Passaggio 3: configura l'hosting e la crittografia

Questa pagina si applica ad Apigee, ma non ad Apigee hybrid.

Visualizza la documentazione di Apigee Edge.

Cosa fai in questo passaggio

In questo passaggio, a seconda del percorso dell'utente specifico, specifica le posizioni di hosting per le istanze di analisi o del control plane, del runtime e del dataplane di Apigee e la regione di dati dei consumer API. Specifichi anche le selezioni delle chiavi di crittografia.

La differenza tra i vari percorsi utente è la selezione o la creazione di chiavi di crittografia, che siano gestite da Google o dal cliente e se la residenza dei dati è attivata o meno.

Alcune funzionalità non sono supportate quando è abilitata la residenza dei dati. Per informazioni dettagliate, consulta Compatibilità della residenza dei dati.

Se il tuo progetto Google Cloud ha un vincolo di policy dell'organizzazione CMEK, la residenza dei dati è abilitata per impostazione predefinita e CMEK è obbligatoria.

Durante la creazione dell'organizzazione vengono utilizzate le seguenti chiavi:

Chiave di crittografia	Descrizione
Chiave del control plane	Cripta i dati di Analytics archiviati in BigQuery nel progetto tenant Apigee. Cripta i proxy API, i server di destinazione, i truststore e i keystore e qualsiasi altro elemento condiviso tra i runtime.
Chiave dei dati del consumer API	Cripta i dati dell'infrastruttura di servizi. Deve essere una regione all'interno della località del control plane.
Chiave del database di runtime	Cripta i dati delle applicazioni, come KVM, cache e client secret, che vengono poi memorizzati nel database.

La seguente chiave viene utilizzata durante la creazione di ogni istanza:

Chiave di crittografia	Descrizione
Chiave del disco di runtime	Cripta le KVM, la cache dell'ambiente, i bucket e i contatori delle quote. Cripta i prodotti API KMS, gli sviluppatori, le app per sviluppatori, i token OAuth (inclusi token di accesso, token di aggiornamento e codici di autorizzazione) e le chiavi API.

Esegui il passaggio

Autorizzazioni richieste per questa attività

---

Puoi assegnare al provisioner Apigee un ruolo predefinito che includa le autorizzazioni necessarie per completare questa attività oppure assegnare autorizzazioni più granulari per fornire il privilegio minimo necessario. Consulta Ruoli predefiniti e Autorizzazioni dell'istanza di runtime.

---

Per visualizzare i passaggi per il percorso dell'utente specifico, seleziona uno dei seguenti percorsi dell'utente. Sono elencati in ordine di complessità, con il più semplice che è il percorso dell'utente A.

Visualizzare il diagramma di flusso del percorso dell'utente

---

Il seguente diagramma mostra i possibili percorsi utente per configurare l'hosting e la crittografia per un'organizzazione con pagamento a consumo utilizzando la console Google Cloud.

I percorsi dell'utente sono indicati con le lettere da A a F e sono ordinati dal più semplice al più complesso, dove A è il più semplice e F il più complesso.

---

	Percorso dell'utente	Descrizione
	Percorso dell'utente A: crittografia gestita da Google, nessuna residenza dei dati	Seleziona questa opzione se: Vuoi che Google gestisca le chiavi di crittografia Non sono tenuti ad archiviare contenuti ed elaborazione principali nella stessa regione geografica Il tuo progetto Google Cloud non ha un vincolo del criterio dell'organizzazione CMEK
	Percorso utente B: crittografia gestita da Google, con residenza dei dati	Seleziona questa opzione se: Vuoi che Google gestisca le chiavi di crittografia Vuoi archiviare i contenuti principali e l'elaborazione nella stessa regione geografica Il tuo progetto Google Cloud non ha un vincolo del criterio dell'organizzazione CMEK
	User journey C: Customer-managed encryption, no data residency	Seleziona questa opzione se: Vuoi gestire le tue chiavi di crittografia Non sono tenuti a memorizzare i contenuti principali e l'elaborazione nella stessa regione geografica Il tuo progetto Google Cloud non ha un vincolo del criterio dell'organizzazione CMEK
	Percorso dell'utente D: crittografia gestita dal cliente, con residenza dei dati	Seleziona questa opzione se: Vuoi gestire le tue chiavi di crittografia Vuoi archiviare i contenuti principali e l'elaborazione nella stessa regione geografica Il tuo Google Cloud progetto ha un vincolo della policy dell'organizzazione CMEK

Percorso dell'utente A: crittografia gestita da Google, nessuna residenza dei dati

Nel passaggio 3, la console mostra un elenco di opzioni di configurazione di hosting e crittografia e i relativi valori predefiniti. Puoi accettare la configurazione predefinita o fare clic su create Modifica per aprire il riquadro Chiavi di hosting e crittografia.

