Étape 3 : Configurer l'hébergement et le chiffrement

Cette page s'applique à Apigee, mais pas à Apigee hybrid.

Consultez la documentation d'Apigee Edge.

Procédure de cette étape

Au cours de cette étape, en fonction de votre parcours utilisateur spécifique, vous spécifiez des emplacements d'hébergement pour votre plan d'analyse ou de contrôle Apigee, vos instances d'exécution et de plan de données, ainsi que votre région de données client d'API. Vous pouvez également spécifier des sélections de clés de chiffrement.

La différence entre chacun des parcours utilisateur réside dans la sélection ou la création de clés de chiffrement, qu'elles soient gérées par Google ou par le client, et que la résidence des données soit activée ou non.

Certaines fonctionnalités ne sont pas disponibles lorsque la résidence des données est activée. Pour en savoir plus, consultez la section Compatibilité en matière de résidence des données.

Les clés suivantes sont utilisées lors de la création de l'organisation :

Encryption key (Clé de chiffrement)	Description
Clé du plan de contrôle	Chiffre les données Analytics stockées dans BigQuery, dans un projet locataire Apigee. Chiffre les proxys d'API, les serveurs cibles, les truststores et les keystores, ainsi que tout autre élément partagé entre les environnements d'exécution.
Clé de données client de l'API	Chiffre les données d'infrastructure de service. Il doit s'agir d'une région dans l'emplacement du plan de contrôle.
Clé de base de données d'exécution	Chiffre les données d'application telles que les KVM, le cache et les codes secrets du client, qui sont ensuite stockés dans la base de données.

Encryption key (Clé de chiffrement)

Description

Clé du plan de contrôle

Chiffre les données Analytics stockées dans BigQuery, dans un projet locataire Apigee.

Chiffre les proxys d'API, les serveurs cibles, les truststores et les keystores, ainsi que tout autre élément partagé entre les environnements d'exécution.

Clé de données client de l'API

Chiffre les données d'infrastructure de service. Il doit s'agir d'une région dans l'emplacement du plan de contrôle.

Clé de base de données d'exécution

Chiffre les données d'application telles que les KVM, le cache et les codes secrets du client, qui sont ensuite stockés dans la base de données.

La clé suivante est utilisée lors de la création de chaque instance :

Encryption key (Clé de chiffrement)	Description
Clé de disque d'exécution	Chiffre les KVM, le cache de l'environnement, les buckets de quota et des compteurs. Chiffre les produits d'API des données KMS, les développeurs, les applications de développeur, les jetons OAuth (y compris les jetons d'accès, les jetons d'actualisation et les codes d'autorisation), et les clés API.

Réaliser cette étape

Autorisations requises pour cette tâche

Vous pouvez attribuer à l'approvisionneur Apigee un rôle prédéfini qui inclut les autorisations nécessaires pour effectuer cette tâche, ou définir des autorisations plus précises selon le principe du moindre privilège. Consultez les sections Rôles prédéfinis et Autorisations d'instance d'exécution.

Pour afficher les étapes de votre parcours utilisateur spécifique, sélectionnez l'un des parcours suivants. Ils sont répertoriés par ordre de complexité, le plus simple étant le parcours utilisateur A.

Afficher le diagramme du parcours utilisateur

Le schéma suivant illustre les parcours utilisateur possibles pour configurer l'hébergement et le chiffrement d'une organisation facturée à l'usage à l'aide de la console Cloud.

Les parcours utilisateur sont notés de A à F et sont classés du plus simple au plus complexe, A étant le plus simple et F le plus complexe.

Flux de provisionnement pour le paiement à l'usage

	parcours utilisateur	Description
	Parcours utilisateur A : chiffrement géré par Google, aucune résidence des données	Sélectionnez cette option dans les cas suivants : Vous souhaitez que Google gère les clés de chiffrement Il n'est pas nécessaire de stocker le contenu et le traitement principaux dans la même région géographique
	Parcours utilisateur B : chiffrement géré par Google et résidence des données	Sélectionnez cette option dans les cas suivants : Vous souhaitez que Google gère les clés de chiffrement Vous souhaitez stocker le contenu et le traitement principaux dans la même région géographique.
	Parcours utilisateur C : chiffrement géré par le client, pas de résidence des données	Sélectionnez cette option dans les cas suivants : Vous souhaitez gérer vos propres clés de chiffrement Il n'est pas nécessaire de stocker le contenu et le traitement principaux dans la même région géographique
	Parcours utilisateur D : chiffrement géré par le client et résidence des données	Sélectionnez cette option dans les cas suivants : Vous souhaitez gérer vos propres clés de chiffrement Vous souhaitez stocker le contenu et le traitement principaux dans la même région géographique

Parcours utilisateur A : chiffrement géré par Google, pas de résidence des données

À l'étape 3, la console affiche une liste des options de configuration de l'hébergement et du chiffrement, ainsi que leurs valeurs par défaut. Vous pouvez accepter la configuration par défaut ou cliquer sur Modifier pour ouvrir le panneau Clés d'hébergement et de chiffrement.

