Questa pagina è stata tradotta dall'API Cloud Translation.

Passaggio 3: configura l'hosting e la crittografia

Questa pagina si applica a Apigee, ma non a Apigee ibrido.

Visualizza documentazione di Apigee Edge.

Cosa stai facendo in questo passaggio

In questo passaggio, a seconda delle tue esigenze specifiche di percorso dell'utente, specifichi le località di hosting per le analisi Apigee del piano di controllo, delle istanze di runtime e del piano dati e della regione dei dati consumer delle API. Puoi anche specificare le selezioni delle chiavi di crittografia.

La differenza tra ciascun percorso dell'utente è la selezione o creazione di chiavi di crittografia, che siano gestite da Google o cliente e se la residenza dei dati sia abilitata o meno.

Alcune funzionalità non sono supportate se è abilitata la residenza dei dati. Consulta: Compatibilità della residenza dei dati per maggiori dettagli.

Durante la creazione dell'organizzazione vengono utilizzate le seguenti chiavi:

Chiave di crittografia	Descrizione
Chiave piano di controllo	Autentica i dati di Analytics archiviati in BigQuery nel progetto del tenant Apigee. Crittografa i proxy API, i server di destinazione, i truststore e i keystore e qualsiasi altro elemento condiviso tra i runtime.
Chiave dati consumer API	Cripta i dati dell'infrastruttura di servizi. Deve essere una regione dalla posizione del piano di controllo.
Chiave del database di runtime	Cripta i dati delle applicazioni, ad esempio KVM, cache e client secret, che viene quindi archiviato nel database.

Chiave di crittografia

Descrizione

Chiave piano di controllo

Autentica i dati di Analytics archiviati in BigQuery nel progetto del tenant Apigee.

Crittografa i proxy API, i server di destinazione, i truststore e i keystore e qualsiasi altro elemento condiviso tra i runtime.

Chiave dati consumer API

Cripta i dati dell'infrastruttura di servizi. Deve essere una regione dalla posizione del piano di controllo.

Chiave del database di runtime

Cripta i dati delle applicazioni, ad esempio KVM, cache e client secret, che viene quindi archiviato nel database.

La seguente chiave viene utilizzata durante ogni creazione di istanze:

Chiave di crittografia	Descrizione
Chiave disco di runtime	Crittografa le KVM, la cache dell'ambiente, i bucket e i contatori delle quote. Cripta i prodotti API di dati KMS, sviluppatori, app per sviluppatori, I token OAuth (inclusi token di accesso, token di aggiornamento e codici di autorizzazione) e chiavi API.

Esegui il passaggio

Autorizzazioni richieste per questa attività

Puoi assegnare al provisioner Apigee un ruolo predefinito che include autorizzazioni necessarie per completare l'attività o da assegnare le autorizzazioni necessarie per fornire il privilegio minimo necessario. Vedi Ruoli predefiniti e Autorizzazioni dell'istanza di runtime.

Per visualizzare i passaggi relativi allo specifico percorso dell'utente, seleziona una delle seguenti opzioni percorsi degli utenti. Sono elencati in ordine di complessità, il più semplice è il percorso dell'utente A.

Visualizzare il diagramma di flusso del percorso dell'utente

Il seguente diagramma mostra i possibili percorsi dell'utente per configurare l'hosting e la crittografia per un'organizzazione con pagamento a consumo utilizzando la console Cloud.

I percorsi degli utenti sono contrassegnati da A a F e sono ordinati da semplice a complesso, dove A è il più semplice e F il più complesso.

	Percorso dell'utente	Descrizione
	Percorso dell'utente A: crittografia gestita da Google, nessuna residenza dei dati	Seleziona questa opzione se: Vuoi che Google gestisca le chiavi di crittografia Non sono tenuti ad archiviare contenuti principali ed elaborazione nella stessa regione geografica
	Percorso dell'utente B: crittografia gestita da Google, con residenza dei dati	Seleziona questa opzione se: Vuoi che sia Google a gestire le chiavi di crittografia Vuoi archiviare contenuti ed elaborazione di base nella stessa regione geografica
	Percorso dell'utente C: crittografia gestita dal cliente, nessuna residenza dei dati	Seleziona questa opzione se: Vuoi gestire le tue chiavi di crittografia Non è necessario memorizzare i contenuti e l'elaborazione di base nella stessa regione geografica
	Percorso dell'utente D: crittografia gestita dal cliente, con residenza dei dati	Seleziona questa opzione se: Vuoi gestire le tue chiavi di crittografia Vuoi archiviare i tuoi contenuti principali e l'elaborazione nella stessa regione geografica

Percorso dell'utente A: crittografia gestita da Google, nessuna residenza dei dati

Nel passaggio 3, la console mostra un elenco di opzioni di configurazione di hosting e crittografia e i relativi valori predefiniti. Puoi accettare la configurazione predefinita o fare clic su Modifica per aprire il riquadro Chiavi di hosting e crittografia.

