Paso 3: Crea una organización de Apigee

Estás viendo la documentación de Apigee X.
Consulta la documentación de Apigee Edge.

Una organización de Apigee (a veces llamada org) es el contenedor de nivel superior de Apigee. Incluye todos los entornos y grupos de entornos, usuarios, proxies de API y recursos relacionados. Para obtener más información, consulta Información sobre las organizaciones.

Qué se hace en este paso

Ahora que habilitaste las API necesarias, puedes crear una organización de Apigee. Cuando creas una organización, también creas una clave de encriptación de base de datos y un llavero de claves. El proceso de creación y configuración de tu organización se llama aprovisionamiento.

Además, durante el aprovisionamiento, se crea un agente del servicio y se le asigna la función de Cloud KMS CryptoKey Encrypter/Decrypter. Este agente administra la encriptación y la desencriptación con las claves que generas.

El formato de la dirección de correo electrónico de este agente es el siguiente:

service-PROJECT_NUMBER@gcp-sa-apigee.iam.gserviceaccount.com

Ten en cuenta que la dirección de correo electrónico del agente de servicio especifica el número del proyecto y no el ID del proyecto. Son fáciles de confundir y, por lo general, se usa el ID del proyecto en otras partes del proceso de configuración.

Cuando se asigna un nombre a una organización nueva, el nombre de la organización debe ser el mismo que el ID del proyecto. Además, debe ser único a nivel global. Esto significa que no puedes asignar un nombre a tu organización que sea el mismo que usa cualquier otro usuario de Cloud.

Realiza el paso

Para crear una organización nueva en el asistente de aprovisionamiento de Apigee, haz lo siguiente:

  1. Abre un navegador y navega al asistente de aprovisionamiento de Apigee.

    La pantalla de inicio del asistente muestra lo siguiente:

    Pantalla de inicio

  2. Ingresa el ID del proyecto en el campo Project (Proyecto), como se muestra en el siguiente ejemplo:

    Pantalla de inicio

    Si ingresas el nombre de manera incorrecta o intentas usar un proyecto que Apigee no aprobó (o al que no brindó acceso), el asistente mostrará el siguiente error:

    Pantalla de inicio de configuración

    Debes ingresar el ID de un proyecto autorizado para poder continuar. Si tu proyecto no tiene acceso, comunícate con Ventas de Apigee.

  3. Haga clic en Get Started.

    Apigee muestra una lista de las tareas que realizarás para configurar tu instancia nueva y, luego, implementar un proxy de API.

    Inicialmente, cada tarea tiene el estado "Sin configurar", pero lo cambiarás pronto.

  4. En el asistente, haz clic en Editar junto a Organización de Apigee:

    Pantalla de inicio de configuración

    La vista Crea una organización de Apigee muestra lo siguiente:

    Pantalla de creación de organización

  5. En la lista desplegable Analytics hosting region, selecciona la ubicación física en la que quieres que se almacenen tus datos de estadísticas. Debe ser la misma ubicación que estableciste en el Paso 1: Define las variables de entorno.
  6. Crea una clave de encriptación de base de datos:

    1. De forma opcional, puedes definir una variable de entorno para la ubicación del llavero de claves y la clave de encriptación de la base de datos. Esto ayuda a garantizar la coherencia cuando los creas. Por ejemplo:
      DBKEY_LOCATION="us-west1"

      El valor es la ubicación física donde se almacenan la clave y el llavero de claves de la base de datos. Al igual que la región de estadísticas, los valores válidos son un subconjunto de las regiones de Compute Engine. Los valores posibles son los siguientes:

      • asia-northeast1
      • asia-south1
      • europe-west1
      • us-central1
      • us-east1
      • us-west1
      • australia-southeast1
      • europe-west2

      El valor puede ser el mismo que la $RUNTIME_LOCATION (también una región), pero no es necesario que lo sea. Sin embargo, puede haber un beneficio de rendimiento si son iguales.

