本页面适用于 Apigee,但不适用于 Apigee Hybrid。
查看 Apigee Edge 文档。
您在此步骤中执行的操作
在此步骤中,根据具体的用户体验历程,您需要指定 Apigee 分析或控制平面、运行时和数据平面实例的托管位置以及 API 使用方数据区域。 您还需要指定加密密钥选择。
每个用户体验历程的区别在于加密密钥的选择或创建,无论这些密钥是由 Google 管理还是由客户管理,以及无论数据驻留是否启用。
启用数据驻留后,某些功能将不受支持。如需了解详情,请参阅数据驻留兼容性。
如果您的 Google Cloud 项目具有 CMEK 组织政策限制条件,则系统会默认启用数据驻留,并且需要使用 CMEK。
在创建组织期间,系统会使用以下密钥:
| 加密密钥 | 说明 |
|---|---|
| 控制平面密钥 |
加密在 Apigee 租户项目的 BigQuery 中存储的 Analytics 数据。 加密 API 代理、目标服务器、truststore 和密钥库,以及跨运行时共享的任何其他内容。 |
| API 使用方数据密钥 | 加密服务基础架构数据。这必须是控制平面位置内的一个区域。 |
| 运行时数据库密钥 | 加密应用数据(如 KVM、缓存和客户端密钥),然后将其存储在数据库中。 |
在创建每个实例期间,系统会使用以下密钥:
| 加密密钥 | 说明 |
|---|---|
| 运行时磁盘密钥 | 加密 KVM;环境缓存;配额存储桶和计数器。
加密 KMS 数据 API 产品、开发者、开发者应用、OAuth 令牌(包括访问令牌、刷新令牌和授权代码)和 API 密钥。 |
执行步骤
如需查看特定用户体验历程的步骤,请选择以下用户体验历程之一。它们按复杂程度的顺序列出,最简单的是用户体验历程 A。
查看用户体验历程流程图
下图显示了使用 Cloud 控制台为随用随付组织配置托管和加密的可能用户体验历程。
用户体验历程标注了 A 到 F,并且按从易到难的顺序排列,其中 A 是最简单的,F 是最复杂的。
| 用户体验历程 | 说明 | |
|---|---|---|
 |
用户体验历程 A:由 Google 管理的加密(无数据驻留) |
如果您符合以下情况,请选择此选项: |
 |
用户体验历程 B:由 Google 管理的加密(有数据驻留) |
如果您符合以下情况,请选择此选项: |
 |
用户体验历程 C:由客户管理的加密(无数据驻留) |
如果您符合以下情况,请选择此选项:
|
 |
用户体验历程 D:由客户管理的加密(有数据驻留) |
如果您符合以下情况,请选择此选项:
|
用户体验历程 A:由 Google 管理的加密(无数据驻留)
在第 3 步中,控制台会显示托管和加密配置选项及其默认值的列表。您可以接受默认配置,或点击 修改以打开托管和加密密钥面板。
- 在加密类型部分中,选择 Google-managed encryption key。这是由 Google 管理的服务器端加密密钥,用于加密 Apigee 实例和数据,然后再将其写入磁盘。
- 点击下一步。
- 在控制平面部分:
- 取消选中启用数据驻留复选框。
从分析区域下拉列表中,选择要存储分析数据的物理位置。如需查看可用的 Apigee API Analytics 区域列表(包括支持 API Hub 的区域),请参阅 Apigee 位置。如果您选择的区域不支持 API Hub,则系统不会创建 API Hub 实例。如需详细了解 API Hub,请参阅什么是 API Hub?
