Administra regiones

Application Integration es regional, lo que significa que la infraestructura que ejecuta tus integraciones se encuentra en una región específica, y Google la administra para que esté disponible de forma redundante en todas las zonas de esa región. Además de seleccionar la región de aprovisionamiento inicial para la Application Integration durante el proceso de configuración, también puedes habilitar o aprovisionar regiones nuevas para crear y administrar tus integraciones en el mismo proyecto de Google Cloud.

En esta página, se describen los pasos necesarios para aprovisionar correctamente una nueva región de Application Integration y editar una región existente en tu Google Cloud proyecto.

Antes de comenzar

Habilita las siguientes APIs:

API de Application Integration (integrations.googleapis.com)
API de Connectors (connectors.googleapis.com)

Aprovisiona una región nueva

Para aprovisionar una región nueva para la Application Integration en tu Google Cloud proyecto, selecciona una de las siguientes opciones:

Console

Ve a la página Application Integration.
Ir a Application Integration
En el menú de navegación, haz clic en Regiones.
Aparecerá la página Regiones, en la que se enumerarán todas las regiones aprovisionadas en tu proyecto.
Haz clic en Aprovisionar región nueva.
Configura los siguientes campos en la página Aprovisiona una región nueva:
1. Región: Selecciona la nueva ubicación regional que deseas aprovisionar.
  Para obtener información sobre las regiones compatibles de Application Integration, consulta Ubicaciones de Application Integration.
2. Configuración avanzada: De forma opcional, expande esta sección para habilitar o inhabilitar el acceso HTTP para las integraciones y configurar el método de encriptación de la región seleccionada.
  - HTTP: Haz clic en el botón de activación Habilitar HTTP para habilitar el acceso HTTP para las integraciones dentro de la región seleccionada. Cuando se habilita, se puede acceder a las integraciones de esta región a través de HTTP.
    Nota: El botón de activación de HTTP está inhabilitado de forma predeterminada para garantizar que todas las integraciones se invoquen de forma segura a través de HTTPS.
  - Google-managed encryption key: Es el método de encriptación predeterminado. Usa este método si deseas que Google administre las claves de encriptación que protegen tus datos en la región seleccionada.
  - Clave de encriptación administrada por el cliente (CMEK): Usa este método si tú quieres administrar las claves de encriptación que protegen tus datos en la región seleccionada.
    Precaución: No se puede deshacer la habilitación de la encriptación CMEK para una región de Application Integration. Esto también significa que no puedes cambiar ni alternar el método de encriptación de una región una vez que se habilitan las CMEK.
    
    Cuando configures la encriptación, tendrás dos opciones para administrar las CMEK: Integración de aplicaciones y conectores (CMEK) y Usar una CMEK diferente para los conectores de integración, como se indica a continuación:
    - Integración de aplicaciones y conectores: CMEK: Esta es la opción predeterminada y es adecuada si deseas usar la misma clave de encriptación para la Application Integration y Integration Connectors. Para usar esta opción, sigue estos pasos:
      1. Haz clic en Seleccionar una clave de Cloud KMS y elige una clave CMEK existente disponible en la región seleccionada. También puedes crear una clave nueva o usar el ID de recurso de KMS de tu clave existente.
      2. Haz clic en Verificar para comprobar si tu cuenta de servicio predeterminada tiene acceso a CryptoKey para la clave CMEK seleccionada.
      3. Si la verificación falla, haz clic en Otorgar para asignar el rol de IAM Encriptador/Desencriptador de CryptoKey a la cuenta de servicio predeterminada.
    - Usar una CMEK diferente para Integration Connectors: Selecciona esta casilla de verificación si prefieres usar claves de encriptación independientes para Application Integration y Integration Connectors. Si se selecciona, aparecerán las siguientes opciones:
      - Integración de aplicaciones: CMEK
        
        Haz clic en Seleccionar una clave de Cloud KMS y elige una clave de CMEK existente para Application Integration en la región seleccionada. Como alternativa, puedes crear una clave nueva o usar el ID de recurso de clave de una clave existente.
        
        Haz clic en Verificar para terminar de configurar la CMEK para la Application Integration.
      - Conectores de Integration: CMEK
        
        Haz clic en Seleccionar una clave de Cloud KMS y elige una clave de CMEK existente para Integration Connectors en la región seleccionada. Como alternativa, puedes crear una clave nueva o usar el ID de recurso de clave de una clave existente.
        
        Haz clic en Verificar para comprobar si tu cuenta de servicio predeterminada tiene acceso a CryptoKey a la CMEK seleccionada.
        
        Si la verificación de la clave CMEK seleccionada falla, haz clic en Otorgar para asignar el rol de IAM de encriptador/desencriptador de CryptoKey a la cuenta de servicio predeterminada.
        
