Questa pagina è stata tradotta dall'API Cloud Translation.

Informazioni sulle chiavi di crittografia Apigee

Questa pagina si applica ad Apigee, ma non ad Apigee hybrid.

Visualizza la documentazione di Apigee Edge.

Questa sezione descrive i tipi di chiavi di crittografia e come crearle.

Durante la procedura di configurazione di Apigee, genera le seguenti chiavi di crittografia di Cloud Key Management Service:

Tipo di token Al momento della creazione Descrizione

Chiave di crittografia del piano di controllo

Tipo di token	Al momento della creazione	Descrizione
Chiave di crittografia del piano di controllo	Console Google Cloud: Passaggio 3: configura l'hosting e la crittografia (abbonamento) Passaggio 3: configura l'hosting e la crittografia (pagamento a consumo) Interfaccia a riga di comando (CLI): Passaggio 5: crea un'organizzazione (abbonamento e pagamento a consumo)	Quando si utilizza residenza dei dati, Apigee utilizza questa chiave per criptare Analytics archiviati in BigQuery all'interno del progetto tenant. Cripta proxy API, server di destinazione, archivi attendibili e archivi chiavi, di analisi e qualsiasi altra informazione condivisa tra i runtime. Apigee ti chiederà di fornire due chiavi CMEK del piano di controllo. Questa chiave, e un Chiave di crittografia dei dati consumer dell'API. La posizione della chiave di crittografia del control plane deve corrispondere alla posizione del control plane. Avviso:scegli la posizione del token con attenzione. Una volta impostati, la chiave e la relativa posizione non possono essere modificate.
Chiave di crittografia dei dati dei consumatori dell'API	Console Google Cloud: Passaggio 3: configura l'hosting e la crittografia (abbonamento) Passaggio 3: configura hosting e crittografia (pagamento a consumo) Interfaccia a riga di comando (CLI): Passaggio 5: crea un'organizzazione (abbonamento e pagamento a consumo)	Quando si utilizza residenza dei dati, Apigee ha bisogno di una chiave di regione singola, oltre ai chiave di crittografia del piano di controllo, utilizzata per i servizi che sono disponibili solo in una singola regione. Ad esempio: Dataflow e Cloud SQL. La posizione della chiave di crittografia dei dati dei consumatori dell'API deve rientrare nella posizione del control plane. Avviso:scegli la posizione del token con attenzione. Una volta impostati, la chiave e la relativa posizione non possono essere modificati.
Chiave di crittografia del database di runtime	Console Google Cloud: Passaggio 3: configura l'hosting e la crittografia (abbonamento) Passaggio 3: configura l'hosting e la crittografia (pagamento a consumo) Interfaccia a riga di comando (CLI): Passaggio 5: crea un'organizzazione (abbonamento e pagamento a consumo)	Cripta i dati delle applicazioni, ad esempio KVM, cache e client e i secret, che vengono poi archiviati nel database. Esiste una chiave di crittografia del database di runtime per ogni organizzazione : tutte le istanze/regioni di un'organizzazione condividono la stessa chiave di crittografia del database di runtime. La chiave di crittografia del database di runtime supporta tutte le località Cloud KMS che supportano Cloud HSM e Cloud EKM. Google consiglia di utilizzare una posizione multiregionale (ad esempio `us` o `europe`) o una posizione a due regioni (`eur5`, `nam4`) quando crei questa chiave. La località della chiave di crittografia del database del runtime deve essere all'interno di la posizione del piano di controllo la residenza dei dati. Avviso: scegli con attenzione la posizione della chiave. Una volta impostato, non è possibile modificare la chiave e la sua posizione.
Chiave di crittografia del disco	Console Google Cloud: Passaggio 5: configura l'hosting e la crittografia (abbonamento) Passaggio 3: configura l'hosting e la crittografia (pagamento a consumo) Interfaccia a riga di comando (CLI): Passaggio 6: crea un'istanza di runtime (abbonamento e pagamento a consumo)	Cripta i dati dell'istanza di runtime prima che siano scritti su disco. I tipi di dati criptati includono il sistema di gestione delle chiavi (KMS). Legenda Mappe dei valori (KVM); definizioni di quota, bucket e contatori; e tutti memorizzati nella cache. I dati KMS includono prodotti API, sviluppatori, app per sviluppatori, token OAuth (inclusi token di accesso, token di aggiornamento e codici di autorizzazione) e chiavi API. Questa chiave si trova nella stessa regione dell'istanza di runtime, quando creando una nuova chiave, associa la località della chiave al runtime la posizione dell'istanza. Ogni combinazione di istanza/regione ha la propria chiave di crittografia del disco.

