Etapa 3: criar uma organização da Apigee

Você está vendo a documentação da Apigee X.
Ver a documentação da Apigee Edge

Uma organização da Apigee (às vezes chamada de org) é o contêiner de nível superior na Apigee. Ela inclui todos os ambientes e grupos de ambientes, usuários, proxies de API e recursos relacionados. Para mais informações, consulte Noções básicas sobre organizações.

O que você está fazendo nesta etapa

Agora que ativou as APIs necessárias, crie uma organização da Apigee. Ao criar uma organização, você também criará uma chave de criptografia de banco de dados e um keyring. O processo de criação e configuração da organização é chamado de provisionamento.

Além disso, durante o provisionamento, um agente de serviços é criado e recebe o papel Cloud KMS CryptoKey Encrypter/Decrypter. Ele gerencia a criptografia e a descriptografia usando as chaves geradas.

O formato do endereço de e-mail desse agente é:

service-PROJECT_NUMBER@gcp-sa-apigee.iam.gserviceaccount.com

O endereço de e-mail do agente de serviços especifica o número do projeto, e não o ID (são fáceis de confundir e normalmente você usa o ID do projeto durante outras partes do processo de configuração).

Ao nomear uma nova organização, o nome dela precisa ser o mesmo do ID do projeto. Além disso, ele precisa ser globalmente exclusivo. Ou seja, não é possível nomear sua organização da mesma forma que outro usuário do Cloud.

Realizar a etapa

Para criar uma nova organização no assistente de provisionamento da Apigee:

  1. Abra um navegador e acesse o assistente de provisionamento da Apigee.

    A tela inicial do assistente é exibida:

    Tela inicial

  2. Digite o ID do projeto no campo Projeto, como mostrado no exemplo a seguir:

    Tela inicial

    Se inserir o nome incorretamente ou tentar usar um projeto que não foi aprovado (ou autorizado) pela Apigee, o assistente exibirá o seguinte erro:

    Tela inicial de configurações

    Insira o nome de um projeto válido antes de continuar. Caso seu projeto não esteja autorizado, entre em contato com a Apigee Sales.

  3. Clique em Primeiros passos.

    A Apigee exibe uma lista das tarefas que você executará para configurar a nova instância e implantar um proxy de API.

    Inicialmente, cada tarefa tem um status "Não configurado", mas isso será alterado em breve.

  4. No assistente, clique em Editar ao lado de organização da Apigee:

    Tela inicial da configuração

    A visualização Criar uma organização da Apigee é exibida.

    Tela "Criar organização"

  5. Na lista suspensa Região de hospedagem do Analytics, selecione o local físico em que você quer armazenar os dados de análise. É o mesmo local que você definiu na Etapa 1: definir variáveis de ambiente.
  6. Crie uma chave de criptografia de banco de dados:

    1. Opcionalmente, defina uma variável de ambiente para o local do keyring e da chave de criptografia do banco de dados. Isso ajuda a garantir a consistência quando você os cria. Exemplo:
      DBKEY_LOCATION="us-west1"

      O valor é o local físico em que a chave e o keyring do banco de dados são armazenados. Assim como a região de análise, os valores válidos são um subconjunto das regiões do Compute Engine. Valores possíveis:

      • asia-northeast1
      • asia-south1
      • europe-west1
      • us-central1
      • us-east1
      • us-west1
      • australia-southeast1
      • europe-west2

      O valor pode ser o mesmo que $RUNTIME_LOCATION (também uma região), mas não precisa ser. No entanto, isso poderá resultar em uma melhoria no desempenho.

    2. Crie um novo keyring usando o comando gcloud; Por exemplo:
      gcloud kms keyrings create my-database-key-ring --location $DBKEY_LOCATION --project $PROJECT_ID

      Isso cria um keyring chamado "my-database-key-ring". O local da chave de criptografia do banco de dados do Apigee é compatível com todos os locais do Cloud KMS compatíveis com o Cloud HSM e o Cloud EKM.

      O nome do keyring precisa ser exclusivo para sua organização. Se você criar uma segunda ou uma região subsequente, o nome não poderá ser igual ao de outros keyrings.

    3. Crie uma chave usando o comando gcloud kms keys create; Por exemplo:
      gcloud kms keys create my-database-key --keyring my-database-key-ring \
        --location $DBKEY_LOCATION --purpose "encryption" --project $PROJECT_ID

      Esse comando cria uma chave chamada "my-database-key" e a adiciona ao keyring.

      A chave pode ser referenciada pelo caminho da chave, que usa a seguinte sintaxe:

      projects/PROJECT_ID/locations/DATABASE_KEY_RING_LOCATION/keyRings/DATABASE_KEY_RING_NAME/cryptoKeys/DATABASE_KEY_NAME

      Neste exemplo, o caminho da chave é:

      projects/my-cloud-project/locations/us-west1/keyRings/my-database-key-ring/cryptoKeys/my-database-key
    4. Conceda acesso para que o agente de serviço da Apigee use a nova chave executando o comando gcloud kms keys add-iam-policy-binding usando a seguinte sintaxe:

      gcloud kms keys add-iam-policy-binding DATABASE_KEY_NAME \
        --location DATABASE_KEY_LOCATION \
        --keyring DATABASE_KEY_RING \
        --member serviceAccount:service-PROJECT_NUMBER@gcp-sa-apigee.iam.gserviceaccount.com \
        --role roles/cloudkms.cryptoKeyEncrypterDecrypter \
        --project PROJECT_ID

      Exemplo:

      gcloud kms keys add-iam-policy-binding my-database-key \
        --location $DBKEY_LOCATION \
        --keyring my-database-key-ring \
        --member serviceAccount:service-$PROJECT_NUMBER@gcp-sa-apigee.iam.gserviceaccount.com \
        --role roles/cloudkms.cryptoKeyEncrypterDecrypter \
        --project $PROJECT_ID

      Esse comando vincula a chave ao agente de serviços da Apigee.

      Após a conclusão dessa solicitação, gcloud responde com algo semelhante ao seguinte:

      Updated IAM policy for key [runtime].
      bindings:
      - members:
        - serviceAccount:service-1234567890@gcp-sa-apigee.iam.gserviceaccount.com
        role: roles/cloudkms.cryptoKeyEncrypterDecrypter
      etag: BwWqgEuCuwk=
      version: 1

      Se você receber um erro como este:

      INVALID_ARGUMENT: Role roles/cloudkms.cryptokms.cryptoKeyEncrypterDecrypter is not supported for this resource.

      Verifique se você usou o número do projeto e não o nome do projeto no endereço de e-mail da conta de serviço.

    5. No campo ID da chave de criptografia do banco de dados do ambiente de execução, insira o caminho da chave de banco de dados recém-criada.

    Para mais detalhes, consulte Sobre as chaves de criptografia da Apigee.

  7. Clique em Criar organização.

    A Apigee começa o processo de criação de uma organização para o projeto.

  8. Aguarde de três a quatro minutos. Agora é um bom momento para aquecer um delicioso stroopwaffle.

    A Apigee exibe um ícone de carregamento ao lado da organização Apigee, na lista de tarefas, durante sua criação:

    Controle giratório exibido durante o processo de criação

    Quando a Apigee terminar de criar a organização, uma marca de seleção será exibida ao lado da tarefa e um botão Editar aparecerá ao lado da próxima tarefa no assistente:

    Tela "Criar organização"

Se você encontrar erros durante essa parte do processo, consulte Solução de problemas.


1 2 3 PRÓXIMA: configurar a rede de serviços 5 6 7 8