在專案內,您可以在許多位置的其中一個建立 Cloud Key Management Service 資源。這些位置代表儲存及可以存取 Cloud KMS 資源的地理區域。鍵的位置會影響使用該鍵的應用程式效能。部分資源 (例如 Cloud HSM 金鑰) 並非在所有地區皆可使用。
Cloud KMS 和 Cloud HSM 金鑰的金鑰內容會在靜態和使用期間限制在所選區域內。
下表列出在世界各地可用於 Cloud KMS 的位置。您可以依據位置類型、Cloud HSM 支援和 Cloud EKM 支援,篩選這些位置:
美洲
| 地點名稱 | 位置類型 | 位置說明 | 是否可用 Cloud HSM | 可使用 Cloud EKM |
|---|---|---|---|---|
ca |
多區域 | 加拿大境內的多個區域 | 可以 | 可以 |
nam3 |
多區域 | 北維吉尼亞州和南卡羅來納州 | 可以 | 可以 |
nam4 |
多區域 | 愛荷華州、南卡羅來納州和奧克拉荷馬州 | 可以 | 可以 |
nam6 |
多區域 | 愛荷華州與南卡羅來納州 | 可以 | 可以 |
nam7 |
多區域 | 愛荷華州、北維吉尼亞州和奧克拉荷馬州 | 可以 | 可以 |
nam8 |
多區域 | 洛杉磯、奧勒岡州和鹽湖城 | 可以 | 可以 |
nam9 |
多區域 | 北維吉尼亞州和愛荷華州 | 可以 | 可以 |
nam10 |
多區域 | 愛荷華州、鹽湖城和奧克拉荷馬州 | 可以 | 可以 |
nam11 |
多區域 | 愛荷華州、南卡羅來納州和奧克拉荷馬州 | 可以 | 可以 |
nam12 |
多區域 | 愛荷華州、北維吉尼亞州、奧克拉荷馬州和奧勒岡州 | 可以 | 可以 |
northamerica-northeast1 |
地區: | 蒙特婁 | 可以 | 可以 |
northamerica-northeast2 |
地區: | 多倫多 | 可以 | 可以 |
northamerica-south1 |
地區: | 墨西哥 | 可以 | 否 |
southamerica-east1 |
地區: | 聖保羅 | 可以 | 可以 |
southamerica-west1 |
地區: | 聖地亞哥 | 可以 | 可以 |
us |
多區域 | 美國境內的多個地區 | 可以 | 可以 |
us-central1 |
地區: | 愛荷華州 | 可以 | 可以 |
us-east1 |
地區: | 南卡羅來納州 | 可以 | 可以 |
us-east4 |
地區: | 北維吉尼亞州 | 可以 | 可以 |
us-east5 |
地區: | 哥倫布 | 可以 | 可以 |
us-west1 |
地區: | 奧勒岡州 | 可以 | 可以 |
us-west2 |
地區: | 洛杉磯 | 可以 | 可以 |
us-west3 |
地區: | 鹽湖城 | 可以 | 可以 |
us-west4 |
地區: | 拉斯維加斯 | 可以 | 可以 |
us-south1 |
地區: | 達拉斯 | 可以 | 可以 |
亞太地區
| 地點名稱 | 位置類型 | 位置說明 | 是否可用 Cloud HSM | 可使用 Cloud EKM |
|---|---|---|---|---|
asia |
多區域 | 多個亞洲區域 | 可以 | 可以 |
asia1 |
多區域 | 東京、大阪和首爾 | 可以 | 可以 |
asia-east1 |
地區: | 台灣 | 可以 | 可以 |
asia-east2 |
地區: | 香港 | 可以 | 可以 |
asia-northeast1 |
地區: | 東京 | 可以 | 可以 |
asia-northeast2 |
地區: | 大阪 | 可以 | 可以 |
asia-northeast3 |
地區: | 首爾 | 可以 | 可以 |
asia-south1 |
地區: | 孟買 | 可以 | 可以 |
asia-south2 |
