本頁內容適用於 Apigee,但不適用於 Apigee Hybrid。
查看
Apigee Edge 說明文件。
這個步驟的內容
在這個步驟中,您會根據特定的 使用者歷程,指定 Apigee Analytics 或控制層、執行階段和資料層執行個體,以及 API 消費者資料地區的代管位置。您也可以指定加密金鑰選取項目。
各使用者歷程的差異在於加密金鑰的選取或建立方式,以及金鑰是由 Google 或客戶管理,以及是否啟用資料落地。
啟用資料落地設定時,無法使用部分功能。詳情請參閱「 資料落地相容性」。
如果 Google Cloud 專案有 CMEK 組織政策限制,系統預設會啟用資料落地功能,且必須使用 CMEK。
建立機構時會使用下列金鑰:
| 加密金鑰 | 說明 |
|---|---|
| 控制層金鑰 |
加密儲存在 Apigee 租戶專案 BigQuery 中的 Analytics 資料。 加密 API Proxy、目標伺服器、信任儲存區和金鑰儲存區,以及在執行階段之間共用的任何其他項目。 |
| API 消費者資料金鑰 | 加密服務基礎架構資料。這必須是控制層位置內的區域。 |
| 執行階段資料庫金鑰 | 加密應用程式資料,例如 KVM、快取和用戶端密碼,然後儲存在資料庫中。 |
每次建立執行個體時都會使用下列金鑰:
| 加密金鑰 | 說明 |
|---|---|
| 執行階段磁碟金鑰 | 加密 KVM、環境快取、配額 bucket 和計數器。
加密 KMS 資料 API 產品、開發人員、開發人員應用程式、OAuth 權杖 (包括存取權杖、重新整理權杖和授權碼) 和 API 金鑰。 |
執行步驟
如要查看特定使用者歷程的步驟,請選取下列其中一個使用者歷程。這些歷程依複雜程度列示如下,其中最簡單的是使用者歷程 A。
查看使用者歷程流程圖
下圖顯示使用 Cloud 控制台,為隨用隨付機構設定主機和加密的可能使用者歷程。
使用者歷程標示為 A 到 F,並依簡單到複雜的順序排列,其中 A 最簡單,F 最複雜。
| 使用者歷程 | 說明 | |
|---|---|---|
 |
使用者歷程 A:Google 代管的加密機制,沒有資料落地要求 |
如果您符合以下情況,請選取這個選項:
|
 |
使用者歷程 B:Google 代管的加密機制,並符合資料落地規定 |
如果您符合以下情況,請選取這個選項:
|
 |
使用者歷程 C:客戶自行管理的加密, 無資料落地 |
如果您符合以下情況,請選取這個選項: |
 |
使用者歷程 D:客戶管理的加密,以及資料落地 |
如果您符合以下情況,請選取這個選項:
|
使用者歷程 A:Google 代管的加密,沒有資料落地需求
在步驟 3 中,控制台會顯示託管和加密設定選項清單,以及這些選項的預設值。您可以接受預設設定,或按一下「編輯」,開啟「託管與加密金鑰」面板。
- 在「加密類型」區段中,選取 Google-managed encryption key。這是 Google 代管的伺服器端加密金鑰,用於加密 Apigee 執行個體和資料,再寫入磁碟。
- 點選「下一步」。
- 在「控制層」部分:
- 取消勾選「啟用資料落地設定」方塊。
從「數據分析區域」下拉式選單中,選取要儲存數據分析資料的實際位置。 如需可用的 Apigee API 數據分析區域清單 (包括支援 API 中心的區域),請參閱「 Apigee 地理位置」。如果您選取的區域不支援 API 中心,系統就不會建立 API 中心執行個體。如要進一步瞭解 API 中心,請參閱「 什麼是 API 中心?」。
- 按一下「確認」。
- 在「執行階段」部分:
- 從「執行階段代管區域」下拉式清單中,選取要代管執行個體的區域。
- 在「執行階段資料庫加密金鑰」下方,加密類型會列為「Google 管理」。
- 在「執行階段磁碟加密金鑰」下方,加密類型會列為「Google 管理」。
- 按一下「確認」。
- 按一下 [完成]。
- 點選「下一步」。
請前往下一個步驟: 步驟 4:自訂存取轉送。
使用者歷程 B:Google 代管的加密,並遵守資料落地規定
在步驟 3 中,控制台會顯示託管和加密設定選項清單,以及這些選項的預設值。您可以接受預設設定,或按一下「編輯」,開啟「託管與加密金鑰」面板。
