Gestionar regiones

Application Integration es regional, lo que significa que la infraestructura que ejecuta tus integraciones se encuentra en una región específica y Google la gestiona para que esté disponible de forma redundante en todas las zonas de esa región. Además de seleccionar la región de aprovisionamiento inicial de Application Integration durante el proceso de configuración, también puedes habilitar o aprovisionar nuevas regiones para crear y gestionar tus integraciones en el mismo proyecto de Google Cloud.

En esta página se describen los pasos necesarios para aprovisionar correctamente una nueva región de integración de aplicaciones y editar una región en tu Google Cloud proyecto.

Antes de empezar

Habilita las siguientes APIs:

API Application Integration (integrations.googleapis.com)
API Connectors (connectors.googleapis.com)

Aprovisionar una nueva región

Para aprovisionar una nueva región para Application Integration en tu proyecto Google Cloud , selecciona una de las siguientes opciones:

Consola

Ve a la página Integración de aplicaciones.
Ir a Application Integration
En el menú de navegación, haga clic en Regiones.
Aparecerá la página Regiones, donde se mostrarán todas las regiones aprovisionadas en tu proyecto.
Haz clic en Provision new region (Aprovisionar nueva región).
Configure los siguientes campos en la página Provision new region (Aprovisionar nueva región):
1. Región: selecciona la nueva ubicación regional que quieras aprovisionar.
  Para obtener información sobre las regiones admitidas de Application Integration, consulta Ubicaciones de Application Integration.
2. Configuración avanzada: opcionalmente, despliega esta sección para habilitar o inhabilitar el acceso HTTP para las integraciones y configurar el método de cifrado de la región seleccionada.
  - HTTP: haz clic en el interruptor Habilitar HTTP para habilitar el acceso HTTP a las integraciones de la región seleccionada. Si se habilita esta opción, se podrá acceder a las integraciones de esta región a través de HTTP.
    Nota: El interruptor de HTTP está inhabilitado de forma predeterminada para asegurar que todas las integraciones se invoquen de forma segura a través de HTTPS.
  - Google-managed encryption key: es el método de cifrado predeterminado. Usa este método si quieres que Google gestione las claves de cifrado que protegen tus datos en la región seleccionada.
  - Clave de cifrado gestionada por el cliente (CMEK): usa este método si quieres gestionar las claves de cifrado que protegen tus datos en la región seleccionada.
    Precaución: No se puede deshacer la habilitación del cifrado con CMEK en una región de integración de aplicaciones. Esto también significa que no puedes cambiar el método de cifrado de una región una vez que se haya habilitado la CMEK.
    
    Al configurar los ajustes de cifrado, tiene dos opciones para gestionar las CMEK: Integración de aplicaciones y conectores (CMEK) y Usar otra CMEK para Integration Connectors, como se indica a continuación:
    - Integración de aplicaciones y conectores: CMEK: esta es la opción predeterminada y es adecuada si quieres usar la misma clave de cifrado para la integración de aplicaciones y los conectores de integración. Para usar esta opción, sigue estos pasos:
      1. Haz clic en Seleccionar una clave de Cloud KMS y elige una clave de CMEK disponible en la región seleccionada. También puedes crear una clave o usar el ID de recurso de KMS de la clave que ya tengas.
      2. Haz clic en Verificar para comprobar si tu cuenta de servicio predeterminada tiene acceso CryptoKey a la clave CMEK seleccionada.
      3. Si la verificación falla, haz clic en Conceder para asignar el rol de gestión de identidades y accesos Encargado del encriptado y desencriptado de la clave criptográfica a la cuenta de servicio predeterminada.
    - Usar CMEK diferentes para Integration Connectors: marca esta casilla si prefieres usar claves de cifrado independientes para Application Integration e Integration Connectors. Si se selecciona esta opción, aparecen las siguientes:
      - Integración de aplicaciones - CMEK
        
        Haz clic en Seleccionar una clave de Cloud KMS y elige una clave CMEK para la integración de aplicaciones en la región seleccionada. También puedes crear una clave o usar el ID de recurso de clave de una que ya tengas.
        
        Haz clic en Verificar para terminar de configurar CMEK para la integración de aplicaciones.
      - Integration Connectors - CMEK
        
        Haz clic en Seleccionar una clave de Cloud KMS y elige una clave CMEK para Integration Connectors en la región seleccionada. También puede crear una clave o usar el ID de recurso de clave de una clave que ya tenga.
        
        Haz clic en Verificar para comprobar si tu cuenta de servicio predeterminada tiene acceso CryptoKey a la CMEK seleccionada.
        
        Si falla la verificación de la clave CMEK seleccionada, haz clic en Conceder para asignar el rol de IAM Encargado de cifrar o descifrar claves de CryptoKey a la cuenta de servicio predeterminada.
        
