In diesem Dokument wird beschrieben, wie Sie Ihre Apigee-Organisation mit Datenstandort nur für ruhende Daten oder mit erweitertem Datenstandort bereitstellen.
Weitere Informationen finden Sie unter Einführung in den Datenstandort.
Organisation nur mit Datenstandort für ruhende Daten bereitstellen
Als Apigee-Administrator können Sie Ihre Organisation nur mit dem Speicherort der Daten im Ruhezustand bereitstellen, um einzuschränken, wo Daten gespeichert werden. Verwenden Sie dazu eine der verfügbaren kostenpflichtigen Bereitstellungsoptionen für Organisationen. Achten Sie darauf, dass Sie bei der Bereitstellung das Kästchen Datenstandort aktivieren ankreuzen.
Erweiterte Datenstandortfunktionen für Ihre Organisation bereitstellen
Als Apigee-Administrator müssen Sie die folgenden Schritte ausführen, um Ihre Organisation mit erweitertem Datenstandort bereitzustellen, einschließlich Datenspeicherung (im Ruhezustand), Verarbeitung (in Verwendung) und Übertragung (in Transit).
| # | Step | Beschreibung | Ausgeführt von |
| 1 | Assured Workloads-Ordner erstellen | Erstellen Sie in Ihrer Google Cloud -Organisation einen Assured Workloads-Ordner, um die erforderlichen Organisationsrichtlinien festzulegen und zu erzwingen, die die Ressourcennutzung nur an zulässigen Standorten einschränken. | Google Cloud Administrator mit der Berechtigung Assured Workloads-Verwaltung |
| 2 | Bereitstellung mit erweitertem Datenstandort | Stellen Sie für Ihre kostenpflichtige Organisation einen erweiterten Speicherort der Daten bereit, indem Sie eine der verfügbaren Bereitstellungsoptionen für kostenpflichtige Organisationen verwenden.
Sie müssen die Gerichtsbarkeitskonsole verwenden, um auf die Apigee-Benutzeroberfläche zuzugreifen, oder den regionalen Endpunkt, um auf die Apigee APIs zuzugreifen, je nach Standort der Steuerungsebene. |
Apigee-Organisationsadministrator |
Assured Workloads-Ordner erstellen
Mit Assured Workloads können Organisationen Kontrollen in Bezug auf gesetzliche Vorschriften, Region und Datenhoheit auf Google Cloud -Ressourcen anwenden und erzwingen.
In der Google Cloud Console erstellen Sie einen Assured Workloads-Ordner in Ihrer Google Cloud Organisation und wählen ein Kontrollpaket basierend auf Ihren behördlichen Anforderungen aus.
Ein Kontrollpaket ist eine Reihe von Kontrollen, die zusammen die Grundlage für ein Compliance-Framework, ein Gesetz oder eine Verordnung bilden. Das Kontrollpaket legt die erforderlichen Einschränkungen für Organisationsrichtlinien fest und erzwingt sie für:
- Ressourcennutzung auf unterstützte Produkte beschränken
- Erstellen oder Verwenden von Ressourcen nur an zulässigen Standorten zulassen
Weitere Informationen zu Assured Workloads finden Sie unter Übersicht über Assured Workloads.
Bereitstellung mit erweitertem Datenstandort
Als Apigee-Administrator müssen Sie beim Bereitstellen Ihrer kostenpflichtigen Organisation mit einer der Bereitstellungsoptionen die Gerichtsbarkeitskonsole verwenden, um auf die Apigee-Benutzeroberfläche zuzugreifen, oder den regionalen Endpunkt, wenn Sie die CLI verwenden.
Konsole für die Gerichtsbarkeit verwenden
Wenn Sie Ihre Organisation mit dem erweiterten Datenstandort bereitstellen, müssen Sie über die standortbasierte Gerichtsbarkeitskonsole auf die Apigee-Benutzeroberfläche zugreifen. Wenn Sie die Apigee-Organisation über die Gerichtsbarkeitskonsole bereitstellen, werden die folgenden Felder automatisch konfiguriert:
- Datenstandort aktivieren ist ausgewählt und kann nicht deaktiviert werden.
- Die Optionen für die Hosting-Gerichtsbarkeit für die Steuerungsebene werden basierend auf der verwendeten Gerichtsbarkeitskonsole gefiltert.
- Alle anderen Regionsauswahlen werden gefiltert, sodass nur Standorte innerhalb der ausgewählten Gerichtsbarkeit für das Hosting der Steuerungsebene angezeigt werden.
Informationen zum Zugriff auf die Gerichtsbarkeitskonsole finden Sie unter Gerichtsbarkeitskonsole Google Cloud und Geteilte Verantwortung in Assured Workloads.