    2. Crea un llavero de claves nuevo mediante el comando gcloud; por ejemplo:
      gcloud kms keyrings create my-database-key-ring --location $DBKEY_LOCATION --project $PROJECT_ID

      Esto crea un llavero de claves llamado “my-database-key-ring”. La ubicación de la clave de encriptación de la base de datos del entorno de ejecución de Apigee admite todas las ubicaciones de Cloud KMS compatibles con Cloud HSM y Cloud EKM.

      El nombre del llavero de claves debe ser único para tu organización. Si creas una segunda región o una posterior, el nombre no puede ser el mismo que los nombres de otros llaveros de claves.

    3. Crea una clave con el comando gcloud kms keys create; por ejemplo:
      gcloud kms keys create my-database-key --keyring my-database-key-ring \
        --location $DBKEY_LOCATION --purpose "encryption" --project $PROJECT_ID

      Este comando crea una clave llamada “my-database-key” y la agrega al llavero de claves.

      Se puede hacer referencia a la clave por su ruta de clave, que usa la siguiente sintaxis:

      projects/PROJECT_ID/locations/DATABASE_KEY_RING_LOCATION/keyRings/DATABASE_KEY_RING_NAME/cryptoKeys/DATABASE_KEY_NAME

      En este ejemplo, la ruta de acceso de la clave es la siguiente:

      projects/my-cloud-project/locations/us-west1/keyRings/my-database-key-ring/cryptoKeys/my-database-key
    4. Otorga acceso para que el agente de servicio de Apigee use la clave nueva mediante la ejecución del comando de gcloud kms keys add-iam-policy-binding con la siguiente sintaxis:

      gcloud kms keys add-iam-policy-binding DATABASE_KEY_NAME \
        --location DATABASE_KEY_LOCATION \
        --keyring DATABASE_KEY_RING \
        --member serviceAccount:service-PROJECT_NUMBER@gcp-sa-apigee.iam.gserviceaccount.com \
        --role roles/cloudkms.cryptoKeyEncrypterDecrypter \
        --project PROJECT_ID

      Por ejemplo:

      gcloud kms keys add-iam-policy-binding my-database-key \
        --location $DBKEY_LOCATION \
        --keyring my-database-key-ring \
        --member serviceAccount:service-$PROJECT_NUMBER@gcp-sa-apigee.iam.gserviceaccount.com \
        --role roles/cloudkms.cryptoKeyEncrypterDecrypter \
        --project $PROJECT_ID

      Este comando vincula la clave con el agente de servicio de Apigee.

      Cuando se completa correctamente esta solicitud, gcloud muestra una respuesta similar a la siguiente:

      Updated IAM policy for key [runtime].
      bindings:
      - members:
        - serviceAccount:service-1234567890@gcp-sa-apigee.iam.gserviceaccount.com
        role: roles/cloudkms.cryptoKeyEncrypterDecrypter
      etag: BwWqgEuCuwk=
      version: 1

      Si recibes un error como el que se muestra a continuación, haz lo siguiente:

      INVALID_ARGUMENT: Role roles/cloudkms.cryptokms.cryptoKeyEncrypterDecrypter is not supported for this resource.

      Asegúrate de haber usado el número del proyecto, y no el nombre, en la dirección de correo electrónico de la cuenta de servicio.

    5. En el campo ID de clave de encriptación de la base de datos del entorno de ejecución, ingresa la ruta de acceso de la clave para la clave de base de datos que acabas de crear.

    Para obtener detalles adicionales, consulta la Acerca de las claves de encriptación de Apigee.

  7. Haz clic en Crear organización.

    Apigee comienza el proceso de creación de una organización para tu proyecto.

  8. Espera entre tres y cuatro minutos. Ahora es un buen momento para calentar un delicioso stroopwafel.

    Cuando se crea la organización, Apigee muestra un ícono giratorio junto a Apigee organization en la lista de tareas:

    Ícono giratorio que aparece durante el proceso de creación

    Cuando Apigee termina de crear tu organización, aparece una marca de verificación junto a la tarea y aparece el botón Editar junto a la siguiente tarea en el asistente:

    Pantalla de creación de organización

Si encuentras errores durante esta parte del proceso, consulta Solución de problemas.


1 2 3 SIGUIENTE: Configura las Herramientas de redes de servicio 5 6 7 8