Console Google Cloud:

Interfaccia a riga di comando (CLI):

Passaggio 5: crea un'organizzazione (abbonamento e pagamento a consumo)

Quando si utilizza residenza dei dati, Apigee utilizza questa chiave per criptare Analytics archiviati in BigQuery all'interno del progetto tenant.

Cripta proxy API, server di destinazione, archivi attendibili e archivi chiavi, di analisi e qualsiasi altra informazione condivisa tra i runtime.

Apigee ti chiederà di fornire due chiavi CMEK del piano di controllo. Questa chiave, e un Chiave di crittografia dei dati consumer dell'API.

La posizione della chiave di crittografia del control plane deve corrispondere alla posizione del control plane.

Chiave di crittografia dei dati dei consumatori dell'API

Console Google Cloud:

Interfaccia a riga di comando (CLI):

Passaggio 5: crea un'organizzazione (abbonamento e pagamento a consumo)

Quando si utilizza residenza dei dati, Apigee ha bisogno di una chiave di regione singola, oltre ai chiave di crittografia del piano di controllo, utilizzata per i servizi che sono disponibili solo in una singola regione. Ad esempio: Dataflow e Cloud SQL.

La posizione della chiave di crittografia dei dati dei consumatori dell'API deve rientrare nella posizione del control plane.

Chiave di crittografia del database di runtime

Console Google Cloud:

Interfaccia a riga di comando (CLI):

Passaggio 5: crea un'organizzazione (abbonamento e pagamento a consumo)

Cripta i dati delle applicazioni, ad esempio KVM, cache e client e i secret, che vengono poi archiviati nel database.

Esiste una chiave di crittografia del database di runtime per ogni organizzazione : tutte le istanze/regioni di un'organizzazione condividono la stessa chiave di crittografia del database di runtime.

La chiave di crittografia del database di runtime supporta tutte le località Cloud KMS che supportano Cloud HSM e Cloud EKM. Google consiglia di utilizzare una posizione multiregionale (ad esempio us o europe) o una posizione a due regioni (eur5, nam4) quando crei questa chiave.

La località della chiave di crittografia del database del runtime deve essere all'interno di la posizione del piano di controllo la residenza dei dati.

Chiave di crittografia del disco

Console Google Cloud:

Interfaccia a riga di comando (CLI):

Passaggio 6: crea un'istanza di runtime (abbonamento e pagamento a consumo)

Cripta i dati dell'istanza di runtime prima che siano scritti su disco.

I tipi di dati criptati includono il sistema di gestione delle chiavi (KMS). Legenda Mappe dei valori (KVM); definizioni di quota, bucket e contatori; e tutti memorizzati nella cache. I dati KMS includono prodotti API, sviluppatori, app per sviluppatori, token OAuth (inclusi token di accesso, token di aggiornamento e codici di autorizzazione) e chiavi API.

Questa chiave si trova nella stessa regione dell'istanza di runtime, quando creando una nuova chiave, associa la località della chiave al runtime la posizione dell'istanza.

Ogni combinazione di istanza/regione ha la propria chiave di crittografia del disco.