- 在「加密類型」區段中,選取 Google-managed encryption key。這是 Google 代管的伺服器端加密金鑰,用於加密 Apigee 執行個體和資料,再寫入磁碟。
- 點選「下一步」。
- 在「控制層」部分:
- 選取「啟用資料落地設定」方塊。
- 從「控制層託管管轄區」下拉式清單中,選取要儲存資料的實際位置。
- 在「控制層加密金鑰」下方,加密類型會列為「Google 管理」。
- 在「API consumer data region」(API 消費者資料區域) 部分中:
- 從「API consumer data region」(API 消費者資料區域) 下拉式清單中,選取要儲存資料的實際位置。如需可用的消費者資料地區清單,請參閱 Apigee 位置。
- 在「API consumer data encryption key」(API 消費者資料加密金鑰) 下方,加密類型會列為「Google-managed」(Google 代管)。
- 按一下「確認」。
- 在「執行階段」部分:
- 從「執行階段代管區域」下拉式清單中,選取要代管執行個體的區域。如需可用執行階段區域的清單,請參閱 Apigee 位置。使用資料落地功能時,執行階段位置必須位於控制層區域內。
- 在「執行階段資料庫加密金鑰」下方,加密類型會列為「Google 代管」。
- 在「執行階段磁碟加密金鑰」下方,加密類型會列為「Google 管理」。
- 按一下「確認」。
- 按一下「完成」。
- 點選「下一步」。
請前往下一個步驟: 步驟 4:自訂存取轉送。
使用者歷程 C:客戶管理的加密金鑰,沒有資料落地需求
在步驟 3 中,控制台會顯示託管和加密設定選項清單,以及這些選項的預設值。您可以接受預設設定,或按一下「編輯」,開啟「託管與加密金鑰」面板。
- 在「Encryption type」(加密類型) 區段中,選取「Customer-managed encryption key (CMEK)」(客戶管理的加密金鑰 (CMEK))。這是使用者管理的伺服器端加密金鑰,用於加密 Apigee 執行個體和資料,再寫入磁碟。
- 點選「下一步」。
- 在「控制層」部分:
- 取消勾選「啟用資料落地設定」方塊。
從「數據分析區域」下拉式選單中,選取要儲存數據分析資料的實際位置。 如需可用的 Apigee API 數據分析區域清單,請參閱 Apigee 位置。
- 按一下「確認」。
- 在「執行階段」部分:
- 點選「下一步」。
請前往下一個步驟: 步驟 4:自訂存取轉送。
使用者歷程 D:客戶管理的加密,並符合資料落地規定
在步驟 3 中,控制台會顯示託管和加密設定選項清單,以及這些選項的預設值。您可以接受預設設定,也可以按一下「編輯」圖示 開啟「託管與加密金鑰」面板。
- 在「Encryption type」(加密類型) 區段中,選取「Customer-managed encryption key (CMEK)」(客戶管理的加密金鑰 (CMEK))。這是使用者管理的伺服器端加密金鑰,用於加密 Apigee 執行個體和資料,再寫入磁碟。
- 點選「下一步」。
- 在「控制層」部分:
- 選取「啟用資料落地設定」方塊。
- 從「控制層託管管轄區」下拉式清單中,選取要儲存資料的實際位置。
- 在「控制平面加密金鑰」下拉式清單中,選取或建立金鑰,用於儲存及複製到執行階段位置的資料。
- 如果出現提示訊息,請按一下「授予」。
- 在「API consumer data region」(API 消費者資料區域) 部分中:
- 在「執行階段」部分:
- 點選「下一步」。
請前往下一個步驟: 步驟 4:自訂存取轉送。
如何建立金鑰
如何建立機碼:
- 按一下 [Create key] (建立金鑰)。
- 選取金鑰環,如果沒有金鑰環,請啟用「建立金鑰環」,然後輸入金鑰環名稱並選擇金鑰環位置。金鑰環名稱可以使用英文字母、數字、底線 (_) 和連字號 (-)。您無法重新命名或刪除金鑰環。
- 按一下「繼續」。
- 建立金鑰。輸入名稱和防護等級。 請注意,金鑰名稱可以使用英文字母、數字、底線 (_) 和連字號 (-)。金鑰一經設定即無法重新命名或刪除。防護等級建議選取「軟體」。這與 Cloud KMS 使用的預設值相同,但您可以視需要變更。
- 按一下「繼續」,然後檢查所選項目。
- 點選「建立」。