Eseguire il provisioning della tua organizzazione con la residenza dei dati

Questo documento descrive come eseguire il provisioning dell'organizzazione Apigee con la residenza dei dati at-rest o con la residenza dei dati avanzata.

Consulta anche Introduzione alla residenza dei dati.

Eseguire il provisioning dell'organizzazione con la residenza dei dati a riposo

In qualità di amministratore Apigee, per eseguire il provisioning dell'organizzazione con la residenza dei dati at-rest, in modo da limitare la posizione in cui vengono archiviati i dati, utilizza una delle opzioni di provisioning dell'organizzazione a pagamento disponibili . Assicurati di selezionare la casella di controllo Abilita la residenza dei dati durante il provisioning.

Eseguire il provisioning dell'organizzazione con la residenza dei dati avanzata

In qualità di amministratore Apigee, per eseguire il provisioning dell'organizzazione con la residenza dei dati avanzata, inclusi l'archiviazione dei dati (a riposo), l'elaborazione (in uso) e la trasmissione (in transito), devi seguire questi passaggi.

Crea una cartella Assured Workloads

Assured Workloads consente alle organizzazioni di applicare e applicare controlli normativi, regionali e di sovranità sulle Google Cloud risorse.

Utilizzando la Google Cloud console, puoi creare una cartella Assured Workloads nella tua Google Cloud organizzazione e selezionare un pacchetto di controllo in base ai requisiti normativi. Un pacchetto di controllo è un insieme di controlli che, combinati insieme, supportano la base di riferimento per un framework di conformità , una legge o un regolamento. Il pacchetto di controllo imposta e applica i vincoli delle policy dell'organizzazione richiesti organizzazione policy constraints per:

• Limitare l'utilizzo delle risorse solo ai prodotti supportati
• Consentire la creazione o l'utilizzo di risorse solo nelle località consentite

Per saperne di più su Assured Workloads, consulta Panoramica di Assured Workloads.

Esegui il provisioning con la residenza dei dati avanzata

In qualità di amministratore Apigee, quando esegui il provisioning della tua organizzazione a pagamento utilizzando una delle opzioni di provisioning, devi utilizzare la console giurisdizionale per accedere all'interfaccia utente di Apigee o all'endpoint regionale quando utilizzi l'interfaccia a riga di comando.

Utilizza la console giurisdizionale

Quando esegui il provisioning dell'organizzazione con la residenza dei dati avanzata, devi utilizzare la console giurisdizionale basata sulla località per accedere all'interfaccia utente di Apigee. Quando esegui il provisioning dell'organizzazione Apigee utilizzando la console giurisdizionale, i seguenti campi vengono configurati automaticamente:

• Abilita la residenza dei dati è selezionato (e non può essere deselezionato)
• Le opzioni di giurisdizione di hosting del control plane vengono filtrate in base alla console giurisdizionale in uso
• Tutti gli altri selettori di regioni vengono filtrati in modo da mostrare solo le località all'interno della giurisdizione di hosting del control plane selezionata

Per informazioni su come accedere alla console giurisdizionale, consulta Console Google Cloud giurisdizionale e Responsabilità condivisa in Assured Workloads.

Utilizza l'endpoint regionale

Quando esegui il provisioning dell'organizzazione con la residenza dei dati avanzata, utilizza il seguente endpoint regionale:

apigee.CONTROL_PLANE_LOCATION.rep.googleapis.com

Dove CONTROL_PLANE_LOCATION è la posizione fisica in cui verranno archiviati i dati del control plane Apigee. Per un elenco delle località del control plane disponibili, consulta Utilizzare gli endpoint regionali per la residenza dei dati avanzata.

Durante il provisioning, sei responsabile della selezione dei valori appropriati. Se utilizzi una località vietata dalle policy dell'organizzazione in vigore, riceverai un errore Permission Denied.

