Langkah 3: Konfigurasikan hosting dan enkripsi

Halaman ini berlaku untuk Apigee, tetapi tidak untuk Apigee Hybrid.

Lihat dokumentasi Apigee Edge.

Yang Anda lakukan pada langkah ini

Pada langkah ini, bergantung pada perjalanan pengguna tertentu, Anda menentukan lokasi hosting untuk analisis Apigee atau instance control plane, runtime, dan dataplane, serta region data konsumen API. Anda juga menentukan pilihan kunci enkripsi.

Perbedaan antara setiap perjalanan pengguna adalah pemilihan atau pembuatan kunci enkripsi, baik yang dikelola oleh Google maupun pelanggan, dan apakah residensi data diaktifkan atau tidak.

Beberapa fitur tidak didukung saat residensi data diaktifkan. Lihat Kompatibilitas residensi data untuk mengetahui detailnya.

Jika project Google Cloud Anda memiliki batasan kebijakan organisasi CMEK, residensi data diaktifkan secara default dan CMEK diperlukan.

Kunci berikut digunakan selama pembuatan organisasi:

Kunci enkripsi	Deskripsi
Kunci bidang kontrol	Mengenkripsi data Analytics yang disimpan dalam BigQuery di project tenant Apigee. Mengenkripsi proxy API, Server Target, Truststore, dan Keystore serta hal lain yang dibagikan di seluruh runtime.
Kunci data konsumen API	Mengenkripsi data infrastruktur layanan. Nilai ini harus berupa region dalam lokasi bidang kontrol.
Kunci database runtime	Mengenkripsi data aplikasi seperti KVM, cache, dan rahasia klien, yang kemudian disimpan dalam database.

Kunci berikut digunakan selama setiap pembuatan instance:

Kunci enkripsi	Deskripsi
Kunci disk runtime	Mengenkripsi KVM; cache lingkungan; bucket dan penghitung kuota. Mengenkripsi produk API data KMS, developer, aplikasi developer, token OAuth (termasuk token akses, token refresh, dan kode otorisasi), dan kunci API.

Lakukan langkah

Izin yang diperlukan untuk langkah ini

---

Anda dapat memberikan peran bawaan kepada penyedia Apigee yang mencakup izin yang diperlukan untuk menyelesaikan tugas ini, atau memberikan izin yang lebih terperinci untuk memberikan hak istimewa terendah yang diperlukan. Lihat Peran standar dan Izin instance runtime.

---

Untuk melihat langkah-langkah perjalanan pengguna tertentu, pilih salah satu perjalanan pengguna berikut. Perjalanan pengguna ini dicantumkan berdasarkan tingkat kerumitannya, dengan perjalanan pengguna A sebagai yang paling mudah.

Melihat diagram alur perjalanan pengguna

---

Diagram berikut menunjukkan kemungkinan perjalanan pengguna untuk mengonfigurasi hosting dan enkripsi untuk organisasi Bayar sesuai penggunaan menggunakan konsol Cloud.

Perjalanan pengguna diberi label A hingga F dan diurutkan dari yang paling mudah hingga paling kompleks, dengan A adalah yang paling mudah, dan F adalah yang paling kompleks.

---

	Perjalanan pengguna	Deskripsi
	Perjalanan pengguna A: Enkripsi yang dikelola Google, tanpa residensi data	Pilih opsi ini jika Anda: Ingin Google mengelola kunci enkripsi Tidak diwajibkan untuk menyimpan pemrosesan dan konten inti di wilayah geografis yang sama Project Google Cloud Anda tidak memiliki batasan kebijakan organisasi CMEK
	Perjalanan pengguna B: Enkripsi yang dikelola Google, dengan residensi data	Pilih opsi ini jika Anda: Ingin Google mengelola kunci enkripsi Ingin menyimpan pemrosesan dan konten inti di wilayah geografis yang sama Project Google Cloud Anda tidak memiliki batasan kebijakan organisasi CMEK
	Perjalanan pengguna C: Enkripsi yang dikelola pelanggan, tanpa residensi data	Pilih opsi ini jika Anda: Ingin mengelola kunci enkripsi Anda sendiri Tidak diwajibkan untuk menyimpan konten dan pemrosesan inti di region geografis yang sama Project Google Cloud Anda tidak memiliki batasan kebijakan organisasi CMEK
	Perjalanan pengguna D: Enkripsi yang dikelola pelanggan, dengan residensi data	Pilih opsi ini jika Anda: Ingin mengelola kunci enkripsi Anda sendiri Ingin menyimpan konten dan pemrosesan inti Anda di wilayah geografis yang sama Project Google Cloud Anda memiliki batasan kebijakan organisasi CMEK

Perjalanan pengguna A: Enkripsi yang dikelola Google, tanpa residensi data

Pada Langkah 3, konsol menampilkan daftar opsi konfigurasi hosting dan enkripsi serta nilai defaultnya. Anda dapat menerima konfigurasi default, atau mengklik create Edit untuk membuka panel Kunci enkripsi dan hosting.

