ステップ 3: Apigee 組織を作成する

Apigee X のドキュメントが表示されています。
Apigee Edge のドキュメントを表示する。

Apigee 組織（「組織」）は、Apigee の最上位コンテナです。すべての環境と環境グループ、ユーザー、API プロキシ、関連リソースが含まれています。詳細は、組織についてをご覧ください。

このステップで行う操作

これで必要な API が有効になったため、Apigee 組織を作成できます。組織を作成するときに、データベースの暗号鍵とキーリングを作成することもできます。組織を作成して設定するプロセスはプロビジョニングと呼ばれます。

また、プロビジョニング中に、サービス エージェントが作成され、Cloud KMS CryptoKey Encrypter/Decrypter のロールが割り当てられます。このエージェントは、生成した鍵を使用して暗号化と復号を管理します。

このエージェントのメールアドレスの形式は次のとおりです。

service-PROJECT_NUMBER@gcp-sa-apigee.iam.gserviceaccount.com

サービス エージェントのメールアドレスは、プロジェクト ID ではなくプロジェクト番号を指定します。（混同しやすいため、通常は、セットアップ プロセスの他の部分ではプロジェクト ID を使用します）。

新しい組織に名前を付ける場合、組織の名前はプロジェクト ID と同じにする必要があります。また、グローバルに一意である必要があります。つまり、他の Cloud ユーザーと同じ名前の組織を作成することはできません。

ステップを実行する

Apigee のプロビジョニング ウィザードで新しい組織を作成するには:

1. ブラウザを開き、Apigee プロビジョニング ウィザードに移動します。

   ウィザードの開始画面が表示されます。

   

2. 次の例のように、プロジェクト ID を [プロジェクト] フィールドに入力します。

   

   ID を間違って入力した場合や、Apigee によって承認されていない（または 使用資格がない）プロジェクトを使用しようとすると、ウィザードに次のエラーが表示されます。

   

   続行するには、対象プロジェクトの ID を入力してください。プロジェクトの使用資格がない場合は、Apigee の販売担当者にご連絡ください。

3. [利用開始] をクリックします。

   新しいインスタンスの構成や API プロキシのデプロイを行うために実行するタスクのリストが表示されます。

   各タスクは当初「未構成」になりますが、すぐに変更されます。

4. ウィザードで [Apigee 組織] の横にある [編集] をクリックします。

   

   [Apigee 組織を作成する] ビューが表示されます。

   

5. [Analytics hosting region] プルダウン リストから、分析データを保存する場所を選択します。これは、ステップ 1: 環境変数を定義するで設定した場所と同じにする必要があります。

6. データベース暗号鍵を作成します。

   1. 必要に応じて、データベースの暗号化キーリングと鍵のロケーションのために環境変数を定義します。これにより、これらの作成時に一貫性が確保されます。例:

      DBKEY_LOCATION="us-west1"

      値は、データベースのキーリングと鍵が保存される物理的なロケーションです。分析リージョンと同様に、有効な値は Compute Engine リージョンのサブセットです。次の値があります。

      • asia-northeast1
      • asia-south1
      • europe-west1
      • us-central1
      • us-east1
      • us-west1
      • australia-southeast1
      • europe-west2

      値は $RUNTIME_LOCATION（リージョンも）と同じでも可能ですが、必ずしも同じである必要はありません。ただし、同じであればパフォーマンス上のメリットが得られることがあります。

   2. 次の例のように、gcloud コマンドを使用して新しいキーリングを作成します。

      gcloud kms keyrings create my-database-key-ring --location $DBKEY_LOCATION --project $PROJECT_ID

      これにより、「my-database-key-ring」という名前のキーリングが作成されます。Apigee ランタイム データベースの暗号鍵のロケーションは、Cloud HSM と Cloud EKM をサポートするすべての Cloud KMS のロケーションをサポートします。

      キーリングの名前は組織に固有のものである必要があります。2 番目のリージョンまたは後続のリージョンを作成する場合、その名前を他のキーリングの名前と同じにすることはできません。

   3. 次の例のように、gcloud kms keys create コマンドを使用してキーを作成します。

      gcloud kms keys create my-database-key --keyring my-database-key-ring \
        --location $DBKEY_LOCATION --purpose "encryption" --project $PROJECT_ID

      このコマンドにより、「my-database-key」という名前の鍵が作成され、キーリングに追加されます。

      鍵は、次の構文を使用するキーパスで参照できます。

      projects/PROJECT_ID/locations/DATABASE_KEY_RING_LOCATION/keyRings/DATABASE_KEY_RING_NAME/cryptoKeys/DATABASE_KEY_NAME

      この例では、キーパスは次のとおりです。

      projects/my-cloud-project/locations/us-west1/keyRings/my-database-key-ring/cryptoKeys/my-database-key

   4. gcloud kms keys add-iam-policy-binding コマンドを実行して、Apigee サービス エージェントが新しい鍵を使用するためのアクセス権を付与します。構文は次のようになります。

      gcloud kms keys add-iam-policy-binding DATABASE_KEY_NAME \
        --location DATABASE_KEY_LOCATION \
        --keyring DATABASE_KEY_RING \
        --member serviceAccount:service-PROJECT_NUMBER@gcp-sa-apigee.iam.gserviceaccount.com \
        --role roles/cloudkms.cryptoKeyEncrypterDecrypter \
        --project PROJECT_ID

      次に例を示します。

      gcloud kms keys add-iam-policy-binding my-database-key \
        --location $DBKEY_LOCATION \
        --keyring my-database-key-ring \
        --member serviceAccount:service-$PROJECT_NUMBER@gcp-sa-apigee.iam.gserviceaccount.com \
        --role roles/cloudkms.cryptoKeyEncrypterDecrypter \
        --project $PROJECT_ID

      このコマンドにより、鍵が Apigee サービス エージェントにバインドされます。

      このリクエストが正常に完了すると、gcloud から次のようなレスポンスが返されます。

      Updated IAM policy for key [runtime].
      bindings:
      - members:
        - serviceAccount:service-1234567890@gcp-sa-apigee.iam.gserviceaccount.com
        role: roles/cloudkms.cryptoKeyEncrypterDecrypter
      etag: BwWqgEuCuwk=
      version: 1

      次のようなエラーが発生することがあります。

      INVALID_ARGUMENT: Role roles/cloudkms.cryptokms.cryptoKeyEncrypterDecrypter is not supported for this resource.

      サービス アカウントのメールアドレスにプロジェクト名ではなく、プロジェクト番号を使用していることを確認してください。

   5. [ランタイム データベースの暗号鍵 ID] フィールドに、作成したデータベース キーのキーパスを入力します。

   詳細については、Apigee 暗号鍵についてをご覧ください。

7. [組織を作成する] をクリックします。

   Apigee がプロジェクトの組織を作成するプロセスを開始します。

8. 3～4 分待ちます。ここで、おいしいストロープワッフルを温めに行くには、ちょうどいい時間です。

   組織の作成中、タスクリストの [Apigee 組織] の横にスピナーが表示されます。

   

   Apigee で組織の作成が完了すると、タスクの横にチェックマークが表示され、ウィザードの次のタスクの横に [編集] ボタンが表示されます。

   

このプロセスの過程でエラーが発生した場合は、トラブルシューティングをご覧ください。

---

進行状況（3/8 ... 続けましょう）

1 2 3 次へ: サービス ネットワーキングを構成する 5 6 7 8