Località di Cloud KMS

All'interno di un progetto, le risorse di Cloud Key Management Service possono essere create in una delle numerose località. Queste rappresentano le regioni geografiche in cui è archiviata una risorsa Cloud KMS e a cui è possibile accedere. La posizione di una chiave influisce sul rendimento delle applicazioni che la utilizzano. Alcune risorse, come le chiavi Cloud HSM, non sono disponibili in tutte le località.

Il materiale delle chiavi per le chiavi Cloud KMS e Cloud HSM è limitato alla regione selezionata quando è in stato inattivo e in uso.

Le tabelle seguenti elencano le località disponibili per l'utilizzo in Cloud KMS per diverse parti del mondo. Puoi filtrare queste località in base al tipo di località, al supporto di Cloud HSM e al supporto di Cloud EKM:

Filtra per:

Americhe

Nome della sede Tipo di posizione Descrizione della località Cloud HSM disponibile Cloud EKM disponibile
ca Più regioni Più regioni in Canada No
nam3 Più regioni Virginia del Nord e Carolina del Sud
nam4 Più regioni Iowa, Carolina del Sud e Oklahoma
nam6 Più regioni Iowa e Carolina del Sud
nam7 Più regioni Iowa, Virginia del Nord e Oklahoma
nam8 Più regioni Los Angeles, Oregon e Salt Lake City
nam9 Più regioni Virginia del Nord e Iowa
nam10 Più regioni Iowa, Salt Lake City e Oklahoma
nam11 Più regioni Iowa, Carolina del Sud e Oklahoma
nam12 Più regioni Iowa, Virginia del Nord, Oklahoma e Oregon
northamerica-northeast1 Regione Montréal
northamerica-northeast2 Regione Toronto
northamerica-south1 Regione Messico No
southamerica-east1 Regione San Paolo
southamerica-west1 Regione Santiago
us Più regioni Più regioni negli Stati Uniti
us-central1 Regione Iowa
us-east1 Regione Carolina del Sud
us-east4 Regione Virginia del Nord
us-east5 Regione Columbus
us-west1 Regione Oregon
us-west2 Regione Los Angeles
us-west3 Regione Salt Lake City
us-west4 Regione Las Vegas
us-south1 Regione Dallas

Asia Pacifico

Nome della sede Tipo di posizione Descrizione della località Cloud HSM disponibile Cloud EKM disponibile
asia Più regioni Più regioni in Asia
asia1 Più regioni Tokyo, Osaka e Seul
asia-east1 Regione Taiwan
asia-east2 Regione Hong Kong
asia-northeast1 Regione Tokyo
asia-northeast2 Regione Osaka
asia-northeast3 Regione Seul
asia-south1 Regione Mumbai
asia-south2 Regione Delhi
asia-southeast1 Regione Singapore
asia-southeast2 Regione Giacarta
au Più regioni Più regioni in Australia No
australia-southeast1 Regione Sydney
australia-southeast2 Regione Melbourne
in Più regioni Più regioni in India

Europa, Medio Oriente
e Africa

Nome della sede Tipo di posizione Descrizione della località Cloud HSM disponibile Cloud EKM disponibile
africa-south1 Regione Johannesburg
eur3 Più regioni Belgio e Paesi Bassi
eur4 Più regioni Finlandia, Paesi Bassi e Belgio
eur5 Più regioni Londra, Paesi Bassi e Belgio
eur6 Più regioni Paesi Bassi, Francoforte e Zurigo
eur7 Più regioni Londra, Francoforte e Berlino No
eur8 Più regioni Zurigo, Francoforte e Berlino No
europe Più regioni Più regioni nell'Unione europea1
europe-central2 Regione Varsavia
europe-north1 Regione Finlandia
europe-southwest1 Regione Madrid
europe-west1 Regione Belgio
europe-west2 Regione Londra
europe-west3 Regione Francoforte
europe-west4 Regione Paesi Bassi
europe-west6 Regione Zurigo
europe-west8 Regione Milano
europe-west9 Regione Parigi
europe-west10 Regione Berlino
europe-west12 Regione Torino
de Più regioni Più regioni in Germania No
it Più regioni Più regioni in Italia No
me-central1 Regione Doha
me-central2 Regione Dammam
me-west1 Regione Tel Aviv
1 Le risorse create nella regione con più aree geografiche europe non vengono memorizzate nei data center europe-west2 (Londra) o europe-west6 (Zurigo).

Tutto il mondo

Nome della sede Tipo di posizione Descrizione della località Cloud HSM disponibile Cloud EKM disponibile
global globale No
nam-eur-asia1 Più regioni Nord America, Europa e Asia
(Iowa, Oklahoma, Belgio e Taiwan)
No

Tipi di località per Cloud KMS

Puoi creare risorse Cloud KMS, Cloud HSM e Cloud EKM in diversi tipi di località in Google Cloud, a seconda dei tuoi requisiti di disponibilità. Le sedi vengono aggiunte regolarmente. Per informazioni specifiche su ogni località, consulta Località.

Scopri di più su come scegliere il tipo di località migliore.