Regionalen Endpunkt verwenden
Verwenden Sie beim Bereitstellen Ihrer Organisation mit dem erweiterten Datenstandort den folgenden regionalen Endpunkt:
apigee.CONTROL_PLANE_LOCATION.rep.googleapis.com
Dabei ist CONTROL_PLANE_LOCATION der physische Standort, an dem die Daten der Apigee-Steuerungsebene gespeichert werden. Eine Liste der verfügbaren Standorte der Steuerungsebene finden Sie unter Regionale Endpunkte für erweiterten Datenstandort verwenden.
Während der Bereitstellung sind Sie für die Auswahl der entsprechenden Werte verantwortlich. Wenn Sie einen Standort verwenden, der durch die geltenden Organisationsrichtlinien verboten ist, erhalten Sie den Fehler Permission Denied.
Mit dem folgenden Befehl wird beispielsweise eine Apigee-Organisation in der US-Region mit aktivierter CMEK erstellt. Weitere Informationen finden Sie unter Apigee Organizations API.
curl "https://apigee.us.rep.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" \
-X POST
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{
"name": "$PROJECT_ID",
"runtimeType": "CLOUD", # Hybrid organizations aren't supported
"billingType": "$BILLING_TYPE", # Eval organizations aren't supported
"controlPlaneEncryptionKeyName" : "'"$CONTROL_PLANE_KEY_ID"'",
"apiConsumerDataLocation" : "'"$CONSUMER_DATA_REGION"'", # Must be single region in US
"apiConsumerDataEncryptionKeyName" : "'"$CONSUMER_DATA_KEY_ID"'",
"authorizedNetwork" : "'"$NETWORK_NAME"'", # Must be created in the US region
"runtimeDatabaseEncryptionKeyName" : "'"$RUNTIMEDB_KEY_ID"'"
}'
CMEK-Schlüssel mit externem Schutzniveau mit der gcloud CLI erstellen
Wenn Sie Ihre Apigee-Organisation mit erweitertem Datenstandort in der EU-Region bereitstellen, müssen Sie CMEK-Schlüssel (Customer-Managed Encryption Keys) mit dem Schutzlevel extern erstellen. Sie müssen die Google Cloud CLI verwenden, um die CMEK-Schlüssel zu erstellen, da die Gerichtsbarkeitskonsole der EU die Einrichtung von extern gesicherten CMEK-Schlüsseln nicht unterstützt. Außerdem müssen Sie einen External Key Manager (EKM) einrichten.
So erstellen Sie die CMEK-Schlüssel und richten ein EKM ein:
EKM einrichten
Die für die EU-Region erstellten CMEK-Schlüssel müssen mit dem externen Schutzniveau erstellt werden. Dazu müssen Sie ein EKM einrichten. Folgen Sie der Anleitung in den folgenden Abschnitten, um ein EKM einzurichten:
CMEK-Schlüssel für die EU-Region erstellen
Erstellen Sie die folgenden CMEK-Schlüssel, die für die EU-Region erforderlich sind, mit den unten beschriebenen gcloud CLI-Befehlen:
- Verschlüsselungsschlüssel der Steuerungsebene
- Verschlüsselungsschlüssel für API-Nutzerdaten
- Verschlüsselungsschlüssel der Laufzeitdatenbank
- Verschlüsselungsschlüssel des Laufzeitlaufwerks
Weitere Informationen zum Erstellen von CMEK-Schlüsseln finden Sie unter Apigee-Verschlüsselungsschlüssel.
Wiederholen Sie die folgenden Schritte, um jeden der erforderlichen CMEK-Schlüssel zu erstellen:
- Erstellen Sie mit dem folgenden Befehl einen Schlüsselbund in der EU-Region:
gcloud kms keyrings create DATA_KEY_RING \ --location LOCATION \ --project=PROJECT_ID - Erstellen Sie mit dem folgenden Befehl einen externen Schlüssel:
gcloud kms keys create DATA_KEY_NAME \ --keyring=DATA_KEY_RING \ --location LOCATION \ --purpose encryption \ --protection-level external \ --skip-initial-version-creation \ --default-algorithm external-symmetric-encryption \ --project PROJECT_ID - Erstellen Sie mit dem folgenden Befehl eine Schlüsselversion, die auf das im vorherigen Schritt eingerichtete EKM verweist:
gcloud kms keys versions create \ --key DATA_KEY_NAME \ --keyring DATA_KEY_RING \ --location LOCATION \ --external-key-uri "EKM_URI" \ --primary \ --project PROJECT_ID - Gewähren Sie dem Apigee-Dienst-Agent mit dem folgenden Befehl Berechtigungen:
gcloud kms keys add-iam-policy-binding DATA_KEY_NAME \ --location LOCATION \ --keyring DATA_KEY_RING \ --member serviceAccount:service-$(gcloud projects describe $project --format="value(projectNumber)")@gcp-sa-apigee.iam.gserviceaccount.com \ --role roles/cloudkms.cryptoKeyEncrypterDecrypter \ --project PROJECT_ID
Wobei:
- DATA_KEY_RING: Der Name des Schlüsselbunds der Steuerungsebene, der API-Nutzerdaten, der Laufzeitdatenbank oder des Laufzeitlaufwerks.
