ステップ 3: ホスティングと暗号化を構成する

このページの内容は Apigee を対象としています。Apigee ハイブリッドは対象としていません。

Apigee Edge のドキュメントを表示する。

このステップで行う操作

このステップでは、特定のユーザー ジャーニーに応じて、Apigee 分析またはコントロール プレーン、ランタイム インスタンスとデータプレーン インスタンス、API コンシューマー データ リージョンのホスティング ロケーションを指定します。 また、暗号鍵の選択も指定します。

それぞれのユーザー ジャーニーの違いは、暗号鍵が Google で管理されているかお客様が管理するか、データ所在地が有効かどうかに関係なく、暗号鍵の選択または作成にあります。

データ所在地が有効になっている場合、一部の機能はサポートされません。詳細については、データ所在地の互換性をご覧ください。

Google Cloud プロジェクトに CMEK 組織のポリシーの制約がある場合、データ所在地はデフォルトで有効になり、CMEK が必要になります。

組織の作成時に次のキーが使用されます。

暗号鍵 説明
コントロール プレーン キー

Apigee テナント プロジェクトの BigQuery 内に保存されている分析データを暗号化します。

API プロキシ、ターゲット サーバー、トラストストア、キーストアなど、ランタイム間で共有されるものを暗号化します。
API 消費者データキー サービス インフラストラクチャ データを暗号化します。コントロール プレーンのロケーション内のリージョンにする必要があります。
ランタイム データベース キー KVM、キャッシュ、クライアント シークレットなどのアプリケーション データを暗号化し、データベースに保存します。

各インスタンスの作成時には、次のキーが使用されます。

暗号鍵 説明
ランタイム ディスクキー KVM、環境キャッシュ、割り当てバケットとカウンタを暗号化します。

KMS データ API プロダクト、デベロッパー、デベロッパー アプリ、OAuth トークン(アクセス トークン、更新トークン、認証コードなど)、API キーを暗号化します。

ステップを実行する

特定のユーザー ジャーニーのステップを表示するには、以下のいずれかのユーザー ジャーニーを選択します。複雑なものから順に示します。最も簡単なものはユーザー ジャーニー A です。

ユーザー ジャーニーのフロー図を表示する

次の図は、Cloud コンソールを使用して従量課金制組織のホスティングと暗号化を構成するためのユーザー ジャーニーを示しています。

ユーザー ジャーニーは、A から F までで示され、複雑なものから順に並べられています。A が最も簡単で、F が最も複雑です。

有料プロビジョニング フロー
ユーザー ジャーニー 説明
アイコン A ユーザー ジャーニー A: データ所在地がない Google 管理の暗号化

以下に該当する場合は、このオプションを選択します。
アイコン B ユーザー ジャーニー B: データ所在地がある Google 管理の暗号化

以下に該当する場合は、このオプションを選択します。

アイコン C ユーザー ジャーニー C: データ所在地がない顧客管理の暗号化

以下に該当する場合は、このオプションを選択します。

  • 独自の暗号鍵を管理したいと考えている
  • コアコンテンツと処理を同じ地理的リージョンに保存する必要がない
  • Google Cloud プロジェクトに CMEK 組織のポリシーの制約がない
アイコン D ユーザー ジャーニー D: データ所在地がある顧客管理の暗号化

以下に該当する場合は、このオプションを選択します。

  • 独自の暗号鍵を管理したいと考えている
  • コアコンテンツと処理を同じ地理的リージョンに保存する
  • Google Cloud プロジェクトに CMEK 組織のポリシーの制約がある

ユーザー ジャーニー A: データ所在地がない Google 管理の暗号化

ステップ 3 で、ホスティングと暗号化の構成オプションとそのデフォルト値のリストがコンソールに表示されます。デフォルトの構成をそのまま使用することも、 [Edit] をクリックして [Hosting and encryption keys] パネルを開くこともできます。

  1. [暗号化のタイプ] セクションで、[Google-managed encryption key] を選択します。これは Google が管理するサーバーサイドの暗号鍵で、ディスクに書き込まれる前に Apigee インスタンスとデータを暗号化するために使用されます。
  2. [次へ] をクリックします。
  3. [コントロール プレーン] セクションで次の操作を行います。
    1. [データ所在地を有効にする] チェックボックスをオフにします。

