecciona la ubicación física en la que quieres que se almacenen tus datos. Para obtener una lista de las regiones del plano de control disponibles, consulta Ubicaciones de Apigee.
  3. En Clave de encriptación del plano de control, Administrada por Google aparece como el tipo de encriptación.
    Nota: Este paso solo es necesario si seleccionas us (multiple regions in us) o eu (multiple regions in European Union) como la ubicación de hosting del plano de control. Si seleccionas otra región, esta clave no es obligatoria.
3. En la lista desplegable Región de datos del consumidor de la API, selecciona la ubicación física en la que quieres que se almacenen tus datos. Para obtener una lista de las regiones del plano de control disponibles, consulta Ubicaciones de Apigee.
4. En Clave de encriptación de datos del consumidor de la API, Administrada por Google aparece como el tipo de encriptación.
5. Haz clic en Confirmar.
6. En la sección Entorno de ejecución, haz lo siguiente:
  1. En la lista desplegable Región de hosting del entorno de ejecución, selecciona la región en la que deseas alojar tu instancia. Para obtener una lista de las regiones de entorno de ejecución disponibles, consulta Ubicaciones de Apigee. Cuando se usa la residencia de datos, la ubicación del entorno de ejecución debe estar dentro de la región del plano de control.
  2. En Clave de encriptación de la base de datos del entorno de ejecución, Administrada por Google aparece como el tipo de encriptación.
  3. En Clave de encriptación del disco del entorno de ejecución, Administrado por Google aparece como el tipo de encriptación.
  4. Haz clic en Confirmar.
  5. Haz clic en Listo.
7. Haz clic en Siguiente.
Precaución: Cuando envías la configuración completa para el aprovisionamiento de Apigee (al final del Paso 4), no puedes volver y cambiar las selecciones de región de hosting ni clave de encriptación. Apigee no admite la actualización de la región de hosting ni las selecciones de clave de encriptación después de que se completa el aprovisionamiento. Por ejemplo, si seleccionas la encriptación administrada por Google, no podrás cambiarla a Encriptación administrada por el cliente más adelante y viceversa.

Ve al siguiente paso, Paso 4: Personaliza el enrutamiento de acceso.

Recorrido del usuario C: Encriptación administrada por el cliente sin residencia de datos

En el paso 3, la consola muestra una lista de opciones de configuración de hosting y encriptación, y sus valores predeterminados. Puedes aceptar la configuración predeterminada o hacer clic en Editar para abrir el panel Claves de hosting y encriptación.
1. En la sección Tipo de encriptación, selecciona Clave de encriptación administrada por el cliente (CMEK). Esta es una clave de encriptación administrada por el usuario que se usa para encriptar las instancias y los datos de Apigee antes de escribirlos en el disco.
2. Haz clic en Siguiente.
3. En la sección Plano de control, haz lo siguiente:
  1. Desmarca la casilla Habilitar residencia de datos.
    Nota: Si aprovisionas una organización de Apigee nueva dentro de un proyecto de Google Cloud con una restricción de ubicación de recursos aplicada en una política de la organización, confirma que la restricción de ubicación esté establecida en global. Debido a que el plano de control de Apigee es una entidad global de forma predeterminada, el aprovisionamiento fallará si se aplica una restricción distinta de global. Para obtener más información, consulta Introducción a la residencia de datos.
  2. En la lista desplegable Región de Analytics, selecciona la ubicación física en la que quieres que se almacenen tus datos de estadísticas. Para obtener una lista de las regiones disponibles de las estadísticas de la API de Apigee, consulta Ubicaciones de Apigee.
  3. Haz clic en Confirmar.
4. En la sección Entorno de ejecución, haz lo siguiente:
  1. En la lista desplegable Región de hosting del entorno de ejecución, selecciona la región en la que deseas alojar tu instancia.
  2. En la lista desplegable Clave de encriptación de la base de datos del entorno de ejecución, selecciona o crea una clave para los datos almacenados y replicados en las ubicaciones del entorno de ejecución.
  3. Haz clic en Otorgar si se te solicita.
  4. En la lista desplegable Clave de encriptación de disco del entorno de ejecución, selecciona o crea una clave para los datos de la instancia del entorno de ejecución antes de que se escriban en el disco. Cada instancia tiene su propia clave de encriptación del disco.
  5. Haz clic en Otorgar si se te solicita.
  6. Haz clic en Confirmar.
  7. Haz clic en Listo.
5. Haz clic en Siguiente.
Precaución: Cuando envías la configuración completa para el aprovisionamiento de Apigee (al final del Paso 4), no puedes volver y cambiar las selecciones de región de hosting ni clave de encriptación. Apigee no admite la actualización de la región de hosting ni las selecciones de clave de encriptación después de que se completa el aprovisionamiento. Por ejemplo, si seleccionas la encriptación administrada por Google, no podrás cambiarla a Encriptación administrada por el cliente más adelante y viceversa.