Punti chiave

Tieni presente quanto segue quando crei le chiavi di crittografia del disco e del database di runtime:

La posizione della chiave di crittografia del database di runtime di Apigee supporta tutte le località Cloud KMS che supportano Cloud HSM e Cloud EKM.
La località della chiave di crittografia del disco deve corrispondere a quella del runtime in cui viene utilizzata la chiave.
Una volta impostata, non puoi modificare la posizione di nessuna delle due chiavi.
Tutte le chiavi devono essere in un mazzo.
Le chiavi di tipi diversi devono trovarsi in keyring separati. chiavi di crittografia del disco non può trovarsi nello stesso keyring della chiave di crittografia del database del runtime.
Le chiavi devono avere un purpose. Se usi la riga di comando generare le nuove chiavi, imposta purpose su encryption. Se utilizzi la console Google Cloud, scegli Cifratura/decrittografia simmetrica a questo scopo.
Le chiavi sono definite da un percorso della chiave, che utilizza il seguente motivo:
```
projects/PROJECT_ID/locations/KEY_LOCATION/keyRings/KEYRING_NAME/cryptoKeys/KEY_NAME
```

Elenco delle chiavi esistenti

Se hai già creato nuove chiavi di crittografia Cloud KMS per Apigee, puoi utilizzarle anziché creare nuove chiavi durante configurazione.

Per elencare tutte le chiavi KMS in un keyring:

Esegui il comando gcloud kms keys list:

gcloud kms keys list --keyring KEY_RING_NAME --location KEY_RING_LOCATION

Sostituisci quanto segue:

KEY_RING_NAME: il nome del keyring. Ad esempio: my-key-ring.
KEY_RING_LOCATION: la posizione fisica del portachiavi, ad esempio us-west1.

In alternativa, puoi le tue chiavi nella console Google Cloud.

Generazione di nuove chiavi dalla riga di comando

Puoi creare un mazzo di chiavi e una chiave sulla riga di comando o nella console Google Cloud.

Ogni tipo di chiave deve avere il proprio keyring. Ad esempio, il disco le chiavi di crittografia possono essere archiviate in un keyring, ma il database la chiave di crittografia deve essere archiviata in un keyring separato.

I passaggi riportati di seguito descrivono come creare un mazzo di chiavi e una chiave e come grant accesso all'agente di servizio Apigee per utilizzare la nuova chiave. Crea anelli portachiavi e chiavi per il piano di controllo (se utilizzi la residenza dei dati), il database di runtime e il disco di runtime.

Crea un nuovo keyring utilizzando Comando gcloud kms keyrings create:
Piano di controllo

Quando la residenza dei dati sia abilitata, crea un keyring per il controllo e un altro per la regione di dati dei consumatori.
```
gcloud kms keyrings create CONTROL_PLANE_KEY_RING_NAME \
--location CONTROL_PLANE_LOCATION \
--project PROJECT_ID
```
```
gcloud kms keyrings create CONSUMER_DATA_KEY_RING_NAME \
--location CONSUMER_DATA_REGION \
--project PROJECT_ID
```
Sostituisci quanto segue:
- CONTROL_PLANE_KEY_RING_NAME: nome del keyring del piano di controllo.
- CONTROL_PLANE_LOCATION: la località fisica in cui verranno archiviati i dati del piano di controllo Apigee.
- PROJECT_ID: l'ID progetto Google Cloud.
- CONSUMER_DATA_KEY_RING_NAME: nome del keyring dei dati consumer.
- CONSUMER_DATA_REGION: una sottoregione della regione del piano di controllo. Devi specificare sia CONTROL_PLANE_LOCATION che CONSUMER_DATA_REGION.
Database di runtime
```
gcloud kms keyrings create RUNTIMEDB_KEY_RING_NAME \
  --location RUNTIMEDB_KEY_LOCATION \
  --project PROJECT_ID
```
Sostituisci quanto segue:
- RUNTIMEDB_KEY_RING_NAME: il nome del keyring del database che stai creando.
- RUNTIMEDB_KEY_LOCATION: la posizione fisica del keyring del database.
- PROJECT_ID: l'ID del progetto Google Cloud.
La posizione della chiave di crittografia Apigee supporta tutte le località Cloud KMS che supportano Cloud HSM e Cloud EKM.
Disco di runtime
```
gcloud kms keyrings create RUNTIMEDISK_KEY_RING_NAME \
  --location RUNTIMEDISK_KEY_LOCATION \
  --project PROJECT_ID
```
Sostituisci quanto segue:
- RUNTIMEDISK_KEY_RING_NAME: il nome del keyring del disco che stai creando.
- RUNTIMEDISK_KEY_LOCATION: la posizione fisica del portachiavi del disco.
- PROJECT_ID: l'ID del progetto Google Cloud.
Verifica che il mazzo di chiavi del disco sia impostato sulla stessa posizione dell'istanza. Ogni istanza e keyring devono avere la propria località.
```
gcloud kms keyrings list \
--location  \
--project $PROJECT_ID
```
```
gcloud kms keyrings describe $DISK_KEY_RING_NAME \
--location  \
--project $PROJECT_ID
```

