本頁面適用於 Apigee,但不適用於 Apigee Hybrid。
查看
Apigee Edge 說明文件。
本步驟的操作
在這個步驟中,您可以根據特定 使用者歷程,指定 Apigee 分析或控制平面、執行階段和資料平面執行個體,以及 API 消費者資料區的代管位置。您也必須指定加密金鑰選項。
每個使用者歷程的差異在於加密金鑰的選取或建立方式 (由 Google 或客戶管理),以及是否啟用 資料落地。
啟用資料落地功能後,系統將不支援部分功能。詳情請參閱「 資料落地設定相容性」。
如果 Google Cloud 專案有 CMEK 機構政策限制,則系統會預設啟用資料落地功能,並要求使用 CMEK。
建立機構時會使用下列鍵:
| 加密金鑰 | 說明 |
|---|---|
| 控制層金鑰 |
將 Apigee 租用戶專案中 BigQuery 中儲存的 Analytics 資料加密。 將 API Proxy、目標伺服器、信任存放區、Keystore 和其他在執行階段共用的內容加密。 |
| API 消費者資料鍵 | 加密服務基礎架構資料。這個值必須是控制層位置中的區域。 |
| 執行階段資料庫索引鍵 | 加密應用程式資料 (例如 KVM、快取和用戶端密鑰),然後儲存在資料庫中。 |
每次建立執行個體時都會使用下列鍵:
| 加密金鑰 | 說明 |
|---|---|
| 執行階段磁碟金鑰 | 加密 KVM、環境快取、配額值區和計數器。
加密 KMS 資料 API 產品、開發人員、開發人員應用程式、OAuth 權杖 (包括存取權杖、重新整理權杖和授權碼) 和 API 金鑰。 |
執行步驟
如要查看特定使用者歷程的步驟,請選取下列任一使用者歷程。這些歷程依複雜度排序,其中最簡單的是使用者歷程 A。
查看使用者歷程流程圖
下圖顯示使用者可能的使用者歷程,說明如何透過 Cloud 控制台為預付費機構設定代管服務和加密功能。
使用者歷程以 A 到 F 標示,並依簡單到複雜的順序排列,其中 A 是最簡單,F 則最複雜。
| 使用者歷程 | 說明 | |
|---|---|---|
 |
使用者歷程 A:Google 代管的加密功能,沒有資料落地 |
如果您符合下列情況,請選取這個選項: |
 |
使用者歷程 B:Google 代管的加密機制,搭配資料落地 |
如果您符合下列情況,請選取這個選項: |
 |
使用者歷程 C:客戶自行管理的加密功能,沒有資料儲存地點 |
如果您符合下列情況,請選取這個選項:
|
 |
使用者歷程 D:客戶管理的加密功能,搭配資料落地 |
如果您符合下列情況,請選取這個選項:
|
使用者歷程 A:Google 代管的加密功能,沒有資料儲存地點
在步驟 3 中,控制台會顯示託管和加密設定選項清單,以及這些選項的預設值。您可以接受預設設定,也可以按一下 「編輯」,開啟「託管和加密金鑰」面板。
- 在「Encryption type」部分中,選取 Google-managed encryption key。這是 Google 代管的伺服器端加密金鑰,用於在將 Apigee 執行個體和資料寫入磁碟之前加密。
- 點按「Next」。
- 在「控制層」部分中:
- 取消勾選「Enable data residency」方塊。
從「數據分析區域」下拉式清單中,選取要儲存數據分析資料的實際位置。如需可用 Apigee API Analytics 區域的清單,請參閱 Apigee 位置。
- 按一下「確認」。
- 在「Runtime」部分:
- 從「Runtime hosting region」下拉式清單中,選取要託管執行個體的地區。
- 在「執行階段資料庫加密金鑰」下方,加密類型列為「Google 代管」。
- 在「Runtime disk encryption key」下方,加密類型列為「Google 代管」。
- 按一下「確認」。
- 按一下 [完成]。
- 點按「Next」。
請前往下一個步驟, 步驟 4:自訂存取轉送。
使用者歷程 B:Google 代管的加密方式,搭配資料儲存地點
在步驟 3 中,控制台會顯示託管和加密設定選項清單,以及這些選項的預設值。您可以接受預設設定,也可以按一下 「編輯」,開啟「託管和加密金鑰」面板。
