Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Menyediakan residensi data untuk organisasi Anda

Dokumen ini menjelaskan cara menyediakan organisasi Apigee Anda dengan residen data saat tidak aktif saja atau dengan residen data lanjutan.

Lihat juga Pengantar residensi data.

Menyediakan organisasi Anda dengan residensi data saat tidak aktif saja

Sebagai admin Apigee, untuk menyediakan organisasi Anda dengan residensi data saat tidak aktif saja, untuk membatasi tempat penyimpanan data, gunakan salah satu opsi penyediaan organisasi berbayar yang tersedia. Pastikan untuk mencentang kotak Aktifkan residensi data selama penyediaan.

Menyediakan organisasi Anda dengan residensi data lanjutan

Sebagai admin Apigee, untuk menyediakan organisasi Anda dengan residensi data lanjutan, termasuk penyimpanan data (saat tidak aktif), pemrosesan (saat digunakan), dan transmisi (saat dikirim), Anda harus melakukan langkah-langkah berikut.

#	Langkah	Deskripsi	Dilakukan oleh
1	Membuat folder Assured Workloads	Buat folder Assured Workload di organisasi Google Cloud Anda untuk menetapkan dan menerapkan kebijakan organisasi yang diperlukan yang membatasi penggunaan resource hanya di lokasi yang diizinkan.	Google Cloud admin dengan izin Administrasi Assured Workloads
2	Menyediakan dengan residensi data lanjutan	Sediakan organisasi berbayar Anda dengan residensi data lanjutan menggunakan salah satu opsi penyediaan organisasi berbayar yang tersedia. Anda harus menggunakan konsol wilayah hukum untuk mengakses UI Apigee atau endpoint regional untuk mengakses Apigee API berdasarkan lokasi bidang kontrol Anda.	Admin Organisasi Apigee

Membuat folder Assured Workload

Catatan: Anda harus menjadi Google Cloud admin dengan izin Administrasi Assured Workloads untuk menyiapkan folder Assured Workload.

Assured Workloads memungkinkan organisasi menerapkan dan memberlakukan kontrol peraturan, regional, dan kedaulatan pada Google Cloud resource.

Menggunakan Google Cloud console, Anda membuat folder Assured Workloads diorganisasi Anda dan memilih paket kontrol berdasarkan persyaratan peraturan Anda. Google Cloud Paket kontrol adalah kumpulan kontrol yang, jika digabungkan, mendukung dasar untuk framework kepatuhan, undang-undang, atau peraturan. Paket kontrol menetapkan dan menerapkan batasan kebijakan organisasi yang diperlukan untuk:

Membatasi penggunaan resource hanya untuk produk yang didukung
Mengizinkan pembuatan atau penggunaan resource hanya di lokasi yang diizinkan

Untuk mengetahui informasi selengkapnya tentang Assured Workloads, lihat Ringkasan Assured Workloads.

Menyediakan dengan residensi data lanjutan

Catatan: Anda harus menjadi admin Organisasi Apigee untuk menyediakan organisasi berbayar dengan residensi data lanjutan.

Sebagai admin Apigee, saat menyediakan organisasi berbayar Anda menggunakan salah satu opsi penyediaan , Anda harus menggunakan konsol wilayah hukum untuk mengakses UI Apigee atau endpoint regional saat menggunakan CLI.

Menggunakan konsol wilayah hukum

Saat menyediakan organisasi Anda dengan residensi data lanjutan, Anda harus menggunakan konsol wilayah hukum berbasis lokasi untuk mengakses UI Apigee. Saat menyediakan organisasi Apigee menggunakan konsol wilayah hukum, kolom berikut akan dikonfigurasi secara otomatis:

Aktifkan residensi data dipilih (dan tidak dapat dibatalkan)
Opsi Yurisdiksi hosting bidang kontrol difilter berdasarkan konsol wilayah hukum yang digunakan
Semua pemilih region lainnya difilter untuk hanya menampilkan lokasi dalam yurisdiksi hosting bidang kontrol yang dipilih

Untuk mengetahui informasi tentang cara mengakses konsol wilayah hukum, lihat Jurisdictional Google Cloud console dan Tanggung jawab bersama di Assured Workloads.

