Étape 3 : Créez une organisation Apigee

Vous consultez la documentation d'Apigee X.
Consultez la documentation d'Apigee Edge.

Une organisation Apigee (parfois appelée org) est le conteneur de niveau supérieur dans Apigee. Elle comprend tous vos environnements et groupes d'environnement, vos utilisateurs, vos proxy d'API et les ressources associées. Pour plus d'informations, consultez la section Comprendre les organisations.

Procédure de cette étape

Maintenant que vous avez activé les API requises, vous pouvez créer une organisation Apigee. Lors de la création d'une organisation, vous allez également créer une clé de chiffrement de base de données et un trousseau de clés. Le processus de création et de configuration de votre organisation est appelé provisionnement.

Lors du provisionnement, un agent de service est créé et se voit attribuer le rôle Cloud KMS CryptoKey Encrypter/Decrypter. Cet agent gère le chiffrement et le déchiffrement à l'aide des clés que vous générez.

Le format de l'adresse e-mail de cet agent est le suivant :

service-PROJECT_NUMBER@gcp-sa-apigee.iam.gserviceaccount.com

Notez que l'adresse e-mail de l'agent de service spécifie le numéro du projet, et non l'ID du projet. (Ces données sont faciles à confondre et vous utilisez généralement l'ID de projet dans d'autres parties du processus de configuration.)

Lorsque vous nommez une nouvelle organisation, le nom de l'organisation doit être identique à celui de l'ID de votre projet. En outre, il doit être unique. Cela signifie que vous ne pouvez pas nommer votre organisation de la même manière que tout autre utilisateur du cloud.

Réaliser cette étape

Pour créer une organisation dans l'assistant de gestion des comptes Apigee, procédez comme suit :

  1. Ouvrez un navigateur et accédez à l'assistant de gestion des comptes Apigee.

    L'écran de démarrage de l'assistant affiche les éléments suivants :

    Écran de démarrage

  2. Saisissez votre ID de projet dans le champ Project (Projet), comme indiqué dans l'exemple suivant :

    Écran de démarrage

    Si vous saisissez un ID incorrect ou si vous essayez d'utiliser un projet qui n'a pas été approuvé (ou autorisé) par Apigee, l'assistant affiche l'erreur suivante :

    Écran de démarrage des paramètres

    Vous devez saisir l'ID d'un projet autorisé pour pouvoir continuer. Si votre projet n'est pas autorisé, contactez le service commercial d'Apigee.

  3. Cliquez sur Commencer.

    Apigee affiche la liste des tâches que vous allez effectuer pour configurer votre nouvelle instance et déployer un proxy d'API.

    Chaque tâche est initialement associée à l'état "Non configuré", mais vous la modifierez bientôt.

  4. Dans l'assistant, cliquez sur Edit (Modifier) à côté de Apigee organization (organisation Apigee) :

    Écran de démarrage pour la configuration

    La vue Create an Apigee organization (Créer une organisation Apigee) s'affiche :

    Écran de création d'organisation

  5. Dans la liste déroulante Analytics hosting region (Région d'hébergement Analytics), sélectionnez l'emplacement physique dans lequel vous souhaitez stocker vos données d'analyse. Il doit s'agir de l'emplacement que vous avez défini à l'Étape 1 : Définissez des variables d'environnement.
  6. Créez une clé de chiffrement de base de données :

    1. Vous pouvez également définir une variable d'environnement pour l'emplacement du trousseau de clés et de la clé de chiffrement de votre base de données. Cela permet de garantir leur cohérence lorsque vous les créez. Exemple :
      DBKEY_LOCATION="us-west1"

      La valeur est l'emplacement physique où sont stockés votre trousseau de clés et votre clé de base de données. Comme la région de données analytiques, les valeurs valides constituent un sous-ensemble des régions Compute Engine. Les valeurs possibles sont les suivantes :

      • asia-northeast1
      • asia-south1
      • europe-west1
      • us-central1
      • us-east1
      • us-west1
      • australia-southeast1
      • europe-west2

      Cette valeur peut être identique à votre valeur $RUNTIME_LOCATION (également une région), mais ce n'est pas une obligation. Toutefois, si elles sont identiques, cela peut améliorer les performances.

