הקצאת נתוני הארגון למיקום גיאוגרפי

במאמר הזה מוסבר איך להקצות לארגון Apigee נתונים במצב מנוחה בלבד או נתונים באחסון מתקדם.

אפשר גם לעיין במאמר מבוא למיקום הנתונים.

הקצאת נתונים באחסון בלבד לארגון

אדמינים ב-Apigee יכולים להשתמש באחת מאפשרויות ההקצאה בתשלום לארגון כדי להקצות לארגון שלהם נתונים שמוגבלים למיקום מסוים באחסון בלבד. חשוב לסמן את תיבת הסימון הפעלת שמירת נתונים במדינה במהלך הקצאת ההרשאות.

הקצאת מיקום אחסון מתקדם של נתונים לארגון

כדי להקצות לארגון שלכם משאבים עם תכונות מתקדמות של שמירת נתונים, כולל אחסון נתונים (במנוחה), עיבוד (בשימוש) והעברה (בזמן העברה), אתם צריכים לבצע את השלבים הבאים כאדמינים ב-Apigee.

# שלב תיאור בביצוע של
1 יצירת תיקיית Assured Workloads יוצרים תיקייה של עומס עבודה מאובטח בארגון Google Cloud כדי להגדיר ולאכוף את מדיניות הארגון הנדרשת, שמגבילה את השימוש במשאבים רק במיקומים מורשים. Google Cloud אדמין עם הרשאה לניהול Assured Workloads
2 הקצאת משתמשים עם מיקום מתקדם של נתונים כדי להקצות לארגון בתשלום שלכם אחסון נתונים מתקדם, אתם יכולים להשתמש באחת מאפשרויות ההקצאה שזמינות לארגונים בתשלום.

כדי לגשת לממשק המשתמש של Apigee או לנקודת קצה אזורית של ממשקי ה-API של Apigee, צריך להשתמש במסוף לפי תחום שיפוט, בהתאם למיקום של מישור הבקרה.

אדמין של ארגון Apigee

יצירת תיקיית Assured Workloads

הערה: כדי להגדיר תיקיית Assured Workloads, אתם צריכים להיות אדמינים Google Cloud עם הרשאת ניהול של Assured Workloads.

התכונה Assured Workloads מאפשרת לארגונים להחיל ולאכוף אמצעי בקרה רגולטוריים, אזוריים וריבוניים על משאבים ב- Google Cloud .

במסוף Google Cloud , יוצרים תיקייה של Assured Workloads בארגון Google Cloud ובוחרים חבילת אמצעי בקרה בהתאם לדרישות הרגולטוריות. חבילת אמצעי בקרה היא קבוצה של אמצעי בקרה, שכשמשלבים אותם יחד הם תומכים בבסיס של מסגרת תאימות, חוק או תקנה. חבילת אמצעי הבקרה מגדירה ואוכפת את האילוצים הנדרשים של מדיניות הארגון:

  • הגבלת השימוש במשאבים רק למוצרים הנתמכים
  • אפשר ליצור משאבים או להשתמש בהם רק במיקומים מורשים

מידע נוסף על Assured Workloads זמין במאמר סקירה כללית על Assured Workloads.

הקצאת הרשאות עם מיקום אחסון נתונים מתקדם

הערה: כדי להקצות לארגון בתשלום מיקום מתקדם של נתונים, אתם צריכים להיות אדמינים של ארגון Apigee.

כאדמינים ב-Apigee, כשאתם מקצים משאבים לארגון בתשלום באמצעות אחת מאפשרויות הקצאת המשאבים, אתם צריכים להשתמש במסוף האזורי כדי לגשת לממשק המשתמש של Apigee או בנקודת הקצה האזורית כשמשתמשים ב-CLI.

שימוש במסוף של סמכות השיפוט

כשמקצים לארגון שלכם אזור גיאוגרפי מתקדם לאחסון נתונים, צריך להשתמש במסוף מבוסס-מיקום כדי לגשת לממשק המשתמש של Apigee. כשמבצעים הקצאת הרשאות לארגון Apigee באמצעות המסוף האזורי, השדות הבאים מוגדרים באופן אוטומטי:

  • האפשרות הפעלת שמירת נתונים באזור מסוים מסומנת (ואי אפשר לבטל את הסימון שלה)
  • אפשרויות האירוח של מישור הבקרה מסוננות על סמך המסוף של סמכות השיפוט שנמצא בשימוש
  • כל כלי הבחירה האחרים של אזורים מסוננים כך שיוצגו רק מיקומים בתחום השיפוט של אירוח מישור הבקרה שנבחר

מידע על גישה למרכז הבקרה של תחום השיפוט זמין במאמרים מרכז הבקרה של תחום השיפוט ואחריות משותפת ב-Assured Workloads. Google Cloud

שימוש בנקודת הקצה האזורית

כשמקצים לארגון מיקום מתקדם של נתונים, משתמשים בנקודת הקצה האזורית הבאה:

apigee.CONTROL_PLANE_LOCATION.rep.googleapis.com

CONTROL_PLANE_LOCATION הוא המיקום הפיזי שבו יאוחסנו נתוני מישור הבקרה של Apigee. רשימת המיקומים הזמינים של מישור הבקרה מופיעה במאמר בנושא שימוש בנקודות קצה אזוריות למיקום נתונים מתקדם.