    2. [Analytics region] プルダウン リストから、分析データを保存する場所を選択します。API Hub をサポートするリージョンなど、使用可能な Apigee API Analytics のリージョンのリストについては、Apigee のロケーションをご覧ください。API Hub をサポートしていないリージョンを選択した場合、API Hub インスタンスは作成されません。API Hub の詳細については、API Hub とはをご覧ください。

    3. [確認] をクリックします。
  4. [Runtime] セクションで次の操作を行います。
    1. [Runtime hosting region] のプルダウン リストから、インスタンスをホストするリージョンを選択します。
    2. [Runtime database encryption key] に、暗号化タイプとして [Google-managed] が表示されます。
    3. [Runtime disk encryption key] に、暗号化タイプとして [Google-managed] が表示されます。
    4. [確認] をクリックします。
    5. [完了] をクリックします。
  5. [次へ] をクリックします。

次のステップのステップ 4: アクセス ルーティングをカスタマイズするに進みます。

ユーザー ジャーニー B: データ所在地がある Google 管理の暗号化

ステップ 3 で、ホスティングと暗号化の構成オプションとそのデフォルト値のリストがコンソールに表示されます。デフォルトの構成をそのまま使用することも、 [Edit] をクリックして [Hosting and encryption keys] パネルを開くこともできます。

  1. [暗号化のタイプ] セクションで、[Google-managed encryption key] を選択します。これは Google が管理するサーバーサイドの暗号鍵で、ディスクに書き込まれる前に Apigee インスタンスとデータを暗号化するために使用されます。
  2. [次へ] をクリックします。
  3. [コントロール プレーン] セクションで次の操作を行います。
    1. [データ所在地を有効にする] チェックボックスをオンにします。
    2. [Control plane hosting jurisdiction] プルダウン リストから、データを保存する物理的な場所を選択します。

    3. [Control plane encryption key] に、暗号化タイプとして [Google-managed] が表示されます。
  4. [API consumer data region] セクションで、次の操作を行います。
    1. [API consumer data region] プルダウン リストから、データを保存する物理的なロケーションを選択します。使用可能なコンシューマー データ リージョンのリストについては、Apigee のロケーションをご覧ください。
    2. [API consumer data encryption key] に、暗号化タイプとして [Google-managed] が表示されます。
    3. [確認] をクリックします。
  5. [Runtime] セクションで次の操作を行います。
    1. [Runtime hosting region] のプルダウン リストから、インスタンスをホストするリージョンを選択します。使用可能なランタイム リージョンのリストについては、Apigee のロケーションをご覧ください。データ所在地を使用する場合、ランタイム ロケーションはコントロール プレーン リージョン内に存在する必要があります。
    2. [Runtime database encryption key] に、暗号化タイプとして [Google-managed] が表示されます。
    3. [Runtime disk encryption key] に、暗号化タイプとして [Google-managed] が表示されます。
    4. [確認] をクリックします。
    5. [完了] をクリックします。
  6. [次へ] をクリックします。

次のステップのステップ 4: アクセス ルーティングをカスタマイズするに進みます。

ユーザー ジャーニー C: データ所在地がない顧客管理の暗号化

ステップ 3 で、ホスティングと暗号化の構成オプションとそのデフォルト値のリストがコンソールに表示されます。デフォルトの構成をそのまま使用することも、 [Edit] をクリックして [Hosting and encryption keys] パネルを開くこともできます。

  1. [暗号化のタイプ] セクションで、[顧客管理の暗号鍵(CMEK)] を選択します。これはユーザーが管理するサーバーサイドの暗号鍵で、ディスクに書き込まれる前に Apigee インスタンスとデータを暗号化するために使用されます。
  2. [次へ] をクリックします。
  3. [コントロール プレーン] セクションで次の操作を行います。
    1. [データ所在地を有効にする] チェックボックスをオフにします。

    2. [Analytics region] プルダウン リストから、分析データを保存する場所を選択します。使用可能な Apigee API Analytics のリージョンのリストについては、Apigee のロケーションをご覧ください。