1. Nella sezione Tipo di crittografia, seleziona Google-managed encryption key. Si tratta di una chiave di crittografia lato server gestita da Google utilizzata per criptare i dati e le istanze Apigee prima che vengano scritti su disco.
2. Fai clic su Avanti.
3. Nella sezione Control plane:
   1. Deseleziona la casella Abilita la residenza dei dati.

   2. Nell'elenco a discesa Regione di analisi, seleziona la posizione fisica in cui vuoi che vengano archiviati i tuoi dati di analisi. Per un elenco delle regioni di Apigee API Analytics disponibili, incluse quelle che supportano l'hub API, consulta Località Apigee. Se selezioni una regione che non supporta l'hub API, non viene creata un'istanza dell'hub API. Per saperne di più sull'hub API, consulta Che cos'è l'hub API?

   3. Fai clic su Conferma.
4. Nella sezione Runtime:
   1. Dall'elenco a discesa Regione di hosting del runtime, seleziona la regione in cui vuoi ospitare l'istanza.
   2. In Chiave di crittografia del database di runtime, Gestita da Google è elencato come tipo di crittografia.
   3. In Chiave di crittografia del disco di runtime, Gestita da Google è elencato come tipo di crittografia.
   4. Fai clic su Conferma.
   5. Fai clic su Fine.
5. Fai clic su Avanti.

Vai al passaggio successivo, Passaggio 4: personalizza il routing degli accessi.

Percorso utente B: crittografia gestita da Google, con residenza dei dati

Nel passaggio 3, la console mostra un elenco di opzioni di configurazione di hosting e crittografia e i relativi valori predefiniti. Puoi accettare la configurazione predefinita o fare clic su create Modifica per aprire il riquadro Chiavi di hosting e crittografia.

1. Nella sezione Tipo di crittografia, seleziona Google-managed encryption key. Si tratta di una chiave di crittografia lato server gestita da Google utilizzata per criptare i dati e le istanze Apigee prima che vengano scritti su disco.
2. Fai clic su Avanti.
3. Nella sezione Control plane:
   1. Seleziona la casella Abilita residenza dei dati.
   2. Nell'elenco a discesa Giurisdizione di hosting del control plane, seleziona la posizione fisica in cui vuoi archiviare i dati.

   3. In Chiave di crittografia del control plane, Gestita da Google è elencato come tipo di crittografia.
4. Nella sezione Regione di dati del consumer API:
   1. Nell'elenco a discesa Regione dei dati dei consumer API, seleziona la località fisica in cui vuoi archiviare i dati. Per un elenco delle regioni di dati dei consumatori disponibili, consulta Località Apigee.
   2. In Chiave di crittografia dei dati del consumer API, Gestita da Google è elencato come tipo di crittografia.
   3. Fai clic su Conferma.
5. Nella sezione Runtime:
   1. Dall'elenco a discesa Regione di hosting del runtime, seleziona la regione in cui vuoi ospitare l'istanza. Per un elenco delle regioni di runtime disponibili, consulta Località Apigee. Quando utilizzi la residenza dei dati, la posizione di runtime deve trovarsi all'interno della regione del control plane.
   2. In Chiave di crittografia del database di runtime, Gestita da Google è elencato come tipo di crittografia.
   3. In Chiave di crittografia del disco di runtime, Gestita da Google è elencato come tipo di crittografia.
   4. Fai clic su Conferma.
   5. Fai clic su Fine.
6. Fai clic su Avanti.

Vai al passaggio successivo, Passaggio 4: personalizza il routing degli accessi.

User Journey C: crittografia gestita dal cliente, nessuna residenza dei dati

Nel passaggio 3, la console mostra un elenco di opzioni di configurazione di hosting e crittografia e i relativi valori predefiniti. Puoi accettare la configurazione predefinita o fare clic su create Modifica per aprire il riquadro Chiavi di hosting e crittografia.

1. Nella sezione Tipo di crittografia, seleziona Chiave di crittografia gestita dal cliente (CMEK). Si tratta di una chiave di crittografia lato server gestita dall'utente utilizzata per criptare i dati e le istanze Apigee prima che vengano scritti su disco.
2. Fai clic su Avanti.
3. Nella sezione Control plane:
   1. Deseleziona la casella Abilita la residenza dei dati.

