Dentro de un proyecto, los recursos de Cloud Key Management Service se pueden crear en una de las muchas ubicaciones. Representan las regiones geográficas en las que se almacena un recurso de Cloud KMS y a las que se puede acceder. La ubicación de una clave influye en el rendimiento de las aplicaciones que la usan. Algunos recursos, como las claves de Cloud HSM, no están disponibles en todas las ubicaciones.
El material de las claves de Cloud KMS y Cloud HSM se limita a la región seleccionada cuando está en reposo y en uso.
En las siguientes tablas se indican las ubicaciones disponibles para usar en Cloud KMS en diferentes partes del mundo. Puedes filtrar estas ubicaciones por tipo de ubicación, compatibilidad con Cloud HSM y compatibilidad con Cloud EKM:
América
| Nombre de la ubicación | Tipo de ubicación | Descripción de la ubicación | Cloud HSM disponible | Cloud EKM disponible |
|---|---|---|---|---|
ca |
Multirregional | Varias regiones de Canadá | Sí | Sí |
nam3 |
Multirregional | Carolina del Sur y Virginia del Norte | Sí | Sí |
nam4 |
Multirregional | Carolina del Sur, Iowa y Oklahoma | Sí | Sí |
nam6 |
Multirregional | Iowa y Carolina del Sur | Sí | Sí |
nam7 |
Multirregional | Iowa, Oklahoma y Virginia del Norte | Sí | Sí |
nam8 |
Multirregional | Los Ángeles, Oregón y Salt Lake City | Sí | Sí |
nam9 |
Multirregional | Iowa y Virginia del Norte | Sí | Sí |
nam10 |
Multirregional | Iowa, Oklahoma y Salt Lake City | Sí | Sí |
nam11 |
Multirregional | Carolina del Sur, Iowa y Oklahoma | Sí | Sí |
nam12 |
Multirregional | Iowa, Oklahoma, Oregón y Virginia del Norte | Sí | Sí |
northamerica-northeast1 |
Región | Montreal | Sí | Sí |
northamerica-northeast2 |
Región | Toronto | Sí | Sí |
northamerica-south1 |
Región | México | Sí | No |
southamerica-east1 |
Región | São Paulo | Sí | Sí |
southamerica-west1 |
Región | Santiago | Sí | Sí |
us |
Multirregional | Varias regiones de Estados Unidos | Sí | Sí |
us-central1 |
Región | Iowa | Sí | Sí |
us-east1 |
Región | Carolina del Sur | Sí | Sí |
us-east4 |
Región | Norte de Virginia | Sí | Sí |
us-east5 |
Región | Columbus | Sí | Sí |
us-west1 |
Región | Oregón | Sí | Sí |
us-west2 |
Región | Los Ángeles | Sí | Sí |
us-west3 |
Región | Salt Lake City | Sí | Sí |
us-west4 |
Región | Las Vegas | Sí | Sí |
us-south1 |
Región | Dallas | Sí | Sí |
Asia-Pacífico
| Nombre de la ubicación | Tipo de ubicación | Descripción de la ubicación | Cloud HSM disponible | Cloud EKM disponible |
|---|---|---|---|---|
asia |
Multirregional | Varias regiones de Asia | Sí | Sí |
asia1 |
Multirregional | Osaka, Seúl y Tokio | Sí | Sí |
asia-east1 |
Región | Taiwán | Sí | Sí |
asia-east2 |
Región | Hong Kong | Sí | Sí |
asia-northeast1 |
Región | Tokio | Sí | Sí |
asia-northeast2 |
Región | Osaka | Sí | Sí |
asia-northeast3 |
Región | Seúl | Sí | Sí |
asia-south1 |
Región | Bombay | Sí | Sí |
asia-south2 |
Región | Deli | Sí | Sí |
asia-southeast1 |
Región | Singapur | Sí | Sí |
asia-southeast2 |
Región | Yakarta | Sí | Sí |
au |
Multirregional | Varias regiones de Australia | Sí | Sí |
australia-southeast1 |
Región | Sídney | Sí | Sí |
australia-southeast2 |
Región | Melbourne | Sí | Sí |
in |
Multirregional | Varias regiones de la India | Sí | Sí |
Europa, Oriente Medio
y África