Il nome del keyring deve essere univoco per la tua organizzazione. Se crei altre regioni, i nomi dei relativi keyring non possono essere uguali a quelli esistenti.

Crea una chiave utilizzando Comando kms keys create:
Piano di controllo

Quando la residenza dei dati sia abilitata, crea un keyring per il controllo e un altro per la regione di dati dei consumatori.
```
gcloud kms keys create CONTROL_PLANE_KEY_NAME \
--keyring CONTROL_PLANE_KEY_RING_NAME \
--location CONTROL_PLANE_LOCATION \
--purpose "encryption" \
--project PROJECT_ID
```
```
gcloud kms keys create CONSUMER_DATA_KEY_NAME \
--keyring CONSUMER_DATA_KEY_RING_NAME \
--location CONSUMER_DATA_REGION \
--purpose "encryption" \
--project PROJECT_ID
```
Sostituisci quanto segue:
- CONTROL_PLANE_KEY_NAME: il nome della chiave del piano di controllo.
- CONTROL_PLANE_KEY_RING_NAME: nome del keyring del piano di controllo.
- CONTROL_PLANE_LOCATION: la località fisica in cui verranno archiviati i dati del piano di controllo Apigee.
- PROJECT_ID: l'ID progetto Google Cloud.
- CONSUMER_DATA_KEY_NAME: nome della chiave dati utente.
- CONSUMER_DATA_KEY_RING_NAME: nome del keyring dei dati consumer.
- CONSUMER_DATA_REGION: una sottoregione della regione del piano di controllo. Devi specificare sia CONTROL_PLANE_LOCATION che CONSUMER_DATA_REGION.
Database di runtime
```
gcloud kms keys create RUNTIMEDB_KEY_NAME \
  --keyring RUNTIMEDB_KEY_RING_NAME \
  --location RUNTIMEDB_KEY_LOCATION \
  --purpose "encryption" \
  --project PROJECT_ID
```
Sostituisci quanto segue:
- RUNTIMEDB_KEY_NAME: il nome della chiave del database che stai creando.
- RUNTIMEDB_KEY_RING_NAME: il nome del keyring del database che stai creando.
- RUNTIMEDB_KEY_LOCATION: la posizione fisica del keyring del database.
- PROJECT_ID: l'ID del progetto Google Cloud.
Disco di runtime
```
gcloud kms keys create RUNTIMEDISK_KEY_NAME \
  --keyring RUNTIMEDISK_KEY_RING_NAME \
  --location RUNTIMEDISK_KEY_LOCATION \
  --purpose "encryption" \
  --project PROJECT_ID
```
Sostituisci quanto segue:
- RUNTIMEDISK_KEY_NAME: il nome della chiave del disco che stai creando.
- RUNTIMEDISK_KEY_RING_NAME: il nome del keyring del disco che stai creando.
- RUNTIMEDISK_KEY_LOCATION: la posizione fisica del portachiavi del disco.
- PROJECT_ID: l'ID progetto Google Cloud.
Questo comando crea la chiave e la aggiunge al keyring.