- 点击确认。
- 在运行时部分中:
- 从运行时托管区域下拉列表中,选择要托管实例的区域。
- 在运行时数据库加密密钥下,列出由 Google 管理作为加密类型。
- 在运行时磁盘加密密钥下,列出由 Google 管理作为加密类型。
- 点击确认。
- 点击完成。
- 点击下一步。
转到下一步:第 4 步:自定义访问权限路由。
用户体验历程 B:由 Google 管理的加密(有数据驻留)
在第 3 步中,控制台会显示托管和加密配置选项及其默认值的列表。您可以接受默认配置,或点击 修改以打开托管和加密密钥面板。
- 在加密类型部分中,选择 Google-managed encryption key。这是由 Google 管理的服务器端加密密钥,用于加密 Apigee 实例和数据,然后再将其写入磁盘。
- 点击下一步。
- 在控制平面部分:
- 选中启用数据驻留复选框。
- 从控制平面托管管辖区下拉列表中,选择要用于存储数据的物理位置。
- 在控制平面加密密钥下,列出由 Google 管理作为加密类型。
- 在 API 使用方数据区域部分中:
- 从 API 使用方数据区域下拉列表中,选择要存储数据的物理位置。如需查看可用的使用方数据区域的列表,请参阅 Apigee 位置。
- 在 API 使用方数据加密密钥下,列出由 Google 管理作为加密类型。
- 点击确认。
- 在运行时部分中:
- 从运行时托管区域下拉列表中,选择要托管实例的区域。如需查看可用运行时区域的列表,请参阅 Apigee 位置。使用数据驻留时,运行时位置必须位于控制平面区域内。
- 在运行时数据库加密密钥下,列出由 Google 管理作为加密类型。
- 在运行时磁盘加密密钥下,列出由 Google 管理作为加密类型。
- 点击确认。
- 点击完成。
- 点击下一步。
转到下一步:第 4 步:自定义访问权限路由。
用户体验历程 C:由客户管理的加密(无数据驻留)
在第 3 步中,控制台会显示托管和加密配置选项及其默认值的列表。 您可以接受默认配置,或点击 修改以打开托管和加密密钥面板。
- 在加密类型部分中,选择由客户管理的加密密钥 (CMEK)。这是由用户管理的服务器端加密密钥,用于加密 Apigee 实例和数据,然后再将其写入磁盘。
- 点击下一步。
- 在控制平面部分:
- 取消选中启用数据驻留复选框。
从分析地区下拉列表中,选择要存储分析数据的物理位置。如需查看可用的 Apigee API Analytics 区域列表,请参阅 Apigee 位置。
- 点击确认。
- 在运行时部分中:
- 点击下一步。
转到下一步:第 4 步:自定义访问权限路由。
用户体验历程 D:由客户管理的加密(有数据驻留)
在第 3 步中,控制台会显示托管和加密配置选项及其默认值的列表。 您可以接受默认配置,或点击 修改以打开托管和加密密钥面板。
- 在加密类型部分中,选择由客户管理的加密密钥 (CMEK)。这是由用户管理的服务器端加密密钥,用于加密 Apigee 实例和数据,然后再将其写入磁盘。
- 点击下一步。
- 在控制平面部分:
- 选中启用数据驻留复选框。
- 从控制平面托管管辖区下拉列表中,选择要用于存储数据的物理位置。
- 从控制平面加密密钥下拉列表中,为各运行时位置存储和复制的数据选择或创建密钥。
- 在系统提示时点击授权。
- 在 API 使用方数据区域部分中:
- 在运行时部分中:
- 点击下一步。
转到下一步:第 4 步:自定义访问权限路由。
如何创建密钥
如要创建项,请执行以下操作:
- 点击创建密钥。
- 选择密钥环;如果密钥环不存在,请启用创建密钥环,然后输入密钥环名称并选择密钥环位置。密钥环名称可以包含字母、数字、下划线 (_) 和连字符 (-)。不能重命名或删除密钥环。
- 点击继续。
- 创建密钥。输入名称和保护级别。 请注意,密钥名称可以包含字母、数字、下划线 (_) 和连字符 (-)。不能重命名或删除密钥。对于保护级别而言,软件是一个好的选择。这是 Cloud KMS 使用的同一默认值;不过,您可以根据需要进行更改。
- 点击继续,然后检查您的选择。
- 点击创建。