        Nota: La integración de aplicaciones comprueba automáticamente si tu cuenta de servicio predeterminada tiene acceso CryptoKey a la CMEK seleccionada, si la CMEK de Integration Connectors está habilitada. Si la verificación falla, tendrás que conceder este acceso manualmente.
    Para obtener más información sobre las CMEK, consulta el artículo Claves de cifrado gestionadas por el cliente.
Haz clic en Listo.

Terraform

Usa el recurso google_integrations_client. En el siguiente ejemplo se aprovisiona la región us-east1:

resource "random_id" "default" {
  byte_length = 8
}

resource "google_kms_key_ring" "default" {
  name     = "${random_id.default.hex}-example-keyring"
  location = "us-east1"
}

resource "google_kms_crypto_key" "default" {
  name            = "crypto-key-example"
  key_ring        = google_kms_key_ring.default.id
  rotation_period = "7776000s"
}

resource "google_kms_crypto_key_version" "default" {
  crypto_key = google_kms_crypto_key.default.id
}

resource "google_service_account" "default" {
  account_id   = "service-account-id"
  display_name = "Service Account"
}

resource "google_integrations_client" "example" {
  location                   = "us-east1"
  create_sample_integrations = true
  run_as_service_account     = google_service_account.default.email
  cloud_kms_config {
    kms_location   = "us-east1"
    kms_ring       = basename(google_kms_key_ring.default.id)
    key            = basename(google_kms_crypto_key.default.id)
    key_version    = basename(google_kms_crypto_key_version.default.id)
    kms_project_id = data.google_project.default.project_id
  }
}

Editar región

Puedes editar una región para habilitar o inhabilitar la gobernanza de la integración y para actualizar el método de cifrado de datos de la región.

Para editar una región en Application Integration, sigue estos pasos:

En la Google Cloud consola, ve a la página Integración de aplicaciones.
Ir a Application Integration
En el menú de navegación, haga clic en Regiones.

Se muestra la página Regiones, que contiene las regiones aprovisionadas en Integración de aplicaciones.

En la columna Acciones de la región que quieras editar, haz clic en Acciones de la región y selecciona Editar.
Aparecerá el panel Editar región.
Despliega Configuración avanzada.
Para habilitar o inhabilitar la gestión de la integración en la región seleccionada, haz clic en el interruptor Habilitar gestión.
Nota:
- Habilita la gobernanza para que la autenticación de cuentas de servicio sea obligatoria en la región. Una vez que se haya habilitado la gobernanza, debes añadir manualmente una cuenta de servicio a todas las integraciones y versiones de integración nuevas que se creen en esta región. Puedes cambiar o actualizar los detalles de la cuenta de servicio de una integración en cualquier momento desde el panel Configuración de la integración de la barra de herramientas de la integración.
  Si la gobernanza está habilitada, solo puedes publicar o probar una integración cuando se le haya asociado una cuenta de servicio.
- Si inhabilitas la gobernanza de la región seleccionada, todas las integraciones publicadas seguirán usando sus respectivas cuentas de servicio asociadas hasta que se cree una nueva versión de las integraciones.
Para habilitar o inhabilitar el acceso HTTP para las integraciones de la región seleccionada, haz clic en el interruptor Habilitar HTTP. Si se habilita esta opción, se podrá acceder a las integraciones de esta región a través de HTTP.
Para habilitar el enmascaramiento de variables, en la sección Enmascaramiento de variables, haga clic en el interruptor Habilitar enmascaramiento de variables en los registros. Esta función está en versión preliminar.
Para obtener información sobre el enmascaramiento, consulta Enmascarar datos sensibles en los registros.
Para habilitar el cifrado con CMEK en la región seleccionada, elige Clave de cifrado gestionada por el cliente (CMEK) y haz lo siguiente:
1. Seleccione una CMEK de la lista desplegable disponible. Las CMEKs que se muestran en el menú desplegable se basan en la región aprovisionada. Para crear una clave, consulta Crear una CMEK.
2. Haz clic en Verificar para comprobar si tu cuenta de servicio predeterminada tiene acceso CryptoKey a la CMEK seleccionada.
3. Si falla la verificación de la CMEK seleccionada, haz clic en Grant (Conceder) para asignar el rol de gestión de identidades y accesos CryptoKey Encrypter/Decrypter (Encargado del encriptado y desencriptado de la clave criptográfica) a la cuenta de servicio predeterminada.
Para habilitar el cifrado con CMEK en Integration Connectors, selecciona Usar una CMEK diferente para Integration Connectors y haz lo siguiente:
1. Seleccione una CMEK de la lista desplegable disponible. Las CMEKs que se muestran en el menú desplegable se basan en la región aprovisionada. Para crear una clave, consulta Crear una CMEK.
2. Haz clic en Verificar para terminar de configurar CMEK de Integration Connectors.
Haga clic en Hecho para terminar de editar la región.