Menggunakan endpoint regional

Saat menyediakan organisasi Anda dengan residensi data lanjutan, gunakan endpoint regional berikut:

apigee.CONTROL_PLANE_LOCATION.rep.googleapis.com

Dengan CONTROL_PLANE_LOCATION adalah lokasi fisik tempat data bidang kontrol Apigee akan disimpan. Untuk mengetahui daftar lokasi bidang kontrol yang tersedia, lihat Menggunakan endpoint regional untuk residensi data lanjutan.

Selama penyediaan, Anda bertanggung jawab untuk memilih nilai yang sesuai. Jika Anda menggunakan lokasi yang dilarang oleh kebijakan organisasi yang berlaku, Anda akan menerima error Permission Denied.

Misalnya, perintah berikut membuat organisasi Apigee di region AS dengan CMEK diaktifkan. Lihat juga Apigee organizations API.

curl "https://apigee.us.rep.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" \
  -X POST
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Content-Type: application/json" \
  -d '{
    "name": "$PROJECT_ID",
    "runtimeType": "CLOUD", # Hybrid organizations aren't supported
    "billingType": "$BILLING_TYPE", # Eval organizations aren't supported
    "controlPlaneEncryptionKeyName" : "'"$CONTROL_PLANE_KEY_ID"'",
    "apiConsumerDataLocation" : "'"$CONSUMER_DATA_REGION"'",  # Must be single region in US
    "apiConsumerDataEncryptionKeyName" : "'"$CONSUMER_DATA_KEY_ID"'",
    "authorizedNetwork" : "'"$NETWORK_NAME"'", # Must be created in the US region
    "runtimeDatabaseEncryptionKeyName" : "'"$RUNTIMEDB_KEY_ID"'"
  }'

Cara membuat kunci CMEK dengan tingkat perlindungan eksternal menggunakan gcloud CLI

Saat menyediakan organisasi Apigee Anda dengan residensi data lanjutan di region Uni Eropa, Anda harus membuat kunci enkripsi yang dikelola pelanggan (CMEK) dengan tingkat perlindungan eksternal. Anda harus menggunakan Google Cloud CLI untuk membuat kunci CMEK karena konsol wilayah hukum Uni Eropa tidak mendukung penyiapan kunci CMEK yang didukung secara eksternal. Selain itu, Anda harus menyiapkan External Key Manager (EKM).

Untuk membuat kunci CMEK dan menyiapkan EKM, ikuti langkah-langkah yang dijelaskan di bagian berikut:

Menyiapkan EKM
Membuat kunci CMEK

Menyiapkan EKM

Kunci CMEK yang dibuat untuk region Uni Eropa harus dibuat dengan tingkat perlindungan eksternal, yang mengharuskan Anda menyiapkan EKM. Untuk menyiapkan EKM, ikuti petunjuk yang diberikan di bagian berikut:

Membuat kunci CMEK untuk region Uni Eropa

Buat kunci CMEK berikut yang diperlukan untuk region Uni Eropa menggunakan perintah gcloud CLI yang dijelaskan di bawah:

Kunci enkripsi bidang kontrol
Kunci enkripsi data konsumen API
Kunci enkripsi database runtime
Kunci enkripsi disk runtime

Untuk mengetahui informasi selengkapnya tentang pembuatan kunci CMEK, lihat Tentang kunci enkripsi Apigee.

Ulangi langkah-langkah berikut untuk membuat setiap kunci CMEK yang diperlukan:

Buat key ring di region Uni Eropa menggunakan perintah berikut:

gcloud kms keyrings create DATA_KEY_RING \
      --location LOCATION \
      --project=PROJECT_ID

Buat kunci eksternal menggunakan perintah berikut:

gcloud kms keys create DATA_KEY_NAME \
      --keyring=DATA_KEY_RING \
      --location LOCATION \
      --purpose encryption \
      --protection-level external \
      --skip-initial-version-creation \
      --default-algorithm external-symmetric-encryption \
      --project PROJECT_ID

Buat versi kunci yang mengarah ke penyiapan EKM pada langkah sebelumnya menggunakan perintah berikut:

gcloud kms keys versions create \
  --key DATA_KEY_NAME \
  --keyring DATA_KEY_RING \
  --location LOCATION \
  --external-key-uri "EKM_URI" \
  --primary \
  --project PROJECT_ID