במהלך ההקצאה, אתם אחראים לבחירת הערכים המתאימים. אם משתמשים במיקום שאסור לשימוש לפי מדיניות הארגון שמוגדרת, מוצגת השגיאה Permission Denied.

לדוגמה, הפקודה הבאה יוצרת ארגון Apigee באזור ארה"ב עם הפעלת CMEK. אפשר לעיין גם ב-Apigee organizations API. 

curl "https://apigee.us.rep.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" \
  -X POST
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Content-Type: application/json" \
  -d '{
    "name": "$PROJECT_ID",
    "runtimeType": "CLOUD", # Hybrid organizations aren't supported
    "billingType": "$BILLING_TYPE", # Eval organizations aren't supported
    "controlPlaneEncryptionKeyName" : "'"$CONTROL_PLANE_KEY_ID"'",
    "apiConsumerDataLocation" : "'"$CONSUMER_DATA_REGION"'",  # Must be single region in US
    "apiConsumerDataEncryptionKeyName" : "'"$CONSUMER_DATA_KEY_ID"'",
    "authorizedNetwork" : "'"$NETWORK_NAME"'", # Must be created in the US region
    "runtimeDatabaseEncryptionKeyName" : "'"$RUNTIMEDB_KEY_ID"'"
  }'

איך יוצרים מפתחות CMEK עם רמת הגנה חיצונית באמצעות ה-CLI של gcloud

כשמגדירים את הארגון ב-Apigee עם תכונת השמירה המתקדמת של נתונים באזור האיחוד האירופי, צריך ליצור מפתחות הצפנה בניהול הלקוח (CMEK) עם רמת הגנה חיצונית. חובה להשתמש ב-Google Cloud CLI כדי ליצור את מפתחות ה-CMEK, כי המסוף של האיחוד האירופי לא תומך בהגדרה של מפתחות CMEK עם גיבוי חיצוני. בנוסף, תצטרכו להגדיר מנהל מפתחות חיצוני (EKM).

כדי ליצור את מפתחות ה-CMEK ולהגדיר EKM, פועלים לפי השלבים שמתוארים בקטעים הבאים:

הגדרת EKM

מפתחות ה-CMEK שנוצרו לאזור האיחוד האירופי צריכים להיות ברמת הגנה חיצונית, ולכן צריך להגדיר EKM. כדי להגדיר EKM, פועלים לפי ההוראות שמפורטות בקטעים הבאים:

יצירת מפתחות CMEK לאזור האיחוד האירופי

יוצרים את מפתחות ה-CMEK הבאים שנדרשים לאזור האיחוד האירופי באמצעות פקודות ה-CLI של gcloud שמתוארות בהמשך:

  • מפתח הצפנה של מישור הבקרה
  • מפתח להצפנת נתונים של צרכן API
  • מפתח הצפנה של מסד הנתונים בזמן ריצה
  • מפתח הצפנה של הדיסק בזמן ריצה

מידע נוסף על יצירת מפתחות CMEK זמין במאמר מידע על מפתחות ההצפנה של Apigee.

חוזרים על השלבים הבאים כדי ליצור כל אחד ממפתחות ה-CMEK הנדרשים:

  1. יוצרים אוסף מפתחות באזור האיחוד האירופי באמצעות הפקודה הבאה:
    gcloud kms keyrings create DATA_KEY_RING \
      --location LOCATION \
      --project=PROJECT_ID
  2. יוצרים מפתח חיצוני באמצעות הפקודה הבאה:
    gcloud kms keys create DATA_KEY_NAME \
      --keyring=DATA_KEY_RING \
      --location LOCATION \
      --purpose encryption \
      --protection-level external \
      --skip-initial-version-creation \
      --default-algorithm external-symmetric-encryption \
      --project PROJECT_ID
  3. יוצרים גרסת מפתח שמפנה אל הגדרת ה-EKM מהשלב הקודם באמצעות הפקודה הבאה:
    gcloud kms keys versions create \
  --key DATA_KEY_NAME \
  --keyring DATA_KEY_RING \
  --location LOCATION \
  --external-key-uri "EKM_URI" \
  --primary \
  --project PROJECT_ID
  4. נותנים הרשאות לסוכן השירות של Apigee באמצעות הפקודה הבאה:
    gcloud kms keys add-iam-policy-binding DATA_KEY_NAME \
      --location LOCATION \
      --keyring DATA_KEY_RING \
      --member serviceAccount:service-$(gcloud projects describe $project --format="value(projectNumber)")@gcp-sa-apigee.iam.gserviceaccount.com \
      --role roles/cloudkms.cryptoKeyEncrypterDecrypter \
      --project PROJECT_ID