1. Di bagian Jenis enkripsi, pilih Google-managed encryption key. Ini adalah kunci enkripsi sisi server yang dikelola Google yang digunakan untuk mengenkripsi instance dan data Apigee Anda sebelum ditulis ke disk.
2. Klik Berikutnya.
3. Di bagian Control Plane:
   1. Hapus centang pada kotak Aktifkan residensi data.

   2. Dari daftar drop-down Wilayah Analytics, pilih lokasi fisik tempat Anda ingin menyimpan data Analytics. Untuk mengetahui daftar region Analisis API Apigee yang tersedia, termasuk region yang mendukung hub API, lihat Lokasi Apigee. Jika Anda memilih region yang tidak mendukung hub API, instance hub API tidak akan dibuat. Untuk mempelajari hub API lebih lanjut, lihat Apa yang dimaksud dengan hub API?

   3. Klik Konfirmasi.
4. Di bagian Waktu Proses:
   1. Dari menu drop-down Wilayah hosting runtime, pilih wilayah tempat Anda ingin instance dihosting.
   2. Di bagian Runtime database encryption key, Google-managed dicantumkan sebagai jenis enkripsi.
   3. Di bagian Runtime disk encryption key, Google-managed tercantum sebagai jenis enkripsi.
   4. Klik Konfirmasi.
   5. Klik Selesai.
5. Klik Berikutnya.

Lanjutkan ke langkah berikutnya, Langkah 4: Sesuaikan perutean akses.

Perjalanan pengguna B: Enkripsi yang dikelola Google, dengan residensi data

Pada Langkah 3, konsol menampilkan daftar opsi konfigurasi hosting dan enkripsi serta nilai defaultnya. Anda dapat menerima konfigurasi default, atau mengklik create Edit untuk membuka panel Kunci enkripsi dan hosting.

1. Di bagian Jenis enkripsi, pilih Google-managed encryption key. Ini adalah kunci enkripsi sisi server yang dikelola Google yang digunakan untuk mengenkripsi instance dan data Apigee Anda sebelum ditulis ke disk.
2. Klik Berikutnya.
3. Di bagian Control Plane:
   1. Centang kotak Aktifkan residensi data.
   2. Dari daftar drop-down Yurisdiksi hosting bidang kontrol, pilih lokasi fisik tempat Anda ingin menyimpan data.

   3. Di bagian Control plane encryption key, Google-managed dicantumkan sebagai jenis enkripsi.
4. Di bagian API consumer data region:
   1. Dari menu drop-down Wilayah data konsumen API, pilih lokasi fisik tempat Anda ingin menyimpan data. Untuk mengetahui daftar region data konsumen yang tersedia, lihat Lokasi Apigee.
   2. Di bagian Kunci enkripsi data konsumen API, Dikelola Google dicantumkan sebagai jenis enkripsi.
   3. Klik Konfirmasi.
5. Di bagian Waktu Proses:
   1. Dari menu drop-down Runtime hosting region, pilih region tempat Anda ingin menghosting instance. Untuk mengetahui daftar region runtime yang tersedia, lihat Lokasi Apigee. Saat menggunakan residensi data, lokasi runtime harus berada dalam region bidang kontrol.
   2. Di bagian Runtime database encryption key, Google-managed dicantumkan sebagai jenis enkripsi.
   3. Di bagian Runtime disk encryption key, Google-managed tercantum sebagai jenis enkripsi.
   4. Klik Konfirmasi.
   5. Klik Selesai.
6. Klik Berikutnya.

Lanjutkan ke langkah berikutnya, Langkah 4: Sesuaikan perutean akses.

Perjalanan Pengguna C: Enkripsi yang dikelola pelanggan, tanpa residensi data

Pada Langkah 3, konsol menampilkan daftar opsi konfigurasi hosting dan enkripsi serta nilai defaultnya. Anda dapat menerima konfigurasi default, atau mengklik create Edit untuk membuka panel Kunci enkripsi dan hosting.

1. Di bagian Encryption type, pilih Customer-managed encryption key (CMEK). Ini adalah kunci enkripsi sisi server yang dikelola pengguna yang digunakan untuk mengenkripsi instance dan data Apigee Anda sebelum ditulis ke disk.
2. Klik Berikutnya.
3. Di bagian Control Plane:
   1. Hapus centang pada kotak Aktifkan residensi data.