Berikan izin kepada agen layanan Apigee menggunakan perintah berikut:

gcloud kms keys add-iam-policy-binding DATA_KEY_NAME \
      --location LOCATION \
      --keyring DATA_KEY_RING \
      --member serviceAccount:service-$(gcloud projects describe $project --format="value(projectNumber)")@gcp-sa-apigee.iam.gserviceaccount.com \
      --role roles/cloudkms.cryptoKeyEncrypterDecrypter \
      --project PROJECT_ID

Dengan:

DATA_KEY_RING: Nama key ring bidang kontrol, data konsumen API, database runtime, atau disk runtime.
DATA_KEY_NAME: Nama kunci bidang kontrol, data konsumen API, database runtime, atau disk runtime.
LOCATION: Lokasi Cloud KMS key ring. Tetapkan nilai ini sebagai berikut:
- Untuk Kunci enkripsi bidang kontrol, tetapkan ke salah satu kunci multi-region berikut: us atau europe.
- Untuk Kunci enkripsi data konsumen API, kunci enkripsi database runtime, dan kunci enkripsi disk runtime, tetapkan ke salah satu kunci satu region berikut: europe-* atau us-*. Misalnya, europe-west1, us-central1, dan sebagainya.
EKM_URI: URI EKM.
PROJECT_ID: ID Google Cloud project.

Mengonfigurasi gcloud CLI untuk menggunakan endpoint regional (Opsional)

Anda dapat mengelola organisasi Apigee menggunakan gcloud CLI. Untuk sebagian besar organisasi, gcloud CLI akan otomatis mendeteksi endpoint regional yang sesuai. Hal ini berfungsi dengan lancar jika nama organisasi Apigee Anda cocok dengan Google Cloud nama project.

Namun, dalam beberapa kasus, nama mungkin tidak cocok. Misalnya, jika Anda memigrasikan organisasi Apigee dari satu Google Cloud project ke project lain, nama organisasi Apigee dan Google Cloud project tempatnya berada mungkin berbeda. Dalam hal ini, Anda harus melakukan salah satu hal berikut saat menggunakan gcloud CLI:

Teruskan flag --organization dengan setiap perintah gcloud CLI untuk menentukan organisasi Apigee target.
Konfigurasikan gcloud CLI untuk mengganti endpoint Apigee dan memaksa semua perintah untuk menggunakan endpoint regional baru.
Misalnya, untuk menggunakan endpoint regional AS, perintah gcloud CLI adalah sebagai berikut:

gcloud config set api_endpoint_overrides/apigee https://apigee.us.rep.googleapis.com/

Melihat lokasi bidang kontrol untuk organisasi

Jika telah menyediakan organisasi (PROJECT_ID) untuk digunakan dengan residensi data, Anda dapat menggunakan getProjectMapping API untuk melihat lokasi bidang kontrol yang terkait dengan project dengan melakukan langkah-langkah berikut:

Izinkan gcloud untuk mengakses Cloud Platform dengan kredensial pengguna Google Anda:
```
gcloud auth login
```
Panggil getProjectMapping API.
Karena informasi yang diakses adalah metadata dan bukan konten inti pelanggan, Anda dapat menggunakan endpoint global atau regional untuk memanggil API. Perintah berikut menggunakan endpoint global:
```
curl -X GET https://apigee.googleapis.com/v1/organizations/PROJECT_ID:getProjectMapping \
    -H "Authorization: Bearer $(gcloud auth print-access-token)"
```
Dengan PROJECT_ID adalah nama organisasi Apigee Anda.

Berikut adalah contoh respons:
```
{
  "organization": "my-project",
  "projectIds": [
    "my-project"
  ],
  "projectId": "my-project"
  "location": "us"
}
```

Memigrasikan organisasi Apigee untuk mendukung residensi data lanjutan

Untuk memigrasikan organisasi Apigee yang ada yang mendukung residensi data saat tidak aktif ke mendukung residensi data lanjutan, lakukan hal berikut:

Pindahkan Google Cloud project tempat Apigee disediakan ke folder Assured Workload. Untuk mengetahui informasi selengkapnya, lihat Memigrasikan workload.
Jika Anda membuat organisasi Apigee sebelum residensi data lanjutan tersedia secara umum, Anda harus mengonfigurasi ulang resource jaringan global untuk memigrasikannya ke dalam yurisdiksi yang diperlukan. Jika tidak, Anda dapat melewati langkah ini.