Questa pagina è stata tradotta dall'API Cloud Translation.

Passaggio 3: configura l'hosting e la crittografia

Questa pagina si applica ad Apigee, ma non ad Apigee hybrid.

Visualizza la documentazione di Apigee Edge.

Attività di questo passaggio

In questo passaggio, a seconda del tuo percorso utente specifico, specifica le località di hosting per il tuo piano di controllo o di analisi Apigee, le istanze di runtime e di dataplane e la regione di dati dei consumatori dell'API. Specifichi anche le selezioni delle chiavi di crittografia.

La differenza tra ciascun percorso dell'utente è la selezione o la creazione delle chiavi di crittografia, che siano gestite da Google o dal cliente, nonché se la residenza dei dati è attivata o meno.

Alcune funzionalità non sono supportate se è abilitata la residenza dei dati. Per informazioni dettagliate, consulta Configurazione della residenza dei dati.

Durante la creazione dell'organizzazione vengono utilizzate le seguenti chiavi:

Chiave di crittografia	Descrizione
Chiave del piano di controllo	Autentica i dati di Analytics archiviati in BigQuery nel progetto del tenant Apigee. Crittografa i proxy API, i server di destinazione, i truststore e i keystore e qualsiasi altro elemento condiviso tra i runtime.
Chiave dei dati dei consumatori dell'API	Cripta i dati dell'infrastruttura di servizi. Deve essere una regione all'interno della posizione del piano di controllo.
Chiave del database di runtime	Crittografa i dati dell'applicazione, come KVM, cache e client secret, che vengono poi archiviati nel database.

Chiave di crittografia

Descrizione

Chiave del piano di controllo

Autentica i dati di Analytics archiviati in BigQuery nel progetto del tenant Apigee.

Crittografa i proxy API, i server di destinazione, i truststore e i keystore e qualsiasi altro elemento condiviso tra i runtime.

Chiave dei dati dei consumatori dell'API

Cripta i dati dell'infrastruttura di servizi. Deve essere una regione all'interno della posizione del piano di controllo.

Chiave del database di runtime

Crittografa i dati dell'applicazione, come KVM, cache e client secret, che vengono poi archiviati nel database.

La seguente chiave viene utilizzata durante ogni creazione di istanze:

Chiave di crittografia	Descrizione
Chiave del disco di runtime	Crittografa le KVM, la cache dell'ambiente, i bucket e i contatori delle quote. Crittografa i prodotti API di dati KMS, gli sviluppatori, le app per sviluppatori, i token OAuth (inclusi i token di accesso, i token di aggiornamento e i codici di autorizzazione) e le chiavi API.

Esegui il passaggio

Autorizzazioni richieste per questa attività

Puoi assegnare al provisioning di Apigee un ruolo predefinito che includa le autorizzazioni necessarie per completare questa attività oppure autorizzazioni più granulari per fornire il privilegio minimo necessario. Consulta Ruoli predefiniti e Autorizzazioni delle istanze di runtime.

Per visualizzare i passaggi per il tuo percorso utente specifico, seleziona uno dei seguenti percorsi. Sono elencati in ordine di complessità, il più semplice è il percorso dell'utente A.

Visualizzare il diagramma di flusso del percorso dell'utente

Il seguente diagramma mostra i possibili percorsi degli utenti per configurare l'hosting e la crittografia per un'organizzazione con pagamento a consumo utilizzando la console Cloud.

I percorsi dell'utente sono contrassegnati da A a F e sono ordinati da semplice a complesso, dove A è il più semplice e F il più complesso.

	Percorso dell'utente	Descrizione
	Percorso dell'utente A: crittografia gestita da Google, nessuna residenza dei dati	Seleziona questa opzione se: Vuoi che sia Google a gestire le chiavi di crittografia Non sono tenuti a memorizzare contenuti ed elaborazione di base nella stessa regione geografica
	Percorso dell'utente B: crittografia gestita da Google, con residenza dei dati	Seleziona questa opzione se: Vuoi che sia Google a gestire le chiavi di crittografia Vuoi archiviare contenuti ed elaborazione di base nella stessa regione geografica
	Percorso dell'utente C: crittografia gestita dal cliente, nessuna residenza dei dati	Seleziona questa opzione se: Vuoi gestire le tue chiavi di crittografia Non è necessario archiviare i contenuti e l'elaborazione di base nella stessa regione geografica
	Percorso dell'utente D: crittografia gestita dal cliente con residenza dei dati	Seleziona questa opzione se: Vuoi gestire le tue chiavi di crittografia Vuoi archiviare i contenuti principali e l'elaborazione nella stessa regione geografica

Percorso dell'utente A: crittografia gestita da Google, nessuna residenza dei dati

Nel passaggio 3, la console mostra un elenco di opzioni di configurazione di hosting e crittografia e i relativi valori predefiniti. Puoi accettare la configurazione predefinita o fare clic su Modifica per aprire il riquadro Chiavi di hosting e crittografia.