        Nota: Application Integration verifica automáticamente si tu cuenta de servicio predeterminada tiene acceso de CryptoKey a la CMEK seleccionada si está habilitada la CMEK de Integration Connectors. Si la verificación falla, deberás otorgar este acceso de forma manual.
    Para obtener más información sobre las CMEK, consulta Claves de encriptación administradas por el cliente.
Haz clic en Listo.

Terraform

Usa el recurso google_integrations_client. En el siguiente ejemplo, se aprovisiona la región us-east1:

resource "random_id" "default" {
  byte_length = 8
}

resource "google_kms_key_ring" "default" {
  name     = "${random_id.default.hex}-example-keyring"
  location = "us-east1"
}

resource "google_kms_crypto_key" "default" {
  name            = "crypto-key-example"
  key_ring        = google_kms_key_ring.default.id
  rotation_period = "7776000s"
}

resource "google_kms_crypto_key_version" "default" {
  crypto_key = google_kms_crypto_key.default.id
}

resource "google_service_account" "default" {
  account_id   = "service-account-id"
  display_name = "Service Account"
}

resource "google_integrations_client" "example" {
  location                   = "us-east1"
  create_sample_integrations = true
  run_as_service_account     = google_service_account.default.email
  cloud_kms_config {
    kms_location   = "us-east1"
    kms_ring       = basename(google_kms_key_ring.default.id)
    key            = basename(google_kms_crypto_key.default.id)
    key_version    = basename(google_kms_crypto_key_version.default.id)
    kms_project_id = data.google_project.default.project_id
  }
}

Edita la región

Puedes editar una región existente para habilitar o inhabilitar la gobernanza de la integración y actualizar el método de encriptación de datos de la región.

Para editar una región existente en la Application Integration, sigue estos pasos:

En la consola de Google Cloud , ve a la página Integración de aplicaciones.
Ir a Application Integration
En el menú de navegación, haz clic en Regiones.

Aparecerá la página Regiones, en la que se enumeran las regiones aprovisionadas en Application Integration.

En la región existente que deseas editar, en la columna Acciones, haz clic en Acciones de la región y selecciona Editar.
Aparecerá el panel Editar región.
Expande la opción Configuración avanzada.
Para habilitar o inhabilitar la gobernanza de integraciones para la región seleccionada, haz clic en el botón de activación Habilitar gobernanza.
Nota:
- Habilita la gobernanza para que la autenticación de cuentas de servicio sea obligatoria para la región. Una vez que se habilite la gobernanza, deberás agregar manualmente una cuenta de servicio a todas las integraciones y versiones de integración nuevas que se creen en esta región. Puedes cambiar o actualizar los detalles de la cuenta de servicio de una integración en cualquier momento desde el panel Configuración de integración en la barra de herramientas de integración.
  Si la gobernanza está habilitada, puedes publicar o probar una integración solo cuando se le adjunta una cuenta de servicio.
- Si inhabilitas la administración para la región seleccionada, todas las integraciones publicadas existentes seguirán usando sus respectivas cuentas de servicio adjuntas hasta que se cree una versión nueva de las integraciones.
Para habilitar o inhabilitar el acceso HTTP para las integraciones en la región seleccionada, haz clic en el botón de activación Enable HTTP. Cuando se habilita, se puede acceder a las integraciones de esta región a través de HTTP.
Para habilitar el enmascaramiento de variables, en la sección Enmascaramiento de variables, haz clic en el botón de activación Habilitar el enmascaramiento de variables en los registros. Esta función está en vista previa.
Para obtener información sobre el enmascaramiento, consulta Enmascara datos sensibles en registros.
Para habilitar la encriptación CMEK para la región seleccionada, selecciona Clave de encriptación administrada por el cliente (CMEK) y haz lo siguiente:
1. Selecciona una CMEK de la lista desplegable disponible. Las CMEK que se muestran en el menú desplegable se basan en la región aprovisionada. Para crear una clave nueva, consulta Cómo crear una CMEK nueva.
2. Haz clic en Verificar para comprobar si tu cuenta de servicio predeterminada tiene acceso a CryptoKey a la CMEK seleccionada.
3. Si la verificación de la CMEK seleccionada falla, haz clic en Otorgar para asignar el rol de IAM de encriptador/desencriptador de CryptoKey a la cuenta de servicio predeterminada.
Para habilitar la encriptación de CMEK para Integration Connectors, selecciona Usar una CMEK diferente para los conectores de integración y haz lo siguiente:
1. Selecciona una CMEK de la lista desplegable disponible. Las CMEK que se muestran en el menú desplegable se basan en la región aprovisionada. Para crear una clave nueva, consulta Cómo crear una CMEK nueva.
2. Haz clic en Verificar para terminar de configurar el CMEK de los conectores de integración.
Haz clic en Listo para terminar de editar la región.