- DATA_KEY_NAME: Der Name des Schlüssels für die Steuerungsebene, API-Nutzerdaten, Laufzeitdatenbank oder Laufzeitlaufwerk.
- LOCATION: Der Cloud KMS-Speicherort des Schlüsselbunds. Legen Sie diesen Wert so fest:
- Legen Sie für „Verschlüsselungsschlüssel der Steuerungsebene“ einen der folgenden Schlüssel für mehrere Regionen fest:
usodereurope. - Legen Sie für den Datenverschlüsselungsschlüssel für API-Nutzer, den Laufzeit-Datenbankverschlüsselungsschlüssel und den Laufzeit-Laufwerkverschlüsselungsschlüssel einen der folgenden Schlüssel für einzelne Regionen fest:
europe-*oderus-*. Zum Beispieleurope-west1,us-central1usw.
- Legen Sie für „Verschlüsselungsschlüssel der Steuerungsebene“ einen der folgenden Schlüssel für mehrere Regionen fest:
- EKM_URI: Der EKM-URI.
- PROJECT_ID: Die Google Cloud Projekt-ID.
gcloud CLI für die Verwendung des regionalen Endpunkts konfigurieren (optional)
Sie können Ihre Apigee-Organisation mit der gcloud CLI verwalten. Bei den meisten Organisationen erkennt die gcloud CLI automatisch den entsprechenden regionalen Endpunkt. Das funktioniert nahtlos, wenn der Name Ihrer Apigee-Organisation mit dem Google Cloud Projektnamen übereinstimmt.
In einigen Fällen stimmen die Namen jedoch möglicherweise nicht überein. Wenn Sie beispielsweise die Apigee-Organisation von einem Google Cloud Projekt in ein anderes migriert haben, können sich die Namen der Apigee-Organisation und des Google Cloud Projekts, in dem sie sich befindet, unterscheiden. In diesem Fall müssen Sie bei der Verwendung der gcloud CLI einen der folgenden Schritte ausführen:
- Übergeben Sie das Flag
--organizationmit jedem gcloud CLI-Befehl, um die Zielorganisation für Apigee anzugeben. - Konfigurieren Sie die gcloud CLI so, dass der Apigee-Endpunkt überschrieben wird und für alle Befehle der neue regionale Endpunkt verwendet wird.
Wenn Sie beispielsweise den regionalen Endpunkt für die USA verwenden möchten, lautet der gcloud CLI-Befehl so:
gcloud config set api_endpoint_overrides/apigee https://apigee.us.rep.googleapis.com/
Standort der Steuerungsebene für eine Organisation ansehen
Wenn Sie Ihre Organisation (PROJECT_ID) bereits für die Verwendung mit dem Datenstandort bereitgestellt haben, können Sie mit der getProjectMapping API den einem Projekt zugeordneten Standort der Steuerungsebene so aufrufen:
- So autorisieren Sie gcloud mit Ihren Google-Nutzeranmeldedaten, um auf die Cloud Platform zuzugreifen:
gcloud auth login
- Rufen Sie die getProjectMapping API auf.
Da auf Metadaten und nicht auf den Hauptinhalt des Kunden zugegriffen wird, können Sie den globalen oder regionalen Endpunkt verwenden, um die API aufzurufen. Im folgenden Befehl wird der globale Endpunkt verwendet:
curl -X GET https://apigee.googleapis.com/v1/organizations/PROJECT_ID:getProjectMapping \ -H "Authorization: Bearer $(gcloud auth print-access-token)"Dabei ist PROJECT_ID der Name Ihrer Apigee-Organisation.
Im Folgenden finden Sie ein Beispiel für die Antwort:
{ "organization": "my-project", "projectIds": [ "my-project" ], "projectId": "my-project" "location": "us" }
Apigee-Organisation migrieren, um den erweiterten Datenstandort zu unterstützen
So migrieren Sie eine vorhandene Apigee-Organisation, die den Datenstandort im Ruhezustand unterstützt, um den erweiterten Datenstandort zu unterstützen:
- Verschieben Sie dasGoogle Cloud -Projekt, in dem Apigee bereitgestellt wird, in einen Assured Workloads-Ordner. Weitere Informationen finden Sie unter Arbeitslast migrieren.
- Wenn Sie Ihre Apigee-Organisation erstellt haben, bevor die erweiterte Datenlokalisierung allgemein verfügbar war, müssen Sie Ihre globalen Netzwerkressourcen neu konfigurieren, um sie in die erforderliche Gerichtsbarkeit zu migrieren. Ansonsten können Sie diesen Schritt überspringen.