Nella sezione Tipo di crittografia, seleziona Chiave di crittografia gestita da Google. Si tratta di una chiave di crittografia lato server gestita da Google utilizzata per criptare le istanze e i dati Apigee prima che vengano scritti su disco.
Fai clic su Avanti.
Nella sezione Control plane:
1. Deseleziona la casella Abilita la residenza dei dati.
  Nota: se esegui il provisioning di una nuova organizzazione Apigee in un progetto Google Cloud con un vincolo di località della risorsa applicato in un criterio dell'organizzazione, verifica che il vincolo di località sia impostato su global. Poiché il piano di controllo Apigee è un'entità globale per impostazione predefinita, il provisioning non andrà a buon fine se viene applicato un vincolo diverso da global. Per ulteriori informazioni, consulta la sezione Introduzione alla residenza dei dati.
2. Nell'elenco a discesa Regione di analisi, seleziona la località fisica in cui vuoi archiviare i dati di analisi. Per un elenco delle regioni di Apigee API Analytics disponibili, consulta Sedi di Apigee.
3. Fai clic su Conferma.
Nella sezione Runtime:
1. Nell'elenco a discesa Regione di hosting del runtime, seleziona la regione in cui vuoi che venga ospitata l'istanza.
2. In Chiave di crittografia del database di runtime, Gestita da Google è elencata come tipo di crittografia.
3. In Chiave di crittografia del disco di runtime, Gestita da Google è elencata come tipo di crittografia.
4. Fai clic su Conferma.
5. Fai clic su Fine.
Fai clic su Avanti.

Vai al passaggio successivo, Passaggio 4: personalizza il routing degli accessi.

Percorso dell'utente B: crittografia gestita da Google, con residenza dei dati

Nella sezione Tipo di crittografia, seleziona Chiave di crittografia gestita da Google. Si tratta di una chiave di crittografia lato server gestita da Google utilizzata per criptare le istanze e i dati Apigee prima che vengano scritti su disco.
Fai clic su Avanti.
Nella sezione Control plane:
1. Seleziona la casella Attiva la residenza dei dati.
2. Nell'elenco a discesa Jurisdizione di hosting del piano di controllo visualizzato, seleziona la località fisica in cui vuoi archiviare i dati.
  Nota: una giurisdizione si riferisce a una località all'interno di un confine geopolitico che può comprendere più regioni. Per un elenco delle giurisdizioni disponibili per l'hosting del control plane, consulta Località Apigee.
3. Nell'elenco a discesa Chiave di crittografia del piano di controllo, seleziona o crea una chiave per i dati memorizzati e replicati nelle posizioni di runtime.
  Nota: questo passaggio è necessario solo se selezioni us (multiple regions in us) o eu (multiple regions in European Union) come località di hosting del piano di controllo. Se selezioni un'altra regione, questa chiave non è obbligatoria.
4. Fai clic su Concedi, se richiesto.
Nella sezione Regione di dati dei consumatori dell'API:
1. Nell'elenco a discesa Regione dei dati dei consumatori dell'API, seleziona la località fisica in cui vuoi archiviare i dati. Per un elenco delle regioni di dati dei consumatori disponibili, consulta Sedi Apigee.
2. In API consumer data encryption key (Chiave di crittografia dei dati dei consumatori dell'API), Gestita da Google è elencata come tipo di crittografia.
3. Fai clic su Conferma.
Nella sezione Runtime:
1. Nell'elenco a discesa Regione di hosting del runtime, seleziona la regione in cui vuoi che venga ospitata l'istanza. Per un elenco delle regioni di runtime disponibili, consulta Località di Apigee. Quando utilizzi la residenza dei dati, la posizione di runtime deve trovarsi all'interno della regione del piano di controllo.
2. In Chiave di crittografia del database di runtime, Gestita da Google è elencata come tipo di crittografia.
3. In Chiave di crittografia del disco di runtime, Gestita da Google è elencata come tipo di crittografia.
4. Fai clic su Conferma.
5. Fai clic su Fine.
Fai clic su Avanti.

Vai al passaggio successivo, Passaggio 4: personalizza il routing degli accessi.

Percorso dell'utente C: crittografia gestita dal cliente, nessuna residenza dei dati

Nel passaggio 3, la console mostra un elenco di opzioni di configurazione per l'hosting e la crittografia e i relativi valori predefiniti. Puoi accettare la configurazione predefinita o fare clic su Modifica per aprire il riquadro Chiavi di hosting e crittografia.