| Nombre de la ubicación | Tipo de ubicación | Descripción de la ubicación | Cloud HSM disponible | Cloud EKM disponible |
|---|---|---|---|---|
africa-south1 |
Región | Johannesburgo | Sí | Sí |
de |
Multirregional | Varias regiones de Alemania | Sí | Sí |
eur3 |
Multirregional | Bélgica y Países Bajos | Sí | Sí |
eur4 |
Multirregional | Bélgica, Finlandia y Países Bajos | Sí | Sí |
eur5 |
Multirregional | Bélgica, Londres y Países Bajos | Sí | Sí |
eur6 |
Multirregional | Países Bajos, Fráncfort y Zúrich | Sí | Sí |
eur7 |
Multirregional | Berlín, Fráncfort y Londres | No | Sí |
eur8 |
Multirregional | Berlín, Fráncfort y Zúrich | No | Sí |
europe |
Multirregional | Varias regiones de la Unión Europea1 | Sí | Sí |
europe-central2 |
Región | Varsovia | Sí | Sí |
europe-north1 |
Región | Finlandia | Sí | Sí |
europe-north2 |
Región | Estocolmo | Sí | Sí |
europe-southwest1 |
Región | Madrid | Sí | Sí |
europe-west1 |
Región | Bélgica | Sí | Sí |
europe-west2 |
Región | Londres | Sí | Sí |
europe-west3 |
Región | Fráncfort | Sí | Sí |
europe-west4 |
Región | Países Bajos | Sí | Sí |
europe-west6 |
Región | Zúrich | Sí | Sí |
europe-west8 |
Región | Milán | Sí | Sí |
europe-west9 |
Región | París | Sí | Sí |
europe-west10 |
Región | Berlín | Sí | Sí |
europe-west12 |
Región | Turín | Sí | Sí |
it |
Multirregional | Varias zonas de Italia | Sí | Sí |
me-central1 |
Región | Doha | Sí | Sí |
me-central2 |
Región | Dammam | Sí | Sí |
me-west1 |
Región | Tel Aviv | Sí | Sí |
europe no se almacenan en los centros de datos europe-west2 (Londres) ni europe-west6 (Zúrich).
En todo el mundo
| Nombre de la ubicación | Tipo de ubicación | Descripción de la ubicación | Cloud HSM disponible | Cloud EKM disponible |
|---|---|---|---|---|
global |
Mundial | Sí | No | |
nam-eur-asia1 |
Multirregional | Asia, Europa y Norteamérica (Bélgica, Iowa, Oklahoma y Taiwán) |
Sí | No |
Tipos de ubicaciones de Cloud KMS
Puedes crear recursos de Cloud KMS, Cloud HSM y Cloud EKM en diferentes tipos de ubicaciones de Google Cloud, en función de tus requisitos de disponibilidad. Se añaden ubicaciones con regularidad. Para obtener información específica sobre cada ubicación, consulta Ubicaciones.
Consulta más información sobre cómo elegir el mejor tipo de ubicación.
Cloud KMS ofrece los siguientes tipos de ubicaciones:
- Ubicaciones regionales: los centros de datos de una ubicación regional se encuentran en un lugar geográfico específico. Por ejemplo, un recurso creado en la región
us-central1se encuentra en el centro de Estados Unidos. - Ubicaciones multirregionales: los centros de datos de una ubicación multirregional se reparten por una zona geográfica amplia. Por ejemplo, un recurso creado en la multirregión
europese conserva en varios centros de datos de la Unión Europea. No puedes elegir qué centros de datos de la multirregión contendrán tus datos. - Ubicación mundial: la ubicación
globales una multirregión especial. Sus centros de datos están repartidos por todo el mundo. No puedes elegir qué centros de datos de la multirregión global contendrán tus datos.
Elegir el mejor tipo de ubicación
Por lo general, diseña tu aplicación de forma que todos sus componentes estén cerca entre sí y de los clientes de la aplicación. La ubicación de tus claves es un aspecto importante del diseño de tu aplicación. Una vez creada, una clave no se puede mover ni exportar.