   2. Dari daftar drop-down Wilayah Analytics, pilih lokasi fisik tempat Anda ingin menyimpan data Analytics. Untuk mengetahui daftar region Analisis API Apigee yang tersedia, lihat Lokasi Apigee.

   3. Klik Konfirmasi.
4. Di bagian Waktu Proses:
   1. Dari menu drop-down Wilayah hosting runtime, pilih wilayah tempat Anda ingin instance dihosting.
   2. Dari menu drop-down Kunci enkripsi database runtime, pilih atau buat kunci untuk data yang disimpan dan direplikasi di seluruh lokasi runtime.
   3. Klik Grant jika diminta.
   4. Dari menu drop-down Runtime disk encryption key, pilih atau buat kunci untuk data instance runtime sebelum ditulis ke disk. Setiap instance memiliki kunci enkripsi disk-nya sendiri.
   5. Klik Grant jika diminta.
   6. Klik Konfirmasi.
   7. Klik Selesai.
5. Klik Berikutnya.

Lanjutkan ke langkah berikutnya, Langkah 4: Sesuaikan perutean akses.

Perjalanan pengguna D: Enkripsi yang dikelola pelanggan, dengan residensi data

Pada Langkah 3, konsol menampilkan daftar opsi konfigurasi hosting dan enkripsi serta nilai defaultnya. Anda dapat menerima konfigurasi default, atau mengklik create Edit untuk membuka panel Kunci enkripsi dan hosting.

1. Di bagian Encryption type, pilih Customer-managed encryption key (CMEK). Ini adalah kunci enkripsi sisi server yang dikelola pengguna yang digunakan untuk mengenkripsi instance dan data Apigee Anda sebelum ditulis ke disk.
2. Klik Berikutnya.
3. Di bagian Control Plane:
   1. Centang kotak Aktifkan residensi data.
   2. Dari daftar drop-down Control plane hosting jurisdiction, pilih lokasi fisik tempat Anda ingin menyimpan data.

   3. Dari menu drop-down Kunci enkripsi bidang kontrol, pilih atau buat kunci untuk data yang disimpan dan direplikasi di seluruh lokasi runtime.
   4. Klik Grant jika diminta.
4. Di bagian API consumer data region:
   1. Dari menu drop-down Wilayah data konsumen API, pilih lokasi fisik tempat Anda ingin menyimpan data. Untuk mengetahui daftar region data konsumen yang tersedia, lihat Lokasi Apigee.
   2. Dari menu drop-down Kunci enkripsi data konsumen API, pilih atau buat kunci untuk data yang disimpan untuk bidang kontrol.
   3. Klik Grant jika diminta.
   4. Klik Konfirmasi.
5. Di bagian Waktu Proses:
   1. Dari menu drop-down Wilayah hosting runtime, pilih wilayah tempat Anda ingin instance dihosting. Saat menggunakan residensi data, lokasi runtime harus berada dalam region bidang kontrol.
   2. Dari menu drop-down Kunci enkripsi database runtime, pilih atau buat kunci untuk data yang disimpan dan direplikasi di seluruh lokasi runtime.
   3. Klik Grant jika diminta.
   4. Dari menu drop-down Runtime disk encryption key, pilih atau buat kunci untuk data instance runtime sebelum ditulis ke disk. Setiap instance memiliki kunci enkripsi disk-nya sendiri.
   5. Klik Grant jika diminta.
   6. Klik Konfirmasi.
   7. Klik Selesai.
6. Klik Berikutnya.

Lanjutkan ke langkah berikutnya, Langkah 4: Sesuaikan perutean akses.

Cara membuat kunci

Untuk membuat kunci:

1. Klik Create key.
2. Pilih key ring, atau jika tidak ada, aktifkan Buat key ring dan masukkan nama key ring serta pilih lokasi key ring Anda. Nama key ring dapat berisi huruf, angka, garis bawah (_), dan tanda hubung (-). Key ring tidak dapat diganti namanya atau dihapus.
3. Klik Lanjutkan.
4. Buat kunci. Masukkan nama dan tingkat perlindungan. Perhatikan bahwa nama kunci dapat berisi huruf, angka, garis bawah (_), dan tanda hubung (-). Kunci tidak dapat diganti namanya atau dihapus. Untuk tingkat perlindungan, Software adalah pilihan yang baik. Default ini sama dengan yang digunakan oleh Cloud KMS; namun, Anda dapat mengubahnya jika Anda mau.
5. Klik Lanjutkan dan tinjau pilihan Anda.
6. Klik Buat.