Apigee 组织(有时称为组织)是 Apigee 中的顶级容器。它包括所有环境和环境组、用户、API 代理以及相关资源。如需了解详情,请参阅了解组织。
您在此步骤中执行的操作
现在,您已启用所需的 API,可以创建 Apigee 组织了。创建组织时,您还将创建数据库加密密钥和密钥环。创建和配置组织的过程称为“预配”。
此外,在预配期间,系统会创建一个服务代理,并为其分配 Cloud KMS
CryptoKey Encrypter/Decrypter
角色。此代理使用您生成的密钥管理加密和解密。
此代理的电子邮件地址的格式为:
service-PROJECT_NUMBER@gcp-sa-apigee.iam.gserviceaccount.com
请注意,服务代理的电子邮件地址指定项目编号而不是项目 ID。(它们很容易混淆,并且您通常在设置过程的其他环节使用项目 ID。)
命名新组织时,组织的名称必须与项目 ID 相同。此外,它还必须是全局唯一的。这意味着,您不能将组织命名为任何其他 Cloud 用户的名称。
执行步骤
如需在 Apigee 预配向导中创建新组织,请执行以下操作:
- 打开浏览器并导航到 Apigee 预配向导。
此时会显示向导的开始屏幕:
- 在项目字段中输入您的项目 ID,如以下示例所示:
如果您输入的名称不正确,或者尝试使用尚未获得 Apigee 批准(或授权)的项目,则向导会显示以下错误:
您必须先输入授权项目的名称,然后才能继续。 如果您的项目未获得授权,请与 Apigee 销售人员联系。
-
点击开始使用。
Apigee 会显示执行来配置新实例和部署 API 代理时要执行的任务的列表。
每个任务最初处于“未配置”状态,但您很快就会更改该状态。
- 在向导中,点击 Apigee 组织旁边的修改:
此时会显示创建 Apigee 组织视图:
- 从分析托管地区下拉列表中,选择要存储分析数据的实际位置。此位置应与您在第 1 步:定义环境变量中设置的位置相同。
-
添加数据库加密密钥:
- 使用
gcloud
命令创建新的密钥环:gcloud kms keyrings create database-key-ring --location us --project $PROJECT_ID
这将创建一个名为“database-key-ring”的密钥环。Apigee 运行时数据库加密密钥支持所有支持 Cloud HSM 和 Cloud EKM 的 Cloud KMS 位置。
- 使用
kms keys create
命令创建密钥:gcloud kms keys create database-key --keyring database-key-ring \ --location us --purpose "encryption" --project $PROJECT_ID
此命令会创建一个名为“database-key”的密钥,并将其添加到密钥环中。
密钥可通过其密钥路径引用;路径使用以下语法:
projects/project_ID/locations/us/keyRings/database-key-ring/cryptoKeys/database-key
- 通过执行以下命令,向 Apigee Service Agent 授予使用密钥的权限:
gcloud kms keys add-iam-policy-binding database-key \ --location us \ --keyring database-key-ring \ --member serviceAccount:service-$PROJECT_NUMBER@gcp-sa-apigee.iam.gserviceaccount.com \ --role roles/cloudkms.cryptoKeyEncrypterDecrypter \ --project $PROJECT_ID
此命令将密钥绑定到 Apigee Service Agent。
- 在运行时数据库加密密钥 ID 字段中,输入您刚创建的数据库密钥的密钥路径。
如需了解详情,请参阅 Apigee 加密密钥简介。
- 使用
-
点击创建组织。
Apigee 会开始为您的项目创建项目组织。
-
等待三到四分钟。建议您在此时预热美味的荷式松饼。
创建组织时,Apigee 会在任务列表中 Apigee 组织旁边显示一个旋转图标:
当 Apigee 创建完您的组织后,任务旁边会出现一个对勾标记,而且向导中的下一个任务旁边会显示一个修改按钮:
如果您在此过程的这个过程中遇到错误,请参阅问题排查。