   2. Nell'elenco a discesa Regione di analisi, seleziona la posizione fisica in cui vuoi che vengano archiviati i tuoi dati di analisi. Per un elenco delle regioni di Apigee API Analytics disponibili, consulta Località Apigee.

   3. Fai clic su Conferma.
4. Nella sezione Runtime:
   1. Dall'elenco a discesa Regione di hosting del runtime, seleziona la regione in cui vuoi ospitare l'istanza.
   2. Dall'elenco a discesa Chiave di crittografia del database di runtime, seleziona o crea una chiave per i dati archiviati e replicati nelle posizioni di runtime.
   3. Se richiesto, fai clic su Concedi.
   4. Dall'elenco a discesa Chiave di criptaggio del disco di runtime, seleziona o crea una chiave per i dati dell'istanza di runtime prima che vengano scritti su disco. Ogni istanza ha la propria chiave di crittografia del disco.
   5. Se richiesto, fai clic su Concedi.
   6. Fai clic su Conferma.
   7. Fai clic su Fine.
5. Fai clic su Avanti.

Vai al passaggio successivo, Passaggio 4: personalizza il routing degli accessi.

Percorso utente D: crittografia gestita dal cliente, con residenza dei dati

Nel passaggio 3, la console mostra un elenco di opzioni di configurazione di hosting e crittografia e i relativi valori predefiniti. Puoi accettare la configurazione predefinita o fare clic su create Modifica per aprire il riquadro Chiavi di hosting e crittografia.

1. Nella sezione Tipo di crittografia, seleziona Chiave di crittografia gestita dal cliente (CMEK). Si tratta di una chiave di crittografia lato server gestita dall'utente utilizzata per criptare i dati e le istanze Apigee prima che vengano scritti su disco.
2. Fai clic su Avanti.
3. Nella sezione Control plane:
   1. Seleziona la casella Abilita residenza dei dati.
   2. Nell'elenco a discesa Giurisdizione di hosting del control plane, seleziona la posizione fisica in cui vuoi archiviare i dati.

   3. Dall'elenco a discesa Chiave di crittografia del control plane, seleziona o crea una chiave per i dati archiviati e replicati nelle posizioni di runtime.
   4. Se richiesto, fai clic su Concedi.
4. Nella sezione Regione di dati del consumer API:
   1. Nell'elenco a discesa Regione dei dati dei consumer API, seleziona la località fisica in cui vuoi archiviare i dati. Per un elenco delle regioni di dati dei consumatori disponibili, consulta Località Apigee.
   2. Dall'elenco a discesa Chiave di crittografia dei dati dei consumer API, seleziona o crea una chiave per i dati archiviati per il control plane.
   3. Se richiesto, fai clic su Concedi.
   4. Fai clic su Conferma.
5. Nella sezione Runtime:
   1. Dall'elenco a discesa Regione di hosting del runtime, seleziona la regione in cui vuoi ospitare l'istanza. Quando utilizzi la residenza dei dati, la posizione di runtime deve trovarsi all'interno della regione del control plane.
   2. Dall'elenco a discesa Chiave di crittografia del database di runtime, seleziona o crea una chiave per i dati archiviati e replicati nelle posizioni di runtime.
   3. Se richiesto, fai clic su Concedi.
   4. Dall'elenco a discesa Chiave di criptaggio del disco di runtime, seleziona o crea una chiave per i dati dell'istanza di runtime prima che vengano scritti su disco. Ogni istanza ha la propria chiave di crittografia del disco.
   5. Se richiesto, fai clic su Concedi.
   6. Fai clic su Conferma.
   7. Fai clic su Fine.
6. Fai clic su Avanti.

Vai al passaggio successivo, Passaggio 4: personalizza il routing degli accessi.

Come creare una chiave

Per creare una chiave:

1. Fai clic su Crea chiave.
2. Seleziona un keyring o, se non esiste, attiva Crea keyring e inserisci un nome per il keyring e scegli la posizione. I nomi dei keyring possono contenere lettere, numeri, trattini bassi (_) e trattini (-). Non è possibile rinominare o eliminare i keyring.
3. Fai clic su Continua.
4. Crea una chiave. Inserisci un nome e un livello di protezione. Tieni presente che i nomi delle chiavi possono contenere lettere, numeri, trattini bassi (_) e trattini (-). Non è possibile rinominare o eliminare le chiavi. Per il livello di protezione, Software è una buona scelta. Si tratta dello stesso valore predefinito utilizzato da Cloud KMS, ma puoi modificarlo se vuoi.
5. Fai clic su Continua e rivedi le selezioni.
6. Fai clic su Crea.