リージョン管理

App Engine はリージョナルです。つまり、アプリを実行するインフラストラクチャは特定のリージョンに配置され、そのリージョン内のすべてのゾーンで冗長的に利用できるように Google が管理しています。設定プロセスで Application Integration の初期プロビジョニングリージョンを選択する以外に、同じ Google Cloud プロジェクト内で統合を作成および管理するための新しいリージョンを有効にすることや、プロビジョニングすることもできます。

このページでは、 Google Cloud プロジェクトで新しい Application Integration リージョンを正常にプロビジョニングし、既存のリージョンを編集するために必要な手順について説明します。

始める前に

次の API を有効にします。

Application Integration API （integrations.googleapis.com）
Connectors API （connectors.googleapis.com）

新しいリージョンをプロビジョニングする

Google Cloud プロジェクトで Application Integration の新しいリージョンをプロビジョニングするには、次のいずれかのオプションを選択します。

コンソール

[Application Integration] ページに移動します。
Application Integration に移動
ナビゲーションメニューで [Regions] をクリックします。
[Regions] ページに、プロジェクトでプロビジョニングされたすべてのリージョンが一覧表示されます。
[Provision new region] をクリックします。
[Provision new region] ページで、次のフィールドを構成します。
1. リージョン: プロビジョニングする新しいリージョンロケーションを選択します。
  サポートされている Application Integration リージョンについては、Application Integration のロケーションをご覧ください。
2. 詳細設定: 必要に応じて、このセクションを開いて、インテグレーションの HTTP アクセスを有効または無効にし、選択したリージョンの暗号化方式を構成します。
  - HTTP: [HTTP を有効にする] 切り替えをクリックして、選択したリージョン内の統合に対する HTTP アクセスを有効にします。有効にすると、このリージョンのインテグレーションに HTTP 経由でアクセスできます。
    注: すべての統合が HTTPS 経由で安全に呼び出されるようにするため、HTTP 切り替えはデフォルトで無効になっています。
  - Google-managed encryption key: デフォルトの暗号化方法です。この方法は、選択したリージョンにあるデータを保護する暗号鍵を Google に管理させる場合に使用します。
  - 顧客管理の暗号鍵（CMEK）: 選択したリージョンでデータを保護する暗号鍵をユーザーが管理する場合にこの方法を使用します。
    注意: Application Integration リージョンの CMEK 暗号化を有効にすると、元に戻すことはできません。また、CMEK が有効になると、リージョンの暗号化方法を変更または切り替えることもできなくなります。
    
    暗号化設定を構成する際に、CMEK の管理には次の 2 つのオプションがあります。アプリケーション統合とコネクタ（CMEK）と統合コネクタに別の CMEK を使用する。
    - Application Integration と Connectors - CMEK: これはデフォルトのオプションで、Application Integration と Integration Connectors の両方に同じ暗号鍵を使用する場合に適しています。このオプションを使用するには、次の手順を行います。
      1. [Cloud KMS 鍵を選択] をクリックし、選択したリージョンで使用可能な既存の CMEK 鍵を選択します。新しい鍵を作成するか、既存の鍵の KMS リソース ID を使用することもできます。
      2. [確認] をクリックして、デフォルトのサービスアカウントに、選択した CMEK 鍵への CryptoKey へのアクセス権があるかどうかを確認します。
      3. 検証に失敗した場合は、[付与] をクリックして、暗号鍵の暗号化/復号 IAM ロールをデフォルトのサービスアカウントに割り当てます。
    - Integration Connectors に異なる CMEK を使用する: Application Integration と Integration Connectors に別々の暗号鍵を使用する場合は、このチェックボックスをオンにします。選択すると、次のオプションが表示されます。
      - Application Integration - CMEK
        
        [Cloud KMS 鍵を選択] をクリックし、選択したリージョンの Application Integration の既存の CMEK 鍵を選択します。または、新しい鍵を作成するか、既存の鍵の鍵のリソース ID を使用することもできます。
        
        [確認] をクリックして、Application Integration の CMEK の設定を完了します。
      - Integration Connectors - CMEK
        
        [Cloud KMS 鍵を選択] をクリックし、選択したリージョンの Integration Connectors の既存の CMEK 鍵を選択します。または、新しい鍵を作成するか、既存の鍵の鍵のリソース ID を使用することもできます。
        
        [確認] をクリックして、デフォルトのサービスアカウントに、選択した CMEK への CryptoKey アクセス権があるかどうかを確認します。
        
        選択した CMEK 鍵の検証に失敗した場合は、[付与] をクリックして、暗号鍵の暗号化/復号 IAM ロールをデフォルトのサービスアカウントに割り当てます。
        
        注: Integration Connectors CMEK が有効になっている場合、Application Integration は、デフォルトのサービスアカウントに選択した CMEK への CryptoKey アクセス権があるかどうかを自動的に確認します。確認に失敗した場合は、このアクセス権を手動で付与する必要があります。
    CMEK の詳細については、顧客管理の暗号鍵をご覧ください。
[完了] をクリックします。