Nella sezione Tipo di crittografia, seleziona Chiave di crittografia gestita da Google. Si tratta di una chiave di crittografia lato server gestita da Google utilizzata per criptare le istanze e i dati di Apigee prima che vengano scritti su disco.
Fai clic su Avanti.
Nella sezione Piano di controllo:
1. Deseleziona la casella Abilita la residenza dei dati.
  Nota: se esegui il provisioning di una nuova organizzazione Apigee in un progetto Google Cloud con un vincolo di località della risorsa applicato in un criterio dell'organizzazione, verifica che il vincolo di località sia impostato su global. Poiché il piano di controllo Apigee un'entità globale per impostazione predefinita, il provisioning avrà esito negativo se un vincolo diverso da global . Per saperne di più, consulta Introduzione alla residenza dei dati.
2. Nell'elenco a discesa Regione di Analytics, seleziona la posizione fisica in cui vuoi archiviare i dati di analisi. Per un elenco delle regioni di Apigee API Analytics disponibili, consulta Sedi di Apigee.
3. Fai clic su Conferma.
Nella sezione Runtime:
1. Nell'elenco a discesa Regione di hosting del runtime, seleziona la regione in cui vuoi che venga ospitata l'istanza.
2. In Chiave di crittografia del database di runtime, Gestita da Google è elencato come tipo di crittografia.
3. In Chiave di crittografia del disco di runtime, Gestita da Google è elencata come tipo di crittografia.
4. Fai clic su Conferma.
5. Fai clic su Fine.
Fai clic su Avanti.

Vai al passaggio successivo. Passaggio 4: personalizza il routing degli accessi

Percorso dell'utente B: crittografia gestita da Google, con residenza dei dati

Nella sezione Tipo di crittografia, seleziona Chiave di crittografia gestita da Google. Si tratta di una chiave di crittografia lato server gestita da Google utilizzata per criptare le istanze e i dati di Apigee prima che vengano scritti su disco.
Fai clic su Avanti.
Nella sezione Control plane:
1. Seleziona la casella Attiva la residenza dei dati.
2. Dall'elenco a discesa Giurisdizione di hosting del piano di controllo che viene visualizzato, seleziona la posizione in cui vuoi archiviare i dati.
  Nota: una giurisdizione si riferisce a una località all'interno di un confine geopolitico che può comprendere più regioni. Per un elenco delle giurisdizioni disponibili per l'hosting del control plane, consulta Località Apigee.
3. Nell'elenco a discesa Chiave di crittografia del piano di controllo: seleziona o crea una chiave per i dati archiviati e replicati tra le località di runtime.
  Nota: questo passaggio è necessario solo se selezioni us (multiple regions in us) oppure eu (multiple regions in European Union) come località di hosting del piano di controllo. Se selezioni in un'altra regione, questa chiave non è obbligatoria.
4. Se richiesto, fai clic su Concedi.
Nella sezione Regione dei dati dei consumatori dell'API:
1. Nell'elenco a discesa Regione dei dati dei consumatori dell'API, selezionare la località fisica in cui vuoi archiviare i dati. Per un elenco delle regioni di dati dei consumatori disponibili, consulta Sedi Apigee.
2. In API consumer data encryption key (Chiave di crittografia dei dati dei consumatori dell'API), Gestita da Google è elencata come tipo di crittografia.
3. Fai clic su Conferma.
Nella sezione Runtime:
1. Nell'elenco a discesa Regione hosting runtime, seleziona la regione in che deve essere ospitata dall'istanza. Per un elenco di regioni di runtime disponibili, Località Apigee. Quando si utilizza la residenza dei dati, La località deve trovarsi all'interno della regione del piano di controllo.
2. In Chiave di crittografia del database di runtime, Gestita da Google è elencato come tipo di crittografia.
3. In Chiave di crittografia del disco di runtime, Gestita da Google è elencata come tipo di crittografia.
4. Fai clic su Conferma.
5. Fai clic su Fine.
Fai clic su Avanti.

Vai al passaggio successivo, Passaggio 4: personalizza il routing degli accessi.

Percorso dell'utente C: crittografia gestita dal cliente, nessuna residenza dei dati

Nel passaggio 3, la console visualizza un elenco di hosting e crittografia le opzioni di configurazione e i relativi valori predefiniti. Puoi accettare la configurazione predefinita o fare clic su Modifica per aprire il riquadro Hosting e chiavi di crittografia.