Cloud KMS offre i seguenti tipi di località:

  • Località a singola area geografica: i data center di una località a singola area geografica si trovano in un'area geografica specifica. Ad esempio, una risorsa creata nella regioneus-central1 si trova negli Stati Uniti centrali.
  • Località multiregionali: i data center di una località multiregionale sono distribuiti su una vasta area geografica. Ad esempio, una risorsa creata nella regione multipla europe persiste in più data center all'interno della Unione Europea. Non puoi scegliere i data center all'interno della regione multipla che conterranno i tuoi dati.
  • La località globale: la località global è una località multiregionale speciale. I suoi data center sono distribuiti in tutto il mondo. Non puoi scegliere i data center all'interno della regione multipla globale che conterranno i tuoi dati.

Scegliere il tipo di località migliore

Come regola generale, progetta l'applicazione in modo che tutti i suoi componenti siano geograficamente vicini tra loro e ai client dell'applicazione. La posizione delle chiavi è un aspetto importante del design dell'applicazione. Una volta creata, una chiave non può essere spostata o esportata.

Quando utilizzi una località multiregionale, ad esempio la regione multipla europe, le risorse vengono conservate in più data center distribuiti nella regione multipla. La creazione e l'aggiornamento delle chiavi in località multiregionali, inclusa la località global, potrebbe essere meno efficiente rispetto all'utilizzo di una località in una singola regione. Per ulteriori informazioni, consulta Lettura e scrittura in località con più regioni.

Utilizza la località global se tutte le seguenti condizioni sono vere:

  • I componenti dell'applicazione sono distribuiti a livello globale.
  • Esegui letture o scritture non frequenti, ma utilizzi spesso altre operazioni crittografiche.
  • Le tue chiavi non hanno requisiti di residenza geografica.
  • Non utilizzi chiavi esterne.

Per le integrazioni con le chiavi di crittografia gestite dal cliente (CMEK), devi utilizzare la stessa posizione esatta delle altre risorse correlate all'integrazione. Alcune integrazioni CMEK non supportano la località global. Per ulteriori informazioni sulle integrazioni CMEK, consulta Chiavi di crittografia gestite dal cliente (CMEK).

Le risorse Cloud EKM si basano sulla connettività tra Google Cloud e un Key Management Service esterno, al di fuori di Google Cloud. Per le risorse Cloud External Key Manager, seleziona una località geograficamente il più vicino possibile alla località in cui le chiavi sono archiviate nel Key Management Service esterne.

Cloud HSM dipende dalla disponibilità di hardware fisico nei datacenter di una località. Per le risorse Cloud HSM, seleziona una località che supporti Cloud HSM.

Le risorse Cloud HSM hanno quote specifiche per località. Le quote di Cloud KMS sono globali.

Le località multiregionali hanno quote distinte, indipendentemente dalle quote per le località a singola regione. Ad esempio, per creare risorse Cloud HSM nella regione multipla eur5, devi disporre della quota HSM in eur5, anche se hai già una quota nelle singole regioni che fanno parte di eur5, come europe-west2.

Lettura e scrittura in località di più regioni

La lettura e la scrittura di risorse o metadati associati in località con più regioni, inclusa la località global, potrebbe essere più lenta rispetto alla lettura o alla scrittura da una singola regione.

  • Quando crei o leggi le versioni delle chiavi, è sempre necessario il consenso tra i datacenter che memorizzano il materiale della chiave. Le letture e le scritture in una singola regione sono spesso più efficienti di quelle in una posizione multiregionale.
  • Quando esegui operazioni di crittografia, ad esempio la crittografia o la decrittografia dei dati, il consenso non è richiesto. Per le operazioni di crittografia, le località multiregionali hanno un rendimento simile a quello delle località monoregionali.
  • Quando archivi le chiavi in una o più località geograficamente vicine ai dati che proteggono o convalidano, le operazioni di crittografia sono in genere più efficienti.

I compromessi tra prestazioni e disponibilità sono specifici di ogni applicazione. Le località multiregionali, tra cui global, sono le più adatte per i carichi di lavoro con molte letture.

Determinare le regioni disponibili

Puoi utilizzare Google Cloud CLI o l'API Cloud Key Management Service per ottenere un elenco delle regioni disponibili.

gcloud

gcloud kms locations list

Nell'output del comando, la colonna HSM_AVAILABLE indica se la località supporta Cloud HSM. La colonna EKM_AVAILABLE indica se la località supporta Cloud External Key Manager. Tieni presente che le chiavi EKM tramite chiavi VPC sono attualmente disponibili solo in località regionali.

API

Utilizza i metodi Locations.get e Locations.list.

Le risposte di entrambi i metodi includono campi booleani relativi alle funzionalità di un luogo:

  • Se una località supporta le chiavi Cloud HSM, hsmAvailable è true.

  • Se una località supporta le chiavi EKM di Cloud, ekmAvailable è true. Tieni presente che le chiavi EKM tramite chiavi VPC sono attualmente disponibili solo in località regionali.

Passaggi successivi