Ad esempio, il seguente comando crea un'organizzazione Apigee nella regione Stati Uniti con CMEK abilitata. Consulta anche API delle organizzazioni Apigee.

curl "https://apigee.us.rep.googleapis.com/v1/organizations?parent=projects/$PROJECT_ID" \
  -X POST
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Content-Type: application/json" \
  -d '{
    "name": "$PROJECT_ID",
    "runtimeType": "CLOUD", # Hybrid organizations aren't supported
    "billingType": "$BILLING_TYPE", # Eval organizations aren't supported
    "controlPlaneEncryptionKeyName" : "'"$CONTROL_PLANE_KEY_ID"'",
    "apiConsumerDataLocation" : "'"$CONSUMER_DATA_REGION"'",  # Must be single region in US
    "apiConsumerDataEncryptionKeyName" : "'"$CONSUMER_DATA_KEY_ID"'",
    "authorizedNetwork" : "'"$NETWORK_NAME"'", # Must be created in the US region
    "runtimeDatabaseEncryptionKeyName" : "'"$RUNTIMEDB_KEY_ID"'"
  }'

Come creare chiavi CMEK con livello di protezione esterno utilizzando gcloud CLI

Quando esegui il provisioning dell'organizzazione Apigee con la residenza dei dati avanzata nella regione UE, devi creare chiavi di crittografia gestite dal cliente (CMEK) con livello di protezione esterno. Devi utilizzare Google Cloud CLI per creare le chiavi CMEK perché la console giurisdizionale dell'UE non supporta la configurazione di chiavi CMEK con backup esterno. Inoltre, dovrai configurare un gestore di chiavi esterno (EKM).

Per creare le chiavi CMEK e configurare un EKM, segui i passaggi descritti nelle sezioni seguenti:

• Configura un EKM
• Crea le chiavi CMEK

Configura un EKM

Le chiavi CMEK create per la regione UE devono essere create con livello di protezione esterno, il che richiede la configurazione di un EKM. Per configurare un EKM, segui le istruzioni fornite nelle sezioni seguenti:

• Cloud External Key Manager
• Configura Cloud EKM tramite internet

Crea le chiavi CMEK per la regione UE

Crea le seguenti chiavi CMEK richieste per la regione UE utilizzando i comandi gcloud CLI descritti di seguito:

• Chiave di crittografia del control plane
• Chiave di crittografia dei dati dei consumatori di API
• Chiave di crittografia del database di runtime
• Chiave di crittografia del disco di runtime

Per saperne di più sulla creazione delle chiavi CMEK, consulta Informazioni sulle chiavi di crittografia Apigee.

Ripeti i seguenti passaggi per creare ciascuna delle chiavi CMEK richieste:

1. Crea un portachiavi nella regione UE utilizzando il seguente comando:
   

   gcloud kms keyrings create DATA_KEY_RING \
         --location LOCATION \
         --project=PROJECT_ID
       

2. Crea una chiave esterna utilizzando il seguente comando:
   

   gcloud kms keys create DATA_KEY_NAME \
         --keyring=DATA_KEY_RING \
         --location LOCATION \
         --purpose encryption \
         --protection-level external \
         --skip-initial-version-creation \
         --default-algorithm external-symmetric-encryption \
         --project PROJECT_ID
       

3. Crea una versione della chiave che rimandi all'EKM configurato nel passaggio precedente utilizzando il seguente comando:
   

   gcloud kms keys versions create \
     --key DATA_KEY_NAME \
     --keyring DATA_KEY_RING \
     --location LOCATION \
     --external-key-uri "EKM_URI" \
     --primary \
     --project PROJECT_ID
       

4. Concedi le autorizzazioni all'agente di servizio Apigee utilizzando il seguente comando:
   

   gcloud kms keys add-iam-policy-binding DATA_KEY_NAME \
         --location LOCATION \
         --keyring DATA_KEY_RING \
         --member serviceAccount:service-$(gcloud projects describe $project --format="value(projectNumber)")@gcp-sa-apigee.iam.gserviceaccount.com \
         --role roles/cloudkms.cryptoKeyEncrypterDecrypter \
         --project PROJECT_ID
       

Dove:

• DATA_KEY_RING: il nome del portachiavi del control plane, dei dati dei consumatori di API, database di runtime o del disco di runtime.
• DATA_KEY_NAME: il nome della chiave del control plane, dei dati dei consumatori di API, database di runtime o del disco di runtime.
• LOCATION: la posizione di Cloud KMS delle chiavi automatizzate. Imposta questo valore come segue:
  • Per la chiave di crittografia del control plane, imposta una delle seguenti chiavi multiregionali: us o europe.
  • Per la chiave di crittografia dei dati dei consumatori di API, la chiave di crittografia del database di runtime e la chiave di crittografia del disco di runtime, imposta una delle seguenti chiavi a regione singola: europe-* o us-*. Ad esempio, europe-west1, us-central1 e così via.
• EKM_URI: l'URI EKM.
• PROJECT_ID: l' Google Cloud ID progetto.

Configura gcloud CLI per utilizzare l'endpoint regionale (facoltativo)

Puoi gestire la tua organizzazione Apigee utilizzando gcloud CLI. Per la maggior parte delle organizzazioni, il gcloud CLI rileva automaticamente l'endpoint regionale appropriato. Questa operazione funziona senza problemi se il nome dell'organizzazione Apigee corrisponde al Google Cloud nome del progetto.

In alcuni casi, tuttavia, i nomi potrebbero non corrispondere. Ad esempio, se hai eseguito la migrazione dell'organizzazione Apigee da un Google Cloud progetto a un altro, i nomi dell'organizzazione Apigee e del Google Cloud progetto in cui risiede potrebbero essere diversi. In questo caso, quando utilizzi gcloud CLI, devi eseguire una delle seguenti operazioni:

• Trasmetti il flag --organization con ogni comando gcloud CLI per specificare l'organizzazione Apigee di destinazione.
• Configura gcloud CLI per sostituire l'endpoint Apigee e forzare tutti i comandi a utilizzare il nuovo endpoint regionale.

  Ad esempio, per utilizzare l'endpoint regionale Stati Uniti, il comando gcloud CLI è il seguente:
  
  gcloud config set api_endpoint_overrides/apigee https://apigee.us.rep.googleapis.com/

Visualizzare la località del control plane per un'organizzazione

Se hai già eseguito il provisioning della tua organizzazione (PROJECT_ID) per l'utilizzo con la residenza dei dati, puoi utilizzare l' API getProjectMapping per visualizzare la località del control plane associata a un progetto seguendo questi passaggi:

1. Autorizza gcloud ad accedere a piattaforma Cloud con le tue Google user credentials:

   gcloud auth login

2. Chiama l'API getProjectMapping.

   Poiché le informazioni a cui si accede sono metadati e non contenuti principali del cliente, puoi utilizzare l'endpoint globale o regionale per chiamare l'API. Il seguente comando utilizza l' endpoint globale:

   curl -X GET https://apigee.googleapis.com/v1/organizations/PROJECT_ID:getProjectMapping \
       -H "Authorization: Bearer $(gcloud auth print-access-token)"

   Dove PROJECT_ID è il nome dell'organizzazione Apigee.

   Di seguito è riportato un esempio della risposta:

   {
     "organization": "my-project",
     "projectIds": [
       "my-project"
     ],
     "projectId": "my-project"
     "location": "us"
   }

Eseguire la migrazione di un'organizzazione Apigee per supportare la residenza dei dati avanzata

Per eseguire la migrazione di un'organizzazione Apigee esistente che supporta la residenza dei dati at-rest per supportare la residenza dei dati avanzata:

1. Sposta il Google Cloud progetto in cui è stato eseguito il provisioning di Apigee in una cartella Assured Workloads. Per saperne di più, consulta Eseguire la migrazione di un workload.
2. Se hai creato l'organizzazione Apigee prima che la residenza dei dati avanzata fosse disponibile a livello generale, dovrai riconfigurare le risorse di rete globali per eseguirne la migrazione all'interno della giurisdizione richiesta. In caso contrario, ignora questo passaggio.