Dans la section Type de chiffrement, sélectionnez Clé de chiffrement gérée par Google. Il s'agit d'une clé de chiffrement côté serveur gérée par Google, utilisée pour chiffrer vos instances et données Apigee avant leur écriture sur le disque.
Cliquez sur Suivant.
Dans la section Plan de contrôle :
1. Décochez la case Activer la résidence des données.
  Remarque : Si vous provisionnez une nouvelle organisation Apigee dans un projet Google Cloud avec une contrainte d'emplacement de ressource appliquée dans une règle d'administration, confirmez que cette contrainte d'emplacement est définie sur global. Étant donné que le plan de contrôle Apigee est par défaut une entité globale, le provisionnement échouera si une contrainte autre que global est appliquée. Pour en savoir plus, consultez la page Présentation de la résidence des données.
2. Dans la liste déroulante Région Analytics, sélectionnez l'emplacement physique dans lequel vous souhaitez stocker vos données d'analyse. Pour obtenir la liste des régions Apigee API Analytics disponibles, consultez la page Emplacements Apigee.
3. Cliquez sur Confirm (Confirmer).
Dans la section Environnement d'exécution :
1. Dans la liste déroulante Région d'hébergement de l'environnement d'exécution, sélectionnez la région dans laquelle vous souhaitez héberger votre instance.
2. Sous Clé de chiffrement de base de données d'exécution, Géré par Google est répertorié comme type de chiffrement.
3. Sous Clé de chiffrement du disque d'exécution, Géré par Google est répertorié comme type de chiffrement.
4. Cliquez sur Confirm (Confirmer).
5. Cliquez sur OK.
Cliquez sur Suivant.

Passez à l'étape suivante, Étape 4 : Personnaliser le routage d'accès.

Parcours utilisateur B : chiffrement géré par Google, avec résidence des données

Dans la section Type de chiffrement, sélectionnez Clé de chiffrement gérée par Google. Il s'agit d'une clé de chiffrement côté serveur gérée par Google, utilisée pour chiffrer vos instances et données Apigee avant leur écriture sur le disque.
Cliquez sur Suivant.
Dans la section Plan de contrôle :
1. Cochez la case Activer la résidence des données.
2. Dans la section Emplacement d'hébergement du plan de contrôle :
  1. Sélectionnez un type d'emplacement :
    - Région: vos données sont stockées dans une seule région, ce qui peut réduire la latence.
    - Multirégional : vos données sont stockées dans plusieurs régions, ce qui peut augmenter la disponibilité dans une grande zone.
  2. Dans la liste déroulante Région ou Multirégional qui s'affiche, sélectionnez l'emplacement physique dans lequel vous souhaitez stocker vos données. Pour obtenir la liste des régions de plan de contrôle disponibles, consultez la section Emplacements Apigee.
  3. Sous Clé de chiffrement du plan de contrôle, le type de chiffrement est défini sur Géré par Google.
    Remarque : Cette étape n'est requise que si vous sélectionnez us (multiple regions in us) ou eu (multiple regions in European Union) comme emplacement d'hébergement du plan de contrôle. Si vous sélectionnez une autre région, cette clé n'est pas obligatoire.
3. Dans la liste déroulante Région des données client de l'API, sélectionnez l'emplacement physique dans lequel vous souhaitez stocker vos données. Pour obtenir la liste des régions de plan de contrôle disponibles, consultez la section Emplacements Apigee.
4. Sous Clé de chiffrement des données client de l'API, Géré par Google est répertorié comme type de chiffrement.
5. Cliquez sur Confirm (Confirmer).
6. Dans la section Environnement d'exécution :
  1. Dans la liste déroulante Région d'hébergement de l'environnement d'exécution, sélectionnez la région dans laquelle vous souhaitez héberger votre instance. Pour obtenir la liste des régions d'exécution disponibles, consultez la section Emplacements Apigee. Lorsque vous utilisez la résidence des données, l'emplacement d'exécution doit se trouver dans la région du plan de contrôle.
  2. Sous Clé de chiffrement de base de données d'exécution, Géré par Google est répertorié comme type de chiffrement.
  3. Sous Clé de chiffrement du disque d'exécution, Géré par Google est répertorié comme type de chiffrement.
  4. Cliquez sur Confirm (Confirmer).
  5. Cliquez sur OK.
7. Cliquez sur Suivant.
Attention : Lorsque vous envoyez la configuration terminée pour le provisionnement d'Apigee (à la fin de l'étape 4), vous ne pouvez pas revenir en arrière et modifier les sélections de région d'hébergement et de clés de chiffrement. Apigee ne permet pas de mettre à jour la sélection de la région d'hébergement ou des clés de chiffrement une fois le provisionnement terminé. Par exemple, si vous sélectionnez "Chiffrement géré par Google", vous ne pouvez pas le changer pour "Chiffrement géré par le client" par la suite, et inversement.