    3. [確認] をクリックします。
  4. [Runtime] セクションで次の操作を行います。
    1. [Runtime hosting region] のプルダウン リストから、インスタンスをホストするリージョンを選択します。
    2. [Runtime database encryption key] プルダウン リストから、ランタイム ロケーション全体で保存および複製されるデータの鍵を選択または作成します。
    3. プロンプトが表示されたら、[付与] をクリックします。
    4. [Runtime disk encryption key] プルダウン リストから、ディスクに書き込む前にランタイム インスタンス データの鍵を選択するか、作成します。各インスタンスには独自のディスク暗号鍵があります。
    5. プロンプトが表示されたら、[付与] をクリックします。
    6. [確認] をクリックします。
    7. [完了] をクリックします。
  5. [次へ] をクリックします。

次のステップのステップ 4: アクセス ルーティングをカスタマイズするに進みます。

ユーザー ジャーニー D: データ所在地がある顧客管理の暗号化

ステップ 3 で、ホスティングと暗号化の構成オプションとそのデフォルト値のリストがコンソールに表示されます。デフォルトの構成をそのまま使用することも、 [Edit] をクリックして [Hosting and encryption keys] パネルを開くこともできます。

  1. [暗号化のタイプ] セクションで、[顧客管理の暗号鍵(CMEK)] を選択します。これはユーザーが管理するサーバーサイドの暗号鍵で、ディスクに書き込まれる前に Apigee インスタンスとデータを暗号化するために使用されます。
  2. [次へ] をクリックします。
  3. [コントロール プレーン] セクションで次の操作を行います。
    1. [データ所在地を有効にする] チェックボックスをオンにします。
    2. [Control plane hosting jurisdiction] プルダウン リストから、データを保存する物理的な場所を選択します。

    3. [Control plane encryption key] プルダウン リストから、ランタイム ロケーション全体で保存および複製されるデータの鍵を選択または作成します。
    4. プロンプトが表示されたら、[付与] をクリックします。
  4. [API consumer data region] セクションで、次の操作を行います。
    1. [API consumer data region] プルダウン リストから、データを保存する物理的なロケーションを選択します。使用可能なコンシューマー データ リージョンのリストについては、Apigee のロケーションをご覧ください。
    2. [API consumer data encryption key] プルダウン リストから、コントロール プレーン用に保存されているデータの鍵を選択または作成します。
    3. プロンプトが表示されたら、[付与] をクリックします。
    4. [確認] をクリックします。
  5. [Runtime] セクションで次の操作を行います。
    1. [Runtime hosting region] のプルダウン リストから、インスタンスをホストするリージョンを選択します。データ所在地を使用する場合、ランタイム ロケーションはコントロール プレーン リージョン内に存在する必要があります。
    2. [Runtime database encryption key] プルダウン リストから、ランタイム ロケーション全体で保存および複製されるデータの鍵を選択または作成します。
    3. プロンプトが表示されたら、[付与] をクリックします。
    4. [Runtime disk encryption key] プルダウン リストから、ディスクに書き込む前にランタイム インスタンス データの鍵を選択するか、作成します。各インスタンスには独自のディスク暗号鍵があります。
    5. プロンプトが表示されたら、[付与] をクリックします。
    6. [確認] をクリックします。
    7. [完了] をクリックします。
  6. [次へ] をクリックします。

次のステップのステップ 4: アクセス ルーティングをカスタマイズするに進みます。

キーの作成方法

キーを作成するには:

  1. [Create key] をクリックします。
  2. キーリングを選択するか、存在しない場合は [Create key ring] を有効にしてキーリングの名前を入力し、キーリングのロケーションを選択します。キーリングの名前には、英数字、アンダースコア(_)、ハイフン(-)を使用できます。キーリングの名前の変更や削除はできません。
  3. [Continue] をクリックします。
  4. 鍵を作成します。名前と保護レベルを入力します。 鍵の名前には文字、数字、アンダースコア(_)、ハイフン(-)を使用できます。鍵の名前の変更や削除はできません。保護レベルは Software が適しています。これは Cloud KMS で使用されているデフォルトと同じです。ただし、必要に応じて変更できます。
  5. [Continue] をクリックし、選択内容を確認します。
  6. [Create] をクリックします。