地區: | 德里 | 可以 | 可以 |
asia-southeast1 |
地區: | 新加坡 | 可以 | 可以 |
asia-southeast2 |
地區: | 雅加達 | 可以 | 可以 |
au |
多區域 | 澳洲境內的多個區域 | 可以 | 可以 |
australia-southeast1 |
地區: | 雪梨 | 可以 | 可以 |
australia-southeast2 |
地區: | 墨爾本 | 可以 | 可以 |
in |
多區域 | 印度境內的多個區域 | 可以 | 可以 |
歐洲、中東和非洲地區
| 地點名稱 | 位置類型 | 位置說明 | 是否可用 Cloud HSM | 可使用 Cloud EKM |
|---|---|---|---|---|
africa-south1 |
地區: | 約翰尼斯堡 | 可以 | 可以 |
de |
多區域 | 德國境內的多個區域 | 可以 | 可以 |
eur3 |
多區域 | 比利時和荷蘭 | 可以 | 可以 |
eur4 |
多區域 | 芬蘭、荷蘭和比利時 | 可以 | 可以 |
eur5 |
多區域 | 倫敦、荷蘭和比利時 | 可以 | 可以 |
eur6 |
多區域 | 荷蘭、法蘭克福和蘇黎世 | 可以 | 可以 |
eur7 |
多區域 | 倫敦、法蘭克福和柏林 | 否 | 可以 |
eur8 |
多區域 | 蘇黎世、法蘭克福和柏林 | 否 | 可以 |
europe |
多區域 | 多個歐盟境內的地區1 | 可以 | 可以 |
europe-central2 |
地區: | 華沙 | 可以 | 可以 |
europe-north1 |
地區: | 芬蘭 | 可以 | 可以 |
europe-north2 |
地區: | 斯德哥爾摩 | 可以 | 否 |
europe-southwest1 |
地區: | 馬德里 | 可以 | 可以 |
europe-west1 |
地區: | 比利時 | 可以 | 可以 |
europe-west2 |
地區: | 倫敦 | 可以 | 可以 |
europe-west3 |
地區: | 法蘭克福 | 可以 | 可以 |
europe-west4 |
地區: | 荷蘭 | 可以 | 可以 |
europe-west6 |
地區: | 蘇黎世 | 可以 | 可以 |
europe-west8 |
地區: | 米蘭 | 可以 | 可以 |
europe-west9 |
地區: | 巴黎 | 可以 | 可以 |
europe-west10 |
地區: | 柏林 | 可以 | 可以 |
europe-west12 |
地區: | 杜林 | 可以 | 可以 |
it |
多區域 | 義大利境內的多個區域 | 否 | 可以 |
me-central1 |
地區: | 杜哈 | 可以 | 可以 |
me-central2 |
地區: | 達曼 | 可以 | 可以 |
me-west1 |
地區: | 特拉維夫市 | 可以 | 可以 |
europe 多地區建立的資源不會儲存在 europe-west2 (倫敦) 或 europe-west6 (蘇黎世) 資料中心。全球
| 地點名稱 | 位置類型 | 位置說明 | 是否可用 Cloud HSM | 可使用 Cloud EKM |
|---|---|---|---|---|
global |
全球 | 可以 | 否 | |
nam-eur-asia1 |
多區域 | 北美洲、歐洲和亞洲 (愛荷華州、奧克拉荷馬州、比利時和臺灣) |
可以 | 否 |
Cloud KMS 的位置類型
您可以根據可用性需求,在 Google Cloud的不同類型位置建立 Cloud KMS、Cloud HSM 和 Cloud EKM 資源。我們會定期新增地點。如需各個位置的具體資訊,請參閱「位置」。
如要進一步瞭解如何選擇最合適的位置類型,請參閱相關說明文章。
Cloud KMS 可使用下列位置類型:
- 單一地區位置:單一地區位置的資料中心位於特定地理位置。舉例來說,在
us-central1區域建立的資源位於美國中部。 - 多地區位置:多地區位置的資料中心分佈在廣大的地理區域。舉例來說,在
europe多地區建立的資源會在歐盟境內的多個資料中心中保留。您無法選擇多個區域中的哪些資料中心會包含您的資料。 - 全球位置:
global位置是特殊的多區域。其資料中心遍布全球。您無法選擇全球多地區中的哪些資料中心會包含您的資料。
選擇最適合的位置類型
一般來說,設計應用程式時,應讓所有元件在地理位置上彼此相近,且靠近應用程式的用戶端。鍵的位置是應用程式設計的重要環節。建立後,就無法移動或匯出金鑰。
使用 europe 多區域等多地區位置時,資源會持續存在於多個分散在多個區域的資料中心。在多地區位置 (包括 global 位置) 建立及更新金鑰的效率,可能不如使用單一地區位置。詳情請參閱「從多地區位置讀取及寫入資料」。
請在符合下列所有條件時使用 global 位置:
- 您的應用程式元件分散在世界各地。
- 您不常讀取或寫入資料,但經常使用其他加密編譯作業。
- 您的金鑰沒有地理區域居住地規定。
- 您未使用外部金鑰。
如果是客戶自行管理的加密金鑰 (CMEK) 整合,您必須使用與整合相關的其他資源相同的位置。部分 CMEK 整合不支援 global 位置。如要進一步瞭解 CMEK 整合,請參閱「客戶管理的加密金鑰 (CMEK)」。
Cloud EKM 資源需要在 Google Cloud 和外部金鑰管理服務之間建立連線, Google Cloud以外。針對 Cloud External Key Manager 資源,請選取地理位置上盡可能接近外部金鑰管理服務中金鑰儲存位置的位置。
Cloud HSM 取決於所在位置資料中心的實際硬體是否可用。針對 Cloud HSM 資源,請選取支援 Cloud HSM 的位置。
Cloud HSM 資源有位置特定的配額。Cloud KMS 配額是全球性資源。
多區域位置有獨立的配額,不受單一區域位置的配額影響。舉例來說,如要在 eur5 多地區建立 Cloud HSM 資源,您必須在 eur5 中擁有 HSM 配額,即使您已在參與 eur5 的單一地區 (例如 europe-west2) 中擁有配額也一樣。
讀取及寫入多地區位置
在多區域位置 (包括 global 位置) 讀取及寫入資源或相關中繼資料的速度,可能會比從單一區域讀取或寫入的速度慢。
- 建立或讀取金鑰版本時,儲存金鑰內容的資料中心必須達成共識。讀取及寫入單一區域的效率通常比讀取及寫入多個區域的位置更高。
- 執行加密編譯作業時 (例如加密或解密資料),不需要取得共識。就加密編譯作業而言,多區域位置的運作方式與單一區域位置類似。
- 如果金鑰儲存在地理位置上靠近所保護或驗證資料的位置,加密作業通常會更有效率。
每個應用程式在效能和可用性之間的取捨方式各不相同。多區域位置 (包括 global) 最適合讀取量高的作業負載。
確認可用地區
您可以使用 Google Cloud CLI 或 Cloud Key Management Service API 取得可用區域清單。
gcloud
gcloud kms locations list
在指令的輸出內容中,HSM_AVAILABLE 欄代表該位置是否支援 Cloud HSM。EKM_AVAILABLE 欄會指出該位置是否支援 Cloud External Key Manager。注意:透過 VPC 金鑰的 EKM 目前僅適用於特定地區。
API
請使用 Locations.get 和 Locations.list 方法。
這兩種方法的回應都包含與位置功能相關的布林欄位:
如果位置支援 Cloud HSM 金鑰,
hsmAvailable就是true。如果某個位置支援 Cloud EKM 金鑰,則
ekmAvailable為true。注意,透過 VPC 金鑰的 EKM 目前僅適用於區域位置。