Passez à l'étape suivante, Étape 4 : Personnaliser le routage d'accès.

Parcours utilisateur C : chiffrement géré par le client, pas de résidence des données

À l'étape 3, la console affiche une liste des options de configuration de l'hébergement et du chiffrement, ainsi que leurs valeurs par défaut. Vous pouvez accepter la configuration par défaut ou cliquer sur Modifier pour ouvrir le panneau Clés d'hébergement et de chiffrement.
1. Dans la section Type de chiffrement, sélectionnez Clé de chiffrement gérée par le client (CMEK). Il s'agit d'une clé de chiffrement côté serveur gérée par l'utilisateur, qui permet de chiffrer vos instances et données Apigee avant leur écriture sur le disque.
2. Cliquez sur Suivant.
3. Dans la section Plan de contrôle :
  1. Décochez la case Activer la résidence des données.
    Remarque : Si vous provisionnez une nouvelle organisation Apigee dans un projet Google Cloud avec une contrainte d'emplacement de ressource appliquée dans une règle d'administration, confirmez que cette contrainte d'emplacement est définie sur global. Étant donné que le plan de contrôle Apigee est par défaut une entité globale, le provisionnement échouera si une contrainte autre que global est appliquée. Pour en savoir plus, consultez la page Présentation de la résidence des données.
  2. Dans la liste déroulante Région Analytics, sélectionnez l'emplacement physique dans lequel vous souhaitez stocker vos données d'analyse. Pour obtenir la liste des régions Apigee API Analytics disponibles, consultez la page Emplacements Apigee.
  3. Cliquez sur Confirm (Confirmer).
4. Dans la section Environnement d'exécution :
  1. Dans la liste déroulante Région d'hébergement de l'environnement d'exécution, sélectionnez la région dans laquelle vous souhaitez héberger votre instance.
  2. Dans la liste déroulante Clé de chiffrement de base de données d'exécution, sélectionnez ou créez une clé pour les données stockées et répliquées sur plusieurs emplacements d'exécution.
  3. Cliquez sur Accorder si une telle invite s'affiche.
  4. Dans la liste déroulante Clé de chiffrement du disque d'exécution, sélectionnez ou créez une clé pour les données de l'instance d'exécution avant qu'elles ne soient écrites sur le disque. Chaque instance possède sa propre clé de chiffrement pour le disque.
  5. Cliquez sur Accorder si une telle invite s'affiche.
  6. Cliquez sur Confirm (Confirmer).
  7. Cliquez sur OK.
5. Cliquez sur Suivant.
Attention : Lorsque vous envoyez la configuration terminée pour le provisionnement d'Apigee (à la fin de l'étape 4), vous ne pouvez pas revenir en arrière et modifier les sélections de région d'hébergement et de clés de chiffrement. Apigee ne permet pas de mettre à jour la sélection de la région d'hébergement ou des clés de chiffrement une fois le provisionnement terminé. Par exemple, si vous sélectionnez "Chiffrement géré par Google", vous ne pouvez pas le changer pour "Chiffrement géré par le client" par la suite, et inversement.

Passez à l'étape suivante, Étape 4 : Personnaliser le routage d'accès.