- 在「Encryption type」部分中,選取 Google-managed encryption key。這是 Google 代管的伺服器端加密金鑰,可在將 Apigee 執行個體和資料寫入磁碟前加密。
- 點按「Next」。
- 在「控制層」部分中:
- 選取「Enable data residency」(啟用資料落地設定) 方塊。
- 從「控制層託管管轄區」下拉式清單中,選取要儲存資料的實際位置。
- 在「控制平面加密金鑰」下方,加密類型列為「Google 代管」。
- 在「API 消費者資料地區」部分執行下列操作:
- 從「API 使用者資料區域」下拉式清單中,選取要儲存資料的實際位置。如需可用消費者資料區域的清單,請參閱 Apigee 位置。
- 在「API 消費者資料加密金鑰」下方,加密類型列為「Google 代管」。
- 按一下「確認」。
- 在「Runtime」部分中:
- 從「Runtime hosting region」下拉式清單中,選取要託管執行個體的地區。如需可用執行階段區域的清單,請參閱 Apigee 位置。使用資料落地功能時,執行階段位置必須位於控制平面區域內。
- 在「執行階段資料庫加密金鑰」下方,加密類型列為「Google 代管」。
- 在「Runtime disk encryption key」下方,加密類型列為「Google 代管」。
- 按一下「確認」。
- 按一下「完成」。
- 點按「Next」。
請前往下一個步驟, 步驟 4:自訂存取轉送。
使用者歷程 C:客戶管理的加密技術,沒有資料儲存地點
在步驟 3 中,控制台會顯示託管和加密設定選項清單,以及這些選項的預設值。您可以接受預設設定,也可以按一下 「編輯」,開啟「託管和加密金鑰」面板。
- 在「Encryption type」部分,選取「Customer-managed encryption key (CMEK)」 (客戶管理的加密金鑰 (CMEK))。這是使用者管理的伺服器端加密金鑰,用於在將 Apigee 執行個體和資料寫入磁碟之前加密。
- 點按「Next」。
- 在「控制層」部分中:
- 取消勾選「Enable data residency」方塊。
從「數據分析區域」下拉式清單中,選取要儲存數據分析資料的實際位置。如需可用 Apigee API Analytics 區域的清單,請參閱 Apigee 位置。
- 按一下「確認」。
- 在「Runtime」部分中:
- 點按「Next」。
請前往下一個步驟, 步驟 4:自訂存取轉送。
使用者歷程 D:客戶管理的加密機制,搭配資料儲存地點
在步驟 3 中,控制台會顯示託管和加密設定選項清單,以及這些選項的預設值。您可以接受預設設定,也可以按一下 「編輯」,開啟「託管和加密金鑰」面板。
- 在「Encryption type」部分,選取「Customer-managed encryption key (CMEK)」 (客戶管理的加密金鑰 (CMEK))。這是使用者管理的伺服器端加密金鑰,可用於在將 Apigee 執行個體和資料寫入磁碟之前加密這些項目。
- 點按「Next」。
- 在「控制層」部分中:
- 選取「Enable data residency」(啟用資料落地設定) 方塊。
- 從「控制平面託管管轄區」下拉式清單中,選取要儲存資料的實際位置。
- 在「Control plane encryption key」下拉式清單中,選取或建立金鑰,用於儲存及複製在各個執行階段位置的資料。
- 如果出現提示訊息,請點按「授予」。
- 在「API 消費者資料地區」部分執行下列操作:
- 在「Runtime」部分中:
- 點按「Next」。
請前往下一個步驟, 步驟 4:自訂存取轉送。
如何建立金鑰
如何建立機碼:
- 按一下 [Create key] (建立金鑰)。
- 選取金鑰環,如果沒有金鑰環,請啟用「建立金鑰環」,然後輸入金鑰環名稱並選取金鑰環位置。金鑰環名稱可以使用英文字母、數字、底線 (_) 和連字號 (-)。您無法重新命名或刪除金鑰環。
- 按一下「繼續」。
- 建立金鑰。輸入名稱和防護等級。 請注意,金鑰名稱可以使用英文字母、數字、底線 (_) 和連字號 (-)。金鑰一經設定即無法重新命名或刪除。防護等級方面,「軟體」是個不錯的選擇。這與 Cloud KMS 使用的預設值相同,但您可以視需要變更。
- 按一下「繼續」,然後查看所選項目。
- 按一下 [建立]。