Cuando se usa una ubicación multirregional, como la multirregión europe, los recursos se conservan en varios centros de datos distribuidos por toda la multirregión.
Crear y actualizar claves en ubicaciones multirregionales, incluida la ubicación global, puede ser menos eficiente que usar una ubicación de una sola región. Para obtener más información, consulta Leer y escribir en ubicaciones multirregionales.
Usa la ubicación global si se cumplen todas las condiciones siguientes:
- Los componentes de tu aplicación se distribuyen en todo el mundo.
- Realizas lecturas o escrituras con poca frecuencia, pero utilizas otras operaciones criptográficas con frecuencia.
- Tus claves no tienen requisitos de residencia geográfica.
- No usas claves externas.
En las integraciones de claves de cifrado gestionadas por el cliente (CMEK), debes usar la misma ubicación que otros recursos relacionados con la integración. Algunas integraciones de CMEK no admiten la ubicación global. Para obtener más información sobre las integraciones de CMEK, consulta el artículo Claves de encriptado gestionadas por el cliente (CMEK).
Los recursos de Cloud EKM dependen de la conectividad entre Google Cloud y un servicio de gestión de claves externo, fuera de Google Cloud. En el caso de los recursos de Cloud External Key Manager, selecciona una ubicación que esté lo más cerca posible de la ubicación en la que se almacenan las claves en el servicio de gestión de claves externo.
Cloud HSM depende de la disponibilidad del hardware físico en los centros de datos de una ubicación. En el caso de los recursos de Cloud HSM, selecciona una ubicación que admita Cloud HSM.
Los recursos de Cloud HSM tienen cuotas específicas de cada ubicación. Las cuotas de Cloud KMS son globales.
Las ubicaciones multirregionales tienen cuotas independientes de las cuotas de las ubicaciones de una sola región. Por ejemplo, para crear recursos de Cloud HSM en la multirregión eur5, debes tener cuota de HSM en eur5, aunque ya tengas cuota en las regiones individuales que participan en eur5, como europe-west2.
Leer y escribir en ubicaciones multirregionales
Leer y escribir recursos o metadatos asociados en ubicaciones multirregionales, incluida la ubicación global, puede ser más lento que leer o escribir desde una sola región.
- Cuando creas o lees versiones de claves, siempre se requiere el consenso entre los centros de datos que almacenan el material de la clave. Las lecturas y escrituras en una sola región suelen ser más eficientes que las que se realizan en una ubicación multirregional.
- Cuando realizas operaciones criptográficas, como encriptar o desencriptar datos, no se requiere consenso. En el caso de las operaciones criptográficas, las ubicaciones multirregionales funcionan de forma similar a las ubicaciones de una sola región.
- Si almacenas las claves en una o varias ubicaciones geográficamente cercanas a los datos que protegen o validan, las operaciones criptográficas suelen ser más eficientes.
Las ventajas y desventajas entre el rendimiento y la disponibilidad son exclusivas de cada aplicación. Las ubicaciones multirregión, como global, son las más adecuadas para cargas de trabajo con muchas lecturas.
Determinar las regiones disponibles
Puedes usar la CLI de Google Cloud o la API Cloud Key Management Service para obtener una lista de las regiones disponibles.
gcloud
gcloud kms locations list
En el resultado del comando, la columna HSM_AVAILABLE indica si la ubicación admite Cloud HSM. La columna EKM_AVAILABLE indica si la ubicación admite Cloud External Key Manager. Nota: Las claves de EKM a través de VPC
solo están disponibles en ubicaciones regionales.
API
Usa los métodos Locations.get y Locations.list.
Las respuestas de ambos métodos incluyen campos booleanos relacionados con las funciones de una ubicación:
Si una ubicación admite claves de Cloud HSM,
hsmAvailableestrue.Si una ubicación admite claves de EKM de Cloud,
ekmAvailableestrue. Nota: Por el momento, las claves de EKM a través de VPC solo están disponibles en ubicaciones regionales.
Siguientes pasos
- Consulta más información sobre geografía y regiones en Google Cloud.
- Consulta la lista completa de ubicaciones de Cloud.