Terraform

google_integrations_client リソースを使用します。次の例では、us-east1 リージョンをプロビジョニングします。

resource "random_id" "default" {
  byte_length = 8
}

resource "google_kms_key_ring" "default" {
  name     = "${random_id.default.hex}-example-keyring"
  location = "us-east1"
}

resource "google_kms_crypto_key" "default" {
  name            = "crypto-key-example"
  key_ring        = google_kms_key_ring.default.id
  rotation_period = "7776000s"
}

resource "google_kms_crypto_key_version" "default" {
  crypto_key = google_kms_crypto_key.default.id
}

resource "google_service_account" "default" {
  account_id   = "service-account-id"
  display_name = "Service Account"
}

resource "google_integrations_client" "example" {
  location                   = "us-east1"
  create_sample_integrations = true
  run_as_service_account     = google_service_account.default.email
  cloud_kms_config {
    kms_location   = "us-east1"
    kms_ring       = basename(google_kms_key_ring.default.id)
    key            = basename(google_kms_crypto_key.default.id)
    key_version    = basename(google_kms_crypto_key_version.default.id)
    kms_project_id = data.google_project.default.project_id
  }
}

リージョンを編集

既存のリージョンを編集して、統合ガバナンスを有効または無効にしたり、リージョンのデータ暗号化方式を更新したりできます。

Application Integration で既存のリージョンを編集する手順は次のとおりです。

Google Cloud コンソールで、[Application Integration] ページに移動します。
Application Integration に移動
ナビゲーションメニューで [リージョン] をクリックします。

[Regions] ページに、Application Integration でプロビジョニングされたリージョンが一覧表示されます。

編集する既存のリージョンについて、[Actions] 列で [Region actions] をクリックし、[Edit] を選択します。
[Edit region] ペインが表示されます。
[詳細設定] を開きます。
選択したリージョンの統合ガバナンスを有効または無効にするには、[ガバナンスを有効にする] をクリックします。
注:
- ガバナンスを有効にして、リージョンでサービスアカウント認証を必須にします。ガバナンスを有効にしたら、このリージョンで作成されたすべての新しい統合と統合バージョンにサービスアカウントを手動で追加する必要があります。統合のサービスアカウントの詳細は、統合ツールバーの [統合の設定] ペインでいつでも変更または更新できます。
  ガバナンスが有効になっている場合、サービスアカウントがアタッチされているサービスインテグレーションのみ公開またはテストできます。
- 選択したリージョンのガバナンスを無効にすると、統合の新しいバージョンが作成されるまで、既存の公開されているすべての統合が、それぞれアタッチされたサービスアカウントを引き続き使用します。
選択したリージョンの統合で HTTP アクセスを有効または無効にするには、[HTTP を有効にする] 切り替えをクリックします。有効にすると、このリージョンのインテグレーションに HTTP 経由でアクセスできます。
変数のマスキングを有効にするには、[変数のマスキング] セクションで、[ログで変数のマスキングを有効にする] 切り替えボタンをクリックします。この機能はプレビューにあります。
マスキングについては、ログ内のセンシティブデータをマスクするをご覧ください。
選択したリージョンで CMEK 暗号化を有効にするには、[顧客管理の暗号鍵（CMEK）] を選択して、次の手順に従います。
1. 使用可能なプルダウンリストから CMEK を選択します。プルダウンリストに表示される CMEK は、プロビジョニングされたリージョンに基づいています。新しい鍵を作成するには、新しい CMEK を作成するをご覧ください。
2. [確認] をクリックして、デフォルトのサービスアカウントに、選択した CMEK への CryptoKey アクセス権があるかどうかを確認します。
3. 選択した CMEK の検証に失敗した場合は、[付与] をクリックして、暗号鍵の暗号化/復号 IAM ロールをデフォルトのサービスアカウントに割り当てます。
Integration Connectors で CMEK 暗号化を有効にするには、[Integration Connectors に別の CMEK を使用する] を選択して、次の操作を行います。
1. 使用可能なプルダウンリストから CMEK を選択します。プルダウンリストに表示される CMEK は、プロビジョニングされたリージョンに基づいています。新しい鍵を作成するには、新しい CMEK を作成するをご覧ください。
2. [確認] をクリックして、Integration Connectors CMEK の設定を完了します。
[完了] をクリックして、リージョンの編集を終了します。