כאשר:

  • DATA_KEY_RING: השם של מישור הבקרה, נתוני צרכן ה-API, מסד הנתונים של זמן הריצה או מחזיק המפתחות של הדיסק של זמן הריצה.
  • DATA_KEY_NAME: השם של מישור הבקרה, נתוני צרכן ה-API, מסד הנתונים של זמן הריצה או מפתח הדיסק של זמן הריצה.
  • LOCATION: המיקום ב-Cloud KMS שבו נמצא אוסף המפתחות. מגדירים את הערך הזה באופן הבא:
    • בקטע Control plane encryption key (מפתח הצפנה של מישור הבקרה), מגדירים אחד ממפתחות ההצפנה הבאים במספר אזורים: us או europe.
    • למפתח להצפנת נתונים של צרכן API, למפתח להצפנת מסד נתונים בזמן ריצה ולמפתח להצפנת דיסק בזמן ריצה, צריך להגדיר אחד מהמפתחות הבאים של אזור יחיד: europe-* או us-*. לדוגמה, europe-west1,‏ us-central1 וכן הלאה.
  • EKM_URI: ה-URI של EKM.
  • PROJECT_ID: מזהה הפרויקט ב- Google Cloud .

הגדרת ה-CLI של gcloud לשימוש בנקודת הקצה האזורית (אופציונלי)

אתם יכולים לנהל את הארגון שלכם ב-Apigee באמצעות ה-CLI של gcloud. ברוב הארגונים, ה-CLI של gcloud מזהה באופן אוטומטי את נקודת הקצה האזורית המתאימה. הפעולה הזו מתבצעת בצורה חלקה אם שם הארגון שלכם ב-Apigee זהה ל Google Cloud שם הפרויקט.

עם זאת, במקרים מסוימים השמות לא זהים. לדוגמה, אם העברתם את הארגון של Apigee מפרויקט אחד Google Cloud לפרויקט אחר, יכול להיות שהשמות של הארגון של Apigee והפרויקט Google Cloud שבו הוא נמצא יהיו שונים. במקרה כזה, תצטרכו לבצע אחת מהפעולות הבאות כשמשתמשים ב-CLI של gcloud:

  • מעבירים את הדגל --organization עם כל פקודה של ה-CLI של gcloud כדי לציין את ארגון היעד של Apigee.
  • מגדירים את ה-CLI של gcloud כך שיבטל את נקודת הקצה של Apigee ויכריח את כל הפקודות להשתמש בנקודת הקצה האזורית החדשה.

    לדוגמה, כדי להשתמש בנקודת הקצה האזורית בארה"ב, הפקודה ב-CLI של gcloud היא:

    gcloud config set api_endpoint_overrides/apigee https://apigee.us.rep.googleapis.com/

הצגת המיקום של מישור הבקרה בארגון

אם כבר הקציתם לארגון שלכם (PROJECT_ID) משאבים לשימוש במיקום הגיאוגרפי של הנתונים, תוכלו להשתמש ב- getProjectMapping API כדי לראות את המיקום של מישור הבקרה שמשויך לפרויקט. לשם כך, צריך לבצע את השלבים הבאים:

  1. נותנים ל-gcloud הרשאת גישה ל-Cloud Platform באמצעות פרטי הכניסה של המשתמש ב-Google: 
    gcloud auth login
  2. קוראים ל-API של getProjectMapping.

    מכיוון שהמידע שאליו מתבצעת הגישה הוא מטא-נתונים ולא תוכן ליבה של לקוחות, אפשר להשתמש בנקודת הקצה הגלובלית או האזורית כדי לקרוא ל-API. הפקודה הבאה משתמשת בנקודת הקצה הגלובלית:

    curl -X GET https://apigee.googleapis.com/v1/organizations/PROJECT_ID:getProjectMapping \
    -H "Authorization: Bearer $(gcloud auth print-access-token)"

    כאשר PROJECT_ID הוא שם הארגון שלכם ב-Apigee.

    זוהי דוגמה לתגובה:

    {
  "organization": "my-project",
  "projectIds": [
    "my-project"
  ],
  "projectId": "my-project"
  "location": "us"
}

העברת ארגון Apigee לתמיכה במיקום מתקדם של אחסון נתונים

כדי להעביר ארגון קיים ב-Apigee שתומך במיקום אחסון של נתונים במצב מנוחה לתמיכה במיקום אחסון מתקדם של נתונים, צריך לבצע את הפעולות הבאות:

  1. מעבירים אתGoogle Cloud הפרויקט שבו מוקצה Apigee לתיקיית Assured Workloads. מידע נוסף זמין במאמר בנושא העברת עומס עבודה.
  2. אם יצרתם את הארגון שלכם ב-Apigee לפני שהתכונה 'שמירת נתונים מתקדמת' הייתה זמינה לכולם, תצטרכו להגדיר מחדש את משאבי הרשת הגלובליים כדי להעביר אותם לתחום השיפוט הנדרש. אם לא, אפשר לדלג על השלב הזה.