Nella sezione Tipo di crittografia, seleziona Chiave di crittografia gestita dal cliente (CMEK). Si tratta di una chiave di crittografia lato server gestita dall'utente utilizzata per criptare le istanze Apigee e i dati prima che vengano scritti su disco.
Fai clic su Avanti.
Nella sezione Control plane:
1. Deseleziona la casella Abilita la residenza dei dati.
  Nota: se esegui il provisioning di una nuova organizzazione Apigee in un progetto Google Cloud con un vincolo di località della risorsa applicato in un criterio dell'organizzazione, verifica che il vincolo di località sia impostato su global. Poiché il piano di controllo Apigee è un'entità globale per impostazione predefinita, il provisioning non andrà a buon fine se viene applicato un vincolo diverso da global. Per ulteriori informazioni, consulta la sezione Introduzione alla residenza dei dati.
2. Nell'elenco a discesa Regione di analisi, seleziona la località fisica in cui vuoi archiviare i dati di analisi. Per un elenco delle regioni di Apigee API Analytics disponibili, consulta Sedi di Apigee.
3. Fai clic su Conferma.
Nella sezione Runtime:
1. Nell'elenco a discesa Regione di hosting del runtime, seleziona la regione in cui vuoi che venga ospitata l'istanza.
2. Nell'elenco a discesa Chiave di crittografia del database di runtime, seleziona o crea una chiave per i dati memorizzati e replicati nelle posizioni di runtime.
3. Fai clic su Concedi, se richiesto.
4. Nell'elenco a discesa Chiave di crittografia del disco di runtime, seleziona o crea una chiave per i dati dell'istanza di runtime prima che vengano scritti su disco. Ogni istanza ha la propria chiave di crittografia del disco.
5. Fai clic su Concedi, se richiesto.
6. Fai clic su Conferma.
7. Fai clic su Fine.
Fai clic su Avanti.

Vai al passaggio successivo, Passaggio 4: personalizza il routing degli accessi.

Percorso dell'utente D: crittografia gestita dal cliente, con residenza dei dati

Nella sezione Tipo di crittografia, seleziona Chiave di crittografia gestita dal cliente (CMEK). Si tratta di una chiave di crittografia lato server gestita dall'utente utilizzata per criptare le istanze Apigee e i dati prima che vengano scritti su disco.
Fai clic su Avanti.
Nella sezione Control plane:
1. Seleziona la casella Attiva la residenza dei dati.
2. Nell'elenco a discesa Jurisdizione di hosting del piano di controllo visualizzato, seleziona la località fisica in cui vuoi archiviare i dati.
  Nota: una giurisdizione si riferisce a una località all'interno di un confine geopolitico che può comprendere più regioni. Per un elenco delle giurisdizioni disponibili per l'hosting del control plane, consulta Località di Apigee.
3. Nell'elenco a discesa Chiave di crittografia del piano di controllo, seleziona o crea una chiave per i dati memorizzati e replicati nelle posizioni di runtime.
  Nota: questo passaggio è necessario solo se selezioni us (multiple regions in us) o eu (multiple regions in European Union) come giurisdizione di hosting del piano di controllo. Se selezioni un'altra regione, questa chiave non è obbligatoria.
4. Fai clic su Concedi, se richiesto.
Nella sezione Regione di dati dei consumatori dell'API:
1. Nell'elenco a discesa Regione dei dati dei consumatori dell'API, seleziona la località fisica in cui vuoi archiviare i dati. Per un elenco delle regioni di dati dei consumatori disponibili, consulta Sedi Apigee.
2. Nell'elenco a discesa Chiave di crittografia dei dati dei consumatori dell'API, seleziona o crea una chiave per i dati archiviati per il piano di controllo.
3. Fai clic su Concedi, se richiesto.
4. Fai clic su Conferma.
Nella sezione Runtime:
1. Nell'elenco a discesa Regione di hosting del runtime, seleziona la regione in cui vuoi che venga ospitata l'istanza. Quando utilizzi la residenza dei dati, la posizione di runtime deve trovarsi all'interno della regione del piano di controllo.
2. Nell'elenco a discesa Chiave di crittografia del database di runtime, seleziona o crea una chiave per i dati memorizzati e replicati nelle posizioni di runtime.
3. Fai clic su Concedi, se richiesto.
4. Nell'elenco a discesa Chiave di crittografia del disco di runtime, seleziona o crea una chiave per i dati dell'istanza di runtime prima che vengano scritti su disco. Ogni istanza ha la propria chiave di crittografia del disco.
5. Fai clic su Concedi, se richiesto.
6. Fai clic su Conferma.
7. Fai clic su Fine.
Fai clic su Avanti.

Vai al passaggio successivo, Passaggio 4: personalizza il routing degli accessi.

Come creare una chiave

Per creare una chiave:

Fai clic su Crea chiave.
Seleziona un mazzo di chiavi o, se non esiste, attiva Crea mazzo di chiavi, inserisci un nome e scegli la posizione. I nomi dei keyring possono contenere lettere, numeri, trattini bassi (_) e trattini (-). Non è possibile rinominare o eliminare i keyring.
Fai clic su Continua.
Crea una chiave. Inserisci un nome e un livello di protezione. Tieni presente che i nomi delle chiavi possono contenere lettere, numeri, trattini bassi (_) e trattini (-). Non è possibile rinominare o eliminare le chiavi. Per il livello di protezione, Software è una buona scelta. Si tratta dello stesso valore predefinito utilizzato da Cloud KMS. Tuttavia, se lo desideri, puoi modificarlo.
Fai clic su Continua ed esamina le selezioni.
Fai clic su Crea.