Nella sezione Tipo di crittografia, seleziona Chiave di crittografia gestita dal cliente (CMEK). Si tratta di una chiave di crittografia lato server gestita dall'utente utilizzata per criptare le istanze Apigee e i dati prima che vengano scritti su disco.
Fai clic su Avanti.
Nella sezione Piano di controllo:
1. Deseleziona la casella Abilita la residenza dei dati.
  Nota: se esegui il provisioning di una nuova organizzazione Apigee in un progetto Google Cloud con un vincolo di località della risorsa applicato in un criterio dell'organizzazione, verifica che il vincolo di località sia impostato su global. Poiché il piano di controllo Apigee un'entità globale per impostazione predefinita, il provisioning avrà esito negativo se un vincolo diverso da global . Per ulteriori informazioni, consulta la sezione Introduzione alla residenza dei dati.
2. Nell'elenco a discesa Regione di Analytics, seleziona la posizione fisica in cui vuoi archiviare i dati di analisi. Per un elenco delle regioni di Apigee API Analytics disponibili, consulta Sedi di Apigee.
3. Fai clic su Conferma.
Nella sezione Runtime:
1. Nell'elenco a discesa Regione hosting runtime, seleziona la in cui vuoi che sia ospitata l'istanza.
2. Nell'elenco a discesa Chiave di crittografia del database di runtime, seleziona o crea una chiave per i dati memorizzati e replicati nelle posizioni di runtime.
3. Se richiesto, fai clic su Concedi.
4. Nell'elenco a discesa Chiave di crittografia del disco di runtime, seleziona o crea una chiave per i dati dell'istanza di runtime prima che vengano scritti su disco. Ogni istanza ha la propria chiave di crittografia del disco.
5. Se richiesto, fai clic su Concedi.
6. Fai clic su Conferma.
7. Fai clic su Fine.
Fai clic su Avanti.

Vai al passaggio successivo, Passaggio 4: personalizza il routing degli accessi.

Percorso dell'utente D: crittografia gestita dal cliente, con residenza dei dati

Nella sezione Tipo di crittografia, seleziona Chiave di crittografia gestita dal cliente (CMEK). Si tratta di una chiave di crittografia lato server gestita dall'utente utilizzata per criptare le istanze Apigee e i dati prima che vengano scritti su disco.
Fai clic su Avanti.
Nella sezione Piano di controllo:
1. Seleziona la casella Abilita la residenza dei dati.
2. Dall'elenco a discesa Giurisdizione di hosting del piano di controllo che viene visualizzato, seleziona la posizione in cui vuoi archiviare i dati.
  Nota: una giurisdizione si riferisce a una località all'interno di un confine geopolitico che può coprire più di una regione. Per un elenco delle le giurisdizioni di hosting del piano di controllo, vedi Località Apigee.
3. Nell'elenco a discesa Chiave di crittografia del piano di controllo, seleziona o crea una chiave per i dati memorizzati e replicati nelle posizioni di runtime.
  Nota: questo passaggio è necessario solo se selezioni us (multiple regions in us) o eu (multiple regions in European Union) come giurisdizione di hosting del piano di controllo. Se selezioni in un'altra regione, questa chiave non è obbligatoria.
4. Se richiesto, fai clic su Concedi.
Nella sezione Regione dei dati dei consumatori dell'API:
1. Dall'elenco a discesa Regione di dati dei consumatori dell'API, seleziona la posizione fisica in cui vuoi archiviare i dati. Per un elenco delle regioni di dati dei consumatori disponibili, consulta Località Apigee.
2. Nell'elenco a discesa Chiave di crittografia dei dati dei consumatori dell'API, seleziona o crea una chiave per i dati archiviati per il piano di controllo.
3. Se richiesto, fai clic su Concedi.
4. Fai clic su Conferma.
Nella sezione Runtime:
1. Nell'elenco a discesa Regione di hosting del runtime, seleziona la regione in cui vuoi che venga ospitata l'istanza. Quando utilizzi la residenza dei dati, la posizione di runtime deve trovarsi all'interno della regione del piano di controllo.
2. Nell'elenco a discesa Chiave di crittografia del database di runtime, seleziona o crea una chiave per i dati memorizzati e replicati nelle posizioni di runtime.
3. Fai clic su Concedi, se richiesto.
4. Nell'elenco a discesa Chiave di crittografia del disco di runtime, seleziona o crea una chiave per il runtime dei dati dell'istanza prima che vengano scritti su disco. Ogni istanza ha e la propria chiave di crittografia.
5. Se richiesto, fai clic su Concedi.
6. Fai clic su Conferma.
7. Fai clic su Fine.
Fai clic su Avanti.

Vai al passaggio successivo, Passaggio 4: personalizza il routing degli accessi.

Come creare una chiave

Per creare una chiave:

Fai clic su Crea chiave.
Seleziona un keyring oppure, se non ne esiste uno, abilita Crea keyring e inserisci il nome del keyring e scegli la posizione del keyring. I nomi dei keyring possono contenere lettere, numeri trattini bassi (_) e trattini (-). I keyring non possono essere rinominati o eliminati.
Fai clic su Continua.
Crea una chiave. Inserisci un nome e un livello di protezione. Tieni presente che i nomi delle chiavi possono contenere lettere, numeri, trattini bassi (_) e trattini (-). Non è possibile rinominare o eliminare le chiavi. Per il livello di protezione, Software è una buona scelta. Si tratta dello stesso valore predefinito utilizzato da Cloud KMS. Tuttavia, se lo desideri, puoi modificarlo.
Fai clic su Continua e rivedi le selezioni.
Fai clic su Crea.