    2. Créez un trousseau de clés à l'aide de la commande gcloud. Exemple :
      gcloud kms keyrings create my-database-key-ring --location $DBKEY_LOCATION --project $PROJECT_ID

      Cette action crée un trousseau de clés nommé "my-database-key-ring". L'emplacement de la clé de chiffrement de la base de données d'exécution Apigee est compatible avec tous les emplacements Cloud KMS qui sont compatibles avec Cloud HSM et Cloud EKM.

      Le nom du trousseau de clés doit être unique au sein de votre organisation. Si vous créez une deuxième région ou une région ultérieure, le nom ne peut pas être identique à celui des autres trousseaux de clés.

    3. Créez une clé à l'aide de la commande gcloud kms keys create. Exemple :
      gcloud kms keys create my-database-key --keyring my-database-key-ring \
        --location $DBKEY_LOCATION --purpose "encryption" --project $PROJECT_ID

      Cette commande crée une clé nommée "my-database-key" et l'ajoute au trousseau de clés.

      La clé peut être référencée par son chemin d'accès de clé, qui utilise la syntaxe suivante :

      projects/PROJECT_ID/locations/DATABASE_KEY_RING_LOCATION/keyRings/DATABASE_KEY_RING_NAME/cryptoKeys/DATABASE_KEY_NAME

      Dans cet exemple, le chemin d'accès de la clé est :

      projects/my-cloud-project/locations/us-west1/keyRings/my-database-key-ring/cryptoKeys/my-database-key
    4. Accordez à l'agent de service Apigee l'accès à la nouvelle clé en exécutant la commande gcloud kms keys add-iam-policy-binding. Exemple :
      gcloud kms keys add-iam-policy-binding my-database-key \
        --location $DBKEY_LOCATION \
        --keyring my-database-key-ring \
        --member serviceAccount:service-$PROJECT_NUMBER@gcp-sa-apigee.iam.gserviceaccount.com \
        --role roles/cloudkms.cryptoKeyEncrypterDecrypter \
        --project $PROJECT_ID

      Cette commande associe la clé à l'agent de service Apigee.

      Si la requête réussit, gcloud envoie une réponse semblable à celle-ci :

      Updated IAM policy for key [runtime].
      bindings:
      - members:
        - serviceAccount:service-1234567890@gcp-sa-apigee.iam.gserviceaccount.com
        role: roles/cloudkms.cryptoKeyEncrypterDecrypter
      etag: BwWqgEuCuwk=
      version: 1

      Si vous obtenez une erreur semblable à celle-ci :

      INVALID_ARGUMENT: Role roles/cloudkms.cryptokms.cryptoKeyEncrypterDecrypter is not supported for this resource.

      Assurez-vous d'avoir utilisé le numéro du projet, et non le nom du projet dans l'adresse e-mail du compte de service.

    5. Dans le champ ID de clé de chiffrement de la base de données d'exécution, saisissez le chemin d'accès à la clé de base de données que vous venez de créer.

    Pour en savoir plus, consultez la section À propos des clés de chiffrement Apigee.

  7. Cliquez sur Créer une organisation.

    Apigee commence le processus de création d'une organisation pour votre projet.

  8. Patientez trois à quatre minutes. Profitez-en pour vous réchauffer une bonne gaufre au sirop.

    Lors de la création de l'organisation, Apigee affiche une icône de chargement située à côté de Apigee organization (organisation Apigee) dans la liste des tâches :

    Icône de chargement qui s'affiche lors du processus de création

    Une fois qu'Apigee a fini de créer votre organisation, une coche apparaît à côté de la tâche et un bouton Modifier apparaît à côté de la tâche suivante dans l'assistant :

    Écran de création d'organisation

Si vous rencontrez des erreurs au cours de cette étape du processus, consultez la page Dépannage.


1 2 3 SUIVANT : Configurez la mise en réseau des services 5 6 7 8