Quando fai riferimento a una chiave, utilizza l'ID chiave.
Concedi all'agente di servizio Apigee l'accesso per utilizzare la nuova chiave utilizzando il comando gcloud kms keys add-iam-policy-binding:
Piano di controllo

Quando la residenza dei dati sia abilitata, crea un keyring per il controllo e un altro per la regione di dati dei consumatori.
```
gcloud kms keys add-iam-policy-binding CONTROL_PLANE_KEY_NAME \
--location CONTROL_PLANE_LOCATION \
--keyring CONTROL_PLANE_KEY_RING_NAME \
--member "serviceAccount:service-PROJECT_NUMBER@gcp-sa-apigee.iam.gserviceaccount.com" \
--role roles/cloudkms.cryptoKeyEncrypterDecrypter \
--project PROJECT_ID
```
```
gcloud kms keys add-iam-policy-binding CONSUMER_DATA_KEY_NAME \
--location CONSUMER_DATA_REGION \
--keyring CONSUMER_DATA_KEY_RING_NAME \
--member "serviceAccount:service-PROJECT_NUMBER@gcp-sa-apigee.iam.gserviceaccount.com" \
--role roles/cloudkms.cryptoKeyEncrypterDecrypter \
--project PROJECT_ID
```
Sostituisci quanto segue:
- CONTROL_PLANE_KEY_NAME: il nome della chiave del piano di controllo.
- CONTROL_PLANE_LOCATION: la posizione fisica in cui verranno archiviati i dati del piano di controllo Apigee.
- CONTROL_PLANE_KEY_RING_NAME: il nome del keyring del piano di controllo.
- PROJECT_NUMBER: il numero del progetto Google Cloud.
- PROJECT_ID: l'ID progetto Google Cloud.
- CONSUMER_DATA_KEY_NAME: il nome della chiave dei dati dei consumatori.
- CONSUMER_DATA_REGION: una sottoregione della regione del piano di controllo. Devi specificare sia CONTROL_PLANE_LOCATION sia CONSUMER_DATA_REGION.
- CONSUMER_DATA_KEY_RING_NAME: nome del keyring dei dati consumer.
Database di runtime
```
gcloud kms keys add-iam-policy-binding RUNTIMEDB_KEY_NAME \
  --location RUNTIMEDB_KEY_LOCATION \
  --keyring RUNTIMEDB_KEY_RING_NAME \
  --member serviceAccount:service-PROJECT_NUMBER@gcp-sa-apigee.iam.gserviceaccount.com \
  --role roles/cloudkms.cryptoKeyEncrypterDecrypter \
  --project PROJECT_ID
```
Sostituisci quanto segue:
- RUNTIMEDB_KEY_NAME: il nome della chiave del database che stai creando.
- RUNTIMEDB_KEY_RING_NAME: il nome del keyring del database che stai creando.
- RUNTIMEDB_KEY_LOCATION: la posizione fisica del keyring del database.
- PROJECT_NUMBER: il numero del progetto Google Cloud.
- PROJECT_ID: l'ID progetto Google Cloud.
Disco di runtime
```
gcloud kms keys add-iam-policy-binding RUNTIMEDISK_KEY_NAME \
  --location RUNTIMEDISK_KEY_LOCATION \
  --keyring RUNTIMEDISK_KEY_RING_NAME \
  --member serviceAccount:service-PROJECT_NUMBER@gcp-sa-apigee.iam.gserviceaccount.com \
  --role roles/cloudkms.cryptoKeyEncrypterDecrypter \
  --project PROJECT_ID
```
Sostituisci quanto segue:
- RUNTIMEDISK_KEY_NAME: il nome della chiave del disco che stai creando.
- RUNTIMEDISK_KEY_RING_NAME: il nome del keyring del disco che stai creando.
- RUNTIMEDISK_KEY_LOCATION: la posizione fisica del portachiavi del disco.
- PROJECT_NUMBER: il numero del progetto Google Cloud.
- PROJECT_ID: l'ID progetto Google Cloud.
Questo comando associa la chiave all'agente di servizio Apigee.

Al termine della richiesta, gcloud risponde con un messaggio simile al seguente:
```
Updated IAM policy for key [runtime].
bindings:
- members:
- serviceAccount:service-1234567890@gcp-sa-apigee.iam.gserviceaccount.com
role: roles/cloudkms.cryptoKeyEncrypterDecrypter
etag: BwWqgEuCuwk=
version: 1
```
Se ricevi un errore simile al seguente:
```
INVALID_ARGUMENT: Role roles/cloudkms.cryptokms.cryptoKeyEncrypterDecrypter is not supported for this resource.
```
Assicurati di aver utilizzato il numero di progetto e non il nome del progetto nell'indirizzo email dell'account di servizio.