Parcours utilisateur D : chiffrement géré par le client et résidence des données

À l'étape 3, la console affiche une liste des options de configuration de l'hébergement et du chiffrement, ainsi que leurs valeurs par défaut. Vous pouvez accepter la configuration par défaut ou cliquer sur Modifier pour ouvrir le panneau Clés d'hébergement et de chiffrement.
1. Dans la section Type de chiffrement, sélectionnez Clé de chiffrement gérée par le client (CMEK). Il s'agit d'une clé de chiffrement côté serveur gérée par l'utilisateur, qui permet de chiffrer vos instances et données Apigee avant leur écriture sur le disque.
2. Cliquez sur Suivant.
3. Dans la section Plan de contrôle :
  1. Cochez la case Activer la résidence des données.
  2. Dans la section Emplacement d'hébergement du plan de contrôle :
    1. Sélectionnez un type d'emplacement :
      - Région: vos données sont stockées dans une seule région, ce qui peut réduire la latence.
      - Multirégional : vos données sont stockées dans plusieurs régions, ce qui peut augmenter la disponibilité dans une grande zone.
    2. Dans la liste déroulante Région ou Multirégional qui s'affiche, sélectionnez l'emplacement physique dans lequel vous souhaitez stocker vos données. Pour obtenir la liste des régions de plan de contrôle disponibles, consultez la section Emplacements Apigee.
    3. Dans la liste déroulante Clé de chiffrement du plan de contrôle, sélectionnez ou créez une clé pour les données stockées et répliquées sur plusieurs emplacements d'exécution.
      Remarque : Cette étape n'est requise que si vous sélectionnez us (multiple regions in us) ou eu (multiple regions in European Union) comme emplacement d'hébergement du plan de contrôle. Si vous sélectionnez une autre région, cette clé n'est pas obligatoire.
    4. Cliquez sur Accorder si une telle invite s'affiche.
  3. Dans la liste déroulante Région des données client de l'API, sélectionnez l'emplacement physique dans lequel vous souhaitez stocker vos données. Pour obtenir la liste des régions de plan de contrôle disponibles, consultez la section Emplacements Apigee.
  4. Dans la liste déroulante Clé de chiffrement des données client de l'API, sélectionnez ou créez une clé pour les données stockées pour le plan de contrôle.
  5. Cliquez sur Accorder si une telle invite s'affiche.
  6. Cliquez sur Confirm (Confirmer).
  7. Dans la section Environnement d'exécution :
    1. Dans la liste déroulante Région d'hébergement de l'environnement d'exécution, sélectionnez la région dans laquelle vous souhaitez héberger votre instance. Lorsque vous utilisez une résidence des données, l'emplacement d'exécution doit se trouver dans la région du plan de contrôle.
    2. Dans la liste déroulante Clé de chiffrement de base de données d'exécution, sélectionnez ou créez une clé pour les données stockées et répliquées sur plusieurs emplacements d'exécution.
    3. Cliquez sur Accorder si une telle invite s'affiche.
    4. Dans la liste déroulante Clé de chiffrement du disque d'exécution, sélectionnez ou créez une clé pour les données de l'instance d'exécution avant qu'elles ne soient écrites sur le disque. Chaque instance possède sa propre clé de chiffrement pour le disque.
    5. Cliquez sur Accorder si une telle invite s'affiche.
    6. Cliquez sur Confirm (Confirmer).
    7. Cliquez sur OK.
  8. Cliquez sur Suivant.
  Attention : Lorsque vous envoyez la configuration terminée pour le provisionnement d'Apigee (à la fin de l'étape 4), vous ne pouvez pas revenir en arrière et modifier les sélections de région d'hébergement et de clés de chiffrement. Apigee ne permet pas de mettre à jour la sélection de la région d'hébergement ou des clés de chiffrement une fois le provisionnement terminé. Par exemple, si vous sélectionnez "Chiffrement géré par Google", vous ne pouvez pas le changer pour "Chiffrement géré par le client" par la suite, et inversement.
  
  Passez à l'étape suivante, Étape 4 : Personnaliser le routage d'accès.
  
  Comment créer une clé
  
  Pour créer une clé :
  1. Cliquez sur Créer une clé.
  2. Sélectionnez un trousseau de clés ou, à défaut, activez l'option Créer un trousseau de clés et saisissez un nom de trousseau de clés, puis sélectionnez l'emplacement de votre trousseau de clés. Les noms des trousseaux de clés peuvent contenir des lettres, des chiffres, des traits de soulignement (_) et des traits d'union (-). Les trousseaux de clés ne peuvent être ni renommés, ni supprimés.
  3. Cliquez sur Continuer.
  4. Créez une clé. Saisissez un nom et un niveau de protection. Notez que les noms de clé peuvent contenir des lettres, des chiffres, des traits de soulignement (_) et des tirets (-). Les clés ne peuvent être ni renommées, ni supprimées. Pour le niveau de protection, Logiciel est un bon choix. Cloud KMS utilise le même niveau de protection par défaut. Vous pouvez toutefois le modifier si vous le souhaitez.
  5. Cliquez sur Continue (Continuer) et vérifiez vos sélections.
  6. Cliquez sur Créer.