Ve al siguiente paso, Paso 4: Personaliza el enrutamiento de acceso.

Recorrido del usuario D: Encriptación administrada por el cliente, con residencia de datos

En el paso 3, la consola muestra una lista de opciones de configuración de hosting y encriptación, y sus valores predeterminados. Puedes aceptar la configuración predeterminada o hacer clic en Editar para abrir el panel Claves de hosting y encriptación.
1. En la sección Tipo de encriptación, selecciona Clave de encriptación administrada por el cliente (CMEK). Esta es una clave de encriptación administrada por el usuario que se usa para encriptar las instancias y los datos de Apigee antes de escribirlos en el disco.
2. Haz clic en Siguiente.
3. En la sección Plano de control, haz lo siguiente:
  1. Selecciona la casilla Habilitar residencia de datos.
  2. En la sección Ubicación del hosting del plano de control, haz lo siguiente:
    1. Selecciona tu Tipo de ubicación:
      - Región: Tus datos se almacenan en una sola región, lo que puede reducir la latencia.
      - Multirregión: tus datos se almacenan en más de una región, lo que puede aumentar la disponibilidad en un área grande.
    2. En la lista desplegable Región o Multirregión que aparece, selecciona la ubicación física en la que quieres que se almacenen tus datos. Para obtener una lista de las regiones del plano de control disponibles, consulta Ubicaciones de Apigee.
    3. En la lista desplegable Clave de encriptación del plano de control, selecciona o crea una clave para los datos almacenados y replicados en las ubicaciones del entorno de ejecución.
      Nota: Este paso solo es necesario si seleccionas us (multiple regions in us) o eu (multiple regions in European Union) como la ubicación de hosting del plano de control. Si seleccionas otra región, esta clave no es obligatoria.
    4. Haz clic en Otorgar si se te solicita.
  3. En la lista desplegable Región de datos del consumidor de la API, selecciona la ubicación física en la que quieres que se almacenen tus datos. Para obtener una lista de las regiones del plano de control disponibles, consulta Ubicaciones de Apigee.
  4. En la lista desplegable Clave de encriptación de datos del consumidor de la API, selecciona o crea una clave para los datos almacenados en el plano de control.
  5. Haz clic en Otorgar si se te solicita.
  6. Haz clic en Confirmar.
  7. En la sección Entorno de ejecución, haz lo siguiente:
    1. En la lista desplegable Región de hosting del entorno de ejecución, selecciona la región en la que deseas alojar tu instancia. Cuando se usa la residencia de datos, la ubicación del entorno de ejecución debe estar dentro de la región del plano de control.
    2. En la lista desplegable Clave de encriptación de la base de datos del entorno de ejecución, selecciona o crea una clave para los datos almacenados y replicados en las ubicaciones del entorno de ejecución.
    3. Haz clic en Otorgar si se te solicita.
    4. En la lista desplegable Clave de encriptación de disco del entorno de ejecución, selecciona o crea una clave para los datos de la instancia del entorno de ejecución antes de que se escriban en el disco. Cada instancia tiene su propia clave de encriptación del disco.
    5. Haz clic en Otorgar si se te solicita.
    6. Haz clic en Confirmar.
    7. Haz clic en Listo.
  8. Haz clic en Siguiente.
  Precaución: Cuando envías la configuración completa para el aprovisionamiento de Apigee (al final del Paso 4), no puedes volver y cambiar las selecciones de región de hosting ni clave de encriptación. Apigee no admite la actualización de la región de hosting ni las selecciones de clave de encriptación después de que se completa el aprovisionamiento. Por ejemplo, si seleccionas la encriptación administrada por Google, no podrás cambiarla a Encriptación administrada por el cliente más adelante y viceversa.
  
  Ve al siguiente paso, Paso 4: Personaliza el enrutamiento de acceso.
  
  Cómo crear una clave
  
  Para crear una clave, sigue estos pasos:
  1. Haz clic en Crear clave.
  2. Selecciona un llavero de claves o, si no existe uno, habilita Crear un llavero de claves e ingresa un nombre de llavero de claves y elige su ubicación. Los nombres de los llaveros de claves pueden contener letras, números, guiones bajos (_) y guiones (-). No es posible cambiar ni borrar el nombre de los llaveros de claves.
  3. Haz clic en Continuar.
  4. Crea una clave. Ingresa un nombre y un nivel de protección. Ten en cuenta que los nombres de las claves pueden contener letras, números, guiones bajos (_) y guiones (-). No se puede cambiar el nombre de las claves ni borrarlas. Para el nivel de protección, el Software es una buena opción. Este es el mismo valor predeterminado que usa Cloud KMS. Sin embargo, puedes cambiarlo si lo deseas.
  5. Haz clic en Continuar y revisa tus selecciones.
  6. Haz clic en Crear.