Per verificare che la chiave sia associata all'agente di servizio Apigee:
```
gcloud kms keys get-iam-policy $DISK_KEY_NAME \
  --keyring $DISK_KEY_RING_NAME \
  --location  \
  --project $PROJECT_ID
```
```
gcloud kms keys describe $DISK_KEY_NAME \
  --keyring $DISK_KEY_RING_NAME \
  --location  \
  --project $PROJECT_ID
```

Generazione di nuove chiavi mediante la console Google Cloud

Puoi generare nuove chiavi utilizzando la console, come descritto in Crea una chiave di crittografia simmetrica.

Quando utilizzi la console per creare una nuova chiave:

Per la chiave di crittografia del database di runtime, imposta la posizione su una qualsiasi posizione Cloud KMS che supporti Cloud HSM e Cloud EKM. La UI non consente scegli qualsiasi altra posizione per la chiave, in modo che corrisponda a quella scelta nel keyring.
Dopo aver creato la chiave, recupera il percorso della chiave in Chiavi di crittografia. riquadro facendo clic su Altro accanto alla chiave e selezionando Copia nome risorsa.

Recupera l'ID chiave

Quando fai riferimento a una risorsa di Cloud Key Management Service utilizzando il API Cloud KMS o Google Cloud CLI, devi utilizzare l'ID risorsa. Puoi recupera l'ID della chiave con Comando gcloud kms keys list:

Piano di controllo

Quando la residenza dei dati sia abilitata, è presente un keyring e un altro per la regione di dati dei consumatori.

gcloud kms keys list \
--location=CONTROL_PLANE_LOCATION \
--keyring=CONTROL_PLANE_KEY_RING_NAME \
--project=PROJECT_ID

gcloud kms keys list \
--location=CONSUMER_DATA_REGION \
--keyring=CONSUMER_DATA_KEY_RING_NAME \
--project=PROJECT_ID

L'ID chiave ha la seguente sintassi (simile a un percorso file):

projects/PROJECT_ID/locations/CONTROL_PLANE_LOCATION/keyRings/CONTROL_PLANE_KEY_RING_NAME/cryptoKeys/CONTROL_PLANE_KEY_NAME

Database di runtime

gcloud kms keys list \
--location=RUNTIMEDB_KEY_LOCATION \
--keyring=RUNTIMEDB_KEY_RING_NAME \
--project=PROJECT_ID

L'ID chiave ha la seguente sintassi (simile a un percorso file):

projects/PROJECT_ID/locations/RUNTIMEDB_KEY_LOCATION/keyRings/RUNTIMEDB_KEY_RING_NAME/cryptoKeys/RUNTIMEDB_KEY_NAME

Disco di runtime

gcloud kms keys list \
  --location=RUNTIMEDISK_KEY_LOCATION \
  --keyring=RUNTIMEDISK_KEY_RING_NAME \
  --project=PROJECT_ID

L'ID chiave ha la seguente sintassi (simile a un percorso file):

projects/PROJECT_ID/locations/RUNTIMEDISK_KEY_LOCATION/keyRings/RUNTIMEDISK_KEY_RING_NAME/cryptoKeys/RUNTIMEDISK_KEY_NAME

Ad esempio:

NAME: projects/my-project/locations/us-west1/keyRings/my-key-ring/cryptoKeys/my-key
PURPOSE: ENCRYPT_DECRYPT
ALGORITHM: GOOGLE_SYMMETRIC_ENCRYPTION
PROTECTION_LEVEL: SOFTWARE
LABELS:
PRIMARY_ID: 1
PRIMARY_STATE: ENABLED

Puoi ottenere l'ID chiave anche nella console Google Cloud. Per maggiori informazioni le informazioni, vedi Recupero di un Cloud KMS l'ID risorsa.