שלב 3: הגדרת אירוח והצפנה

הדף הזה מתייחס ל-Apigee, אבל לא ל-Apigee Hybrid.

לעיון במסמכי התיעוד של Apigee Edge

מה עושים בשלב הזה

בשלב הזה, בהתאם למסלול המשתמש הספציפי שלכם, מציינים את מיקומי האירוח של ניתוח הנתונים או של מישור הבקרה, של מופעי זמן הריצה ומישור הנתונים, ושל האזור הגיאוגרפי לאחסון נתונים של צרכני ה-API. מציינים גם את הבחירות של מפתח ההצפנה.

ההבדל בין כל אחד מנתיבי המשתמשים הוא הבחירה או היצירה של מפתחות הצפנה, בין אם הם מנוהלים על ידי Google או על ידי הלקוח, ובין אם מופעלת שמירת נתונים באזור מסוים.

חלק מהתכונות לא נתמכות כשמפעילים את התכונה 'מיקום הנתונים'. פרטים נוספים זמינים במאמר בנושא תאימות למיקום הנתונים.

המפתחות הבאים משמשים במהלך יצירת הארגון:

מפתח הצפנה תיאור
מפתח מישור הבקרה

הצפנה של נתוני Analytics שמאוחסנים ב-BigQuery בפרויקט הדייר של Apigee.

הצפנה של שרתי יעד, חנויות אישורים וחנויות מפתחות, וגם של כל דבר אחר שמשותף בין סביבות זמן ריצה.
מפתח נתונים של צרכן API הצפנה של נתונים בתשתית השירות. המיקום הזה צריך להיות אזור במיקום של מישור הבקרה.
מפתח מסד נתונים בזמן ריצה הצפנה של נתוני אפליקציה כמו KVM, מטמון וסודות לקוח, שאחר כך מאוחסנים במסד הנתונים.

המפתח הבא משמש במהלך כל יצירה של מופע:

מפתח הצפנה תיאור
מפתח הדיסק של סביבת זמן הריצה הצפנה של KVM, מטמון סביבה, דלי מכסות ומונים.

מצפין מוצרי API של נתוני KMS, מפתחים, אפליקציות למפתחים, אסימוני OAuth (כולל אסימוני גישה, אסימוני רענון וקודי הרשאה) ומפתחות API.

ביצוע השלב

כדי לראות את השלבים בתהליך הספציפי שעוברים המשתמשים, בוחרים אחד מהתהליכים הבאים. הם מפורטים לפי רמת מורכבות, והתהליך הכי פשוט הוא תהליך A.

צפייה בתרשים זרימה של התהליך שעובר המשתמש

בתרשים הבא מוצגים תרחישי שימוש אפשריים להגדרת אירוח והצפנה בארגון עם תשלום לפי שימוש באמצעות מסוף Cloud.

מסלולי המשתמשים מסומנים באותיות A עד F, והם מסודרים מהקל למורכב, כאשר A הוא הקל ביותר ו-F הוא המורכב ביותר.

תהליך אספקת שירותים בתשלום
התהליך שעובר המשתמש תיאור
סמל A תרחיש שימוש א': הצפנה בניהול Google, ללא שליטה על מיקום הנתונים

בוחרים באפשרות הזו אם:

  • רוצים ש-Google תנהל את מפתחות ההצפנה
  • לא נדרש לאחסן תוכן ליבה ועיבוד באותו אזור גיאוגרפי
סמל ב' מסלול המשתמש B: הצפנה בניהול Google, עם מיקום נתונים

בוחרים באפשרות הזו אם:

  • רוצים ש-Google תנהל את מפתחות ההצפנה
  • רוצים לאחסן תוכן ועיבוד ליבה באותו אזור גיאוגרפי
סמל C מסלול המשתמש C: הצפנה בניהול הלקוח, ללא מיקום נתונים

בוחרים באפשרות הזו אם:

  • רוצים לנהל את מפתחות ההצפנה שלכם
  • לא נדרש לאחסן את התוכן העיקרי ואת העיבוד באותו אזור גיאוגרפי
סמל D מסלול המשתמש D: הצפנה בניהול הלקוח, עם שליטה על מיקום הנתונים

בוחרים באפשרות הזו אם:

  • רוצים לנהל את מפתחות ההצפנה שלכם
  • רוצים לאחסן את התוכן העיקרי ואת העיבוד באותו אזור גיאוגרפי

תרחיש לדוגמה א': הצפנה בניהול Google, ללא דרישות לגבי מיקום הנתונים

בשלב 3, במסוף מוצגת רשימה של אפשרויות הגדרה של אירוח והצפנה וערכי ברירת המחדל שלהן. אפשר לאשר את הגדרת ברירת המחדל או ללחוץ על עריכה כדי לפתוח את החלונית מפתחות אירוח והצפנה.

  1. בקטע סוג ההצפנה, בוחרים באפשרות Google-managed encryption key. זהו מפתח הצפנה בצד השרת שמנוהל על ידי Google, ומשמש להצפנת המופעים והנתונים של Apigee לפני שהם נכתבים לדיסק.
  2. לוחצים על הבא.
  3. בקטע Control Plane (מישור הבקרה):
    1. מבטלים את הסימון בתיבה הפעלת שמירת נתונים באזור.

    2. מהרשימה הנפתחת Analytics region (אזור Analytics), בוחרים את המיקום הפיזי שבו רוצים לאחסן את נתוני הניתוח. לרשימה של אזורי Apigee API Analytics שזמינים, כולל אזורים שתומכים ב-API Hub, אפשר לעיין במאמר מיקומי Apigee. אם בוחרים אזור שלא תומך ב-API Hub, לא נוצר מופע של API Hub. מידע נוסף על API Hub זמין במאמר מהו API Hub?

    3. לוחצים על אישור.
  4. בקטע Runtime:
    1. מהרשימה הנפתחת Runtime hosting region, בוחרים את האזור שבו רוצים לארח את המופע.
    2. בקטע Runtime database encryption key (מפתח הצפנה של מסד נתונים בזמן ריצה), מופיע Google-managed (בניהול Google) כסוג ההצפנה.
    3. בקטע Runtime disk encryption key (מפתח הצפנה של דיסק בזמן ריצה), האפשרות Google-managed (בניהול Google) מופיעה כסוג ההצפנה.
    4. לוחצים על אישור.
    5. לוחצים על סיום.
  5. לוחצים על הבא.

עוברים לשלב הבא, שלב 4: התאמה אישית של ניתוב הגישה.

תרחיש שימוש ב': הצפנה בניהול Google, עם מיקום הנתונים

בשלב 3, במסוף מוצגת רשימה של אפשרויות הגדרה של אירוח והצפנה וערכי ברירת המחדל שלהן. אפשר לאשר את הגדרת ברירת המחדל או ללחוץ על עריכה כדי לפתוח את החלונית מפתחות אירוח והצפנה.

  1. בקטע סוג ההצפנה, בוחרים באפשרות Google-managed encryption key. זהו מפתח הצפנה בצד השרת שמנוהל על ידי Google, ומשמש להצפנת המופעים והנתונים של Apigee לפני שהם נכתבים לדיסק.
  2. לוחצים על הבא.
  3. בקטע Control Plane (מישור הבקרה):
    1. מסמנים את התיבה הפעלת שמירת נתונים.
    2. בתפריט הנפתח Control plane hosting jurisdiction שמופיע, בוחרים את המיקום הפיזי שבו רוצים לאחסן את הנתונים.

    3. מהרשימה הנפתחת Control plane encryption key (מפתח הצפנה של מישור הבקרה), בוחרים או יוצרים מפתח לנתונים שמאוחסנים ומשוכפלים במיקומי זמן ריצה.
    4. אם מופיעה הנחיה, לוחצים על Grant (אישור).
  4. בקטע API consumer data region:
    1. בתפריט הנפתח API consumer data region, בוחרים את המיקום הפיזי שבו רוצים לאחסן את הנתונים. רשימת האזורים שבהם אפשר לאחסן נתונים של צרכנים זמינה במאמר בנושא מיקומי Apigee.
    2. בקטע מפתח להצפנת נתונים (DEK) של צרכני API, סוג ההצפנה שמופיע הוא בניהול Google.
    3. לוחצים על אישור.
  5. בקטע Runtime:
    1. ברשימה הנפתחת Runtime hosting region, בוחרים את האזור שבו רוצים לארח את המופע. רשימת האזורים הזמינים של זמן הריצה מופיעה במאמר מיקומי Apigee. כשמשתמשים במיקום של הנתונים, המיקום של זמן הריצה חייב להיות באזור של מישור הבקרה.
    2. בקטע Runtime database encryption key (מפתח הצפנה של מסד נתונים בזמן ריצה), האפשרות Google-managed (בניהול Google) מופיעה כסוג ההצפנה.
    3. בקטע Runtime disk encryption key (מפתח הצפנה של דיסק בזמן ריצה), האפשרות Google-managed (בניהול Google) מופיעה כסוג ההצפנה.
    4. לוחצים על אישור.
    5. לוחצים על סיום.
  6. לוחצים על הבא.

עוברים לשלב הבא, שלב 4: התאמה אישית של ניתוב הגישה.

תרחיש שימוש ג': הצפנה בניהול הלקוח, ללא דרישות לגבי מיקום הנתונים

בשלב 3, במסוף מוצגת רשימה של אפשרויות הגדרה של אירוח והצפנה, וערכי ברירת המחדל שלהן. אפשר לאשר את הגדרות ברירת המחדל או ללחוץ על עריכה כדי לפתוח את החלונית אירוח ומפתחות הצפנה.

  1. בקטע Encryption type, בוחרים באפשרות Customer-managed encryption key (CMEK). זהו מפתח הצפנה בצד השרת שמנוהל על ידי המשתמש, ומשמש להצפנת המופעים והנתונים של Apigee לפני שהם נכתבים לדיסק.
  2. לוחצים על הבא.
  3. בקטע Control Plane (מישור הבקרה):
    1. מבטלים את הסימון בתיבה הפעלת שמירת נתונים באזור.

    2. מהרשימה הנפתחת Analytics region (אזור Analytics), בוחרים את המיקום הפיזי שבו רוצים לאחסן את נתוני הניתוח. רשימת האזורים הזמינים של Apigee API Analytics מופיעה במאמר Apigee locations (מיקומי Apigee).

    3. לוחצים על אישור.
  4. בקטע Runtime (זמן ריצה):
    1. מהרשימה הנפתחת Runtime hosting region, בוחרים את האזור שבו רוצים לארח את המופע.
    2. מהתפריט הנפתח Runtime database encryption key, בוחרים או יוצרים מפתח לנתונים שמאוחסנים ומשוכפלים במיקומי זמן ריצה.
    3. אם מופיעה הנחיה, לוחצים על Grant (אישור).
    4. מהרשימה הנפתחת מפתח להצפנת דיסק בזמן ריצה, בוחרים או יוצרים מפתח לנתוני מופע בזמן ריצה לפני שהם נכתבים בדיסק. לכל מופע יש מפתח הצפנה משלו לדיסק.
    5. אם מופיעה הנחיה, לוחצים על Grant (אישור).
    6. לוחצים על אישור.
    7. לוחצים על סיום.
  5. לוחצים על הבא.

עוברים לשלב הבא, שלב 4: התאמה אישית של ניתוב הגישה.

תרחיש שימוש ד': הצפנה בניהול הלקוח, עם מיקום נתונים

בשלב 3, במסוף מוצגת רשימה של אפשרויות הגדרה של אירוח והצפנה, וערכי ברירת המחדל שלהן. אפשר לאשר את הגדרות ברירת המחדל או ללחוץ על עריכה כדי לפתוח את החלונית אירוח ומפתחות הצפנה.

  1. בקטע Encryption type, בוחרים באפשרות Customer-managed encryption key (CMEK). זהו מפתח הצפנה בצד השרת שמנוהל על ידי המשתמש, ומשמש להצפנת המופעים והנתונים של Apigee לפני שהם נכתבים לדיסק.
  2. לוחצים על הבא.
  3. בקטע Control Plane (מישור הבקרה):
    1. מסמנים את התיבה הפעלת שמירת נתונים.
    2. בתפריט הנפתח Control plane hosting jurisdiction שמופיע, בוחרים את המיקום הפיזי שבו רוצים לאחסן את הנתונים.

    3. מהרשימה הנפתחת Control plane encryption key (מפתח הצפנה של מישור הבקרה), בוחרים או יוצרים מפתח לנתונים שמאוחסנים ומשוכפלים במיקומי זמן ריצה.
    4. אם מופיעה הנחיה, לוחצים על Grant (אישור).
  4. בקטע אזור גיאוגרפי לאחסון נתונים של צרכן API:
    1. בתפריט הנפתח API consumer data region, בוחרים את המיקום הפיזי שבו רוצים לאחסן את הנתונים. רשימת האזורים שבהם אפשר לאחסן נתונים של צרכנים זמינה במאמר בנושא מיקומי Apigee.
    2. בתפריט הנפתח API consumer data encryption key (מפתח להצפנת נתונים (DEK) של צרכן API), בוחרים או יוצרים מפתח לנתונים שמאוחסנים במישור הבקרה.
    3. אם מופיעה הנחיה, לוחצים על Grant (אישור).
    4. לוחצים על אישור.
  5. בקטע Runtime (זמן ריצה):
    1. בתפריט הנפתח Runtime hosting region, בוחרים את האזור שבו רוצים לארח את המופע. כשמשתמשים במיקום הנתונים, המיקום של זמן הריצה צריך להיות בתוך האזור של מישור הבקרה.
    2. מהתפריט הנפתח Runtime database encryption key, בוחרים או יוצרים מפתח לנתונים שמאוחסנים ומשוכפלים במיקומי זמן ריצה.
    3. אם מופיעה הנחיה, לוחצים על Grant (אישור).
    4. מהרשימה הנפתחת מפתח להצפנת דיסק בזמן ריצה, בוחרים או יוצרים מפתח לנתוני מופע בזמן ריצה לפני שהם נכתבים בדיסק. לכל מופע יש מפתח הצפנה משלו לדיסק.
    5. אם מופיעה הנחיה, לוחצים על Grant (אישור).
    6. לוחצים על אישור.
    7. לוחצים על סיום.
  6. לוחצים על הבא.

עוברים לשלב הבא, שלב 4: התאמה אישית של ניתוב הגישה.

איך יוצרים מפתח

כדי ליצור מפתח:

  1. לוחצים על Create key.
  2. בוחרים אוסף מפתחות, או שאם הוא לא קיים, מפעילים את האפשרות יצירת אוסף מפתחות, מזינים שם לאוסף המפתחות ובוחרים את המיקום שלו. השם של אוסף המפתחות יכול להכיל אותיות, מספרים, קווים תחתונים (‎_) ומקפים (‎-). אי אפשר לשנות את השם של אוסף המפתחות או למחוק אותו.
  3. לוחצים על Continue.
  4. יוצרים מפתח. מזינים שם ורמת הגנה. שימו לב ששמות של מפתחות יכולים להכיל אותיות, מספרים, קווים תחתונים (‎_) ומקפים (-). אי אפשר לשנות את השם של מפתחות או למחוק אותם. רמת ההגנה תוכנה היא בחירה טובה. זוהי ברירת המחדל שמשמשת את Cloud KMS, אבל אפשר לשנות אותה אם רוצים.
  5. לוחצים על המשך ובודקים את הבחירות.
  6. לוחצים על יצירה.