您可以在專案中,將 Cloud Key Management Service 資源建立在許多位置中的其中一個。這些位置代表儲存及可以存取 Cloud KMS 資源的地理區域。金鑰位置會影響使用該金鑰的應用程式效能。部分資源 (例如 Cloud HSM 金鑰) 無法在所有位置使用。
Cloud KMS 和 Cloud HSM 金鑰的金鑰內容在閒置和使用時,都會限制在所選區域內。
下表列出全球各地可供 Cloud KMS 使用的位置。您可以依位置類型、Cloud HSM 支援和 Cloud EKM 支援篩選這些位置:
美洲
| 地點名稱 | 位置類型 | 地點說明 | 是否可用 Cloud HSM | 是否可用 Cloud EKM |
|---|---|---|---|---|
ca |
多區域 | 多個加拿大區域 | 可以 | 可以 |
nam3 |
多區域 | 北維吉尼亞州和南卡羅來納州 | 可以 | 可以 |
nam4 |
多區域 | 愛荷華州、南卡羅來納州和奧克拉荷馬州 | 可以 | 可以 |
nam6 |
多區域 | 愛荷華州與南卡羅來納州 | 可以 | 可以 |
nam7 |
多區域 | 愛荷華州、北維吉尼亞州和奧克拉荷馬州 | 可以 | 可以 |
nam8 |
多區域 | 洛杉磯、奧勒岡州和鹽湖城 | 可以 | 可以 |
nam9 |
多區域 | 北維吉尼亞州和愛荷華州 | 可以 | 可以 |
nam10 |
多區域 | 愛荷華州、鹽湖城和奧克拉荷馬州 | 可以 | 可以 |
nam11 |
多區域 | 愛荷華州、南卡羅來納州和奧克拉荷馬州 | 可以 | 可以 |
nam12 |
多區域 | 愛荷華州、北維吉尼亞州、奧克拉荷馬州和奧勒岡州 | 可以 | 可以 |
northamerica-northeast1 |
地區: | 蒙特婁 | 可以 | 可以 |
northamerica-northeast2 |
地區: | 多倫多 | 可以 | 可以 |
northamerica-south1 |
地區: | 墨西哥 | 可以 | 否 |
southamerica-east1 |
地區: | 聖保羅 | 可以 | 可以 |
southamerica-west1 |
地區: | 聖地亞哥 | 可以 | 可以 |
us |
多區域 | 美國境內多個地區 | 可以 | 可以 |
us-central1 |
地區: | 愛荷華州 | 可以 | 可以 |
us-east1 |
地區: | 南卡羅來納州 | 可以 | 可以 |
us-east4 |
地區: | 北維吉尼亞州 | 可以 | 可以 |
us-east5 |
地區: | 哥倫布 | 可以 | 可以 |
us-west1 |
地區: | 奧勒岡州 | 可以 | 可以 |
us-west2 |
地區: | 洛杉磯 | 可以 | 可以 |
us-west3 |
地區: | 鹽湖城 | 可以 | 可以 |
us-west4 |
地區: | 拉斯維加斯 | 可以 | 可以 |
us-south1 |
地區: | 達拉斯 | 可以 | 可以 |
亞太地區
| 地點名稱 | 位置類型 | 地點說明 | 是否可用 Cloud HSM | 是否可用 Cloud EKM |
|---|---|---|---|---|
asia |
多區域 | 多個亞洲區域 | 可以 | 可以 |
asia1 |
多區域 | 東京、大阪和首爾 | 可以 | 可以 |
asia-east1 |
地區: | 台灣 | 可以 | 可以 |
asia-east2 |
地區: | 香港 | 可以 | 可以 |
asia-northeast1 |
地區: | 東京 | 可以 | 可以 |
asia-northeast2 |
地區: | 大阪 | 可以 | 可以 |
asia-northeast3 |
地區: | 首爾 | 可以 | 可以 |
asia-south1 |
地區: | 孟買 | 可以 | 可以 |
asia-south2 |
地區: | 德里 | 可以 | 可以 |
asia-southeast1 |
地區: | 新加坡 | 可以 | 可以 |
asia-southeast2 |
地區: | 雅加達 | 可以 | 可以 |
au |
多區域 | 多個澳洲區域 | 可以 | 可以 |
australia-southeast1 |
地區: | 雪梨 | 可以 | 可以 |
australia-southeast2 |
地區: | 墨爾本 | 可以 | 可以 |
in |
多區域 | 印度多個區域 | 可以 | 可以 |
歐洲、中東和非洲
| 地點名稱 | 位置類型 | 地點說明 | 是否可用 Cloud HSM | 是否可用 Cloud EKM |
|---|---|---|---|---|
africa-south1 |
地區: | 約翰尼斯堡 | 可以 | 可以 |
de |
多區域 | 多個德國區域 | 可以 | 可以 |
eur3 |
多區域 | 比利時和荷蘭 | 可以 | 可以 |
eur4 |
多區域 | 芬蘭、荷蘭和比利時 | 可以 | 可以 |
eur5 |
多區域 | 倫敦、荷蘭和比利時 | 可以 | 可以 |
eur6 |
多區域 | 荷蘭、法蘭克福和蘇黎世 | 可以 | 可以 |
eur7 |
多區域 | 倫敦、法蘭克福和柏林 | 否 | 可以 |
eur8 |
多區域 | 蘇黎世、法蘭克福和柏林 | 否 | 可以 |
europe |
多區域 | 多個歐盟區域1 | 可以 | 可以 |
europe-central2 |
地區: | 華沙 | 可以 | 可以 |
europe-north1 |
地區: | 芬蘭 | 可以 | 可以 |
europe-north2 |
地區: | 斯德哥爾摩 | 可以 | 可以 |
europe-southwest1 |
地區: | 馬德里 | 可以 | 可以 |
europe-west1 |
地區: | 比利時 | 可以 | 可以 |
europe-west2 |
地區: | 倫敦 | 可以 | 可以 |
europe-west3 |
地區: | 法蘭克福 | 可以 | 可以 |
europe-west4 |
地區: | 荷蘭 | 可以 | 可以 |
europe-west6 |
地區: | 蘇黎世 | 可以 | 可以 |
europe-west8 |
地區: | 米蘭 | 可以 | 可以 |
europe-west9 |
地區: | 巴黎 | 可以 | 可以 |
europe-west10 |
地區: | 柏林 | 可以 | 可以 |
europe-west12 |
地區: | 杜林 | 可以 | 可以 |
it |
多區域 | 多個義大利區域 | 可以 | 可以 |
me-central1 |
地區: | 杜哈 | 可以 | 可以 |
me-central2 |
地區: | 達曼 | 可以 | 可以 |
me-west1 |
地區: | 特拉維夫市 | 可以 | 可以 |
europe 多地區建立的資源不會儲存在 europe-west2 (倫敦) 或 europe-west6 (蘇黎世) 資料中心。全球
| 地點名稱 | 位置類型 | 地點說明 | 是否可用 Cloud HSM | 是否可用 Cloud EKM |
|---|---|---|---|---|
global |
全球 | 可以 | 否 | |
nam-eur-asia1 |
多區域 | 北美洲、歐洲和亞洲 (愛荷華州、奧克拉荷馬州、比利時和臺灣) |
可以 | 否 |
Cloud KMS 的位置類型
您可以在 Google Cloud中不同類型的位置建立 Cloud KMS、Cloud HSM 和 Cloud EKM 資源,具體取決於可用性需求。我們