ステップ 3: Apigee 組織を作成する

Apigee 組織(「組織」)は、Apigee の最上位コンテナです。すべての環境と環境グループ、ユーザー、API プロキシ、関連リソースが含まれています。詳細については、組織についてをご覧ください。

このステップで行う操作

これで必要な API が有効になりました。Apigee 組織を作成できます。組織を作成するときに、データベースの暗号鍵とキーリングを作成することもできます。組織を作成して設定するプロセスはプロビジョニングと呼ばれます。

また、プロビジョニング中に、サービス エージェントが作成され、Cloud KMS CryptoKey Encrypter/Decrypter の役割が割り当てられます。このエージェントは、生成した鍵を使用して暗号化と復号を管理します。

このエージェントのメールアドレスの形式は次のとおりです。

service-PROJECT_NUMBER@gcp-sa-apigee.iam.gserviceaccount.com

サービス エージェントのメールアドレスは、プロジェクト ID ではなくプロジェクト番号を指定します。(これらは混乱しやすいため、通常は設定プロセスの他の部分にプロジェクト ID を使用します)。

新しい組織に名前を付ける場合、組織の名前はプロジェクト ID と同じにする必要があります。また、グローバルに一意である必要があります。つまり、他の Cloud ユーザーと同じ名前の組織を作成することはできません。

ステップを実行する

Apigee のプロビジョニング ウィザードで新しい組織を作成するには:

  1. ブラウザを開き、Apigee プロビジョニング ウィザードに移動します。

    ウィザードの開始画面が表示されます。

    起動画面

  2. 次の例のように、プロジェクト ID を [プロジェクト] フィールドに入力します。

    起動画面

    名前を誤って入力した場合や、Apigee で承認されていないプロジェクト(entitled)を使用すると、ウィザードで次のエラーが表示されます。

    設定の開始画面

    続行するには、利用資格のあるプロジェクトの名前を入力する必要があります。プロジェクトに資格がない場合は、Apigee セールスにご連絡ください。

  3. [利用開始] をクリックします。

    新しいインスタンスの構成や API プロキシのデプロイを行うために行うタスクのリストが表示されます。

    各タスクは当初「未構成」になりますが、すぐに変更されます。

  4. ウィザードで [Apigee 組織] の横にある [編集] をクリックします。

    設定の開始画面

    [Apigee 組織を作成する] ビューが表示されます。

    組織の作成画面

  5. [Analytics hosting region] プルダウン リストから、分析データを保存する場所を選択します。これは、ステップ 1: 環境変数を定義するで設定した場所と同じにする必要があります。

  6. データベース暗号鍵を追加します。

    1. gcloud コマンドを使用して、新しいキーリングを作成します。
      gcloud kms keyrings create database-key-ring --location us --project $PROJECT_ID

      これにより、「database-key-ring」という名前の鍵リングが作成されます。データベース暗号鍵のキーリングと鍵の両方でロケーションを「us」に設定する必要があります。

    2. kms keys create コマンドを使用して鍵を作成します。
      gcloud kms keys create database-key --keyring database-key-ring \
  --location us --purpose "encryption" --project $PROJECT_ID

      このコマンドは、「database-key」という名前の鍵を作成し、それをキーリングに追加します。

      鍵は、次の構文を使用するキーパスで参照できます。

      projects/project_ID/locations/us/keyRings/database-key-ring/cryptoKeys/database-key

      キーリングと同様に、データベース キーは「us」のロケーションに配置する必要があります。

    3. 次のコマンドを実行して、Apigee サービス エージェントに新しい鍵の使用を許可します。 
      gcloud kms keys add-iam-policy-binding database-key \
  --location us \
  --keyring database-key-ring \
  --member serviceAccount:service-$PROJECT_NUMBER@gcp-sa-apigee.iam.gserviceaccount.com \
  --role roles/cloudkms.cryptoKeyEncrypterDecrypter \
  --project $PROJECT_ID

      このコマンドは、鍵を Apigee サービス エージェントにバインドします。

    4. [ランタイム データベースの暗号鍵 ID] フィールドに、作成したデータベースキーのキーパスを入力します。

    詳細については、Apigee 暗号鍵についてをご覧ください。

  7. [組織を作成する] をクリックします。

    プロジェクトの組織を作成するプロセスが開始されます。

  8. 3~4 分待ちます。ここで、おいしいストロープワッフルを温めに行くには、ちょうどいい時間です。

    組織の作成中に、タスクリストの [Apigee 組織] の横にスピナーが表示されます。

    作成プロセス中に表示されるスピナー

    Apigee で組織の作成が完了すると、タスクの横にチェックマークが表示され、ウィザードの次のタスクの横に [編集] ボタンが表示されます。

    組織の作成画面

このプロセスの過程でエラーが発生した場合は、トラブルシューティングをご覧ください。

1 2 3 次へ: サービス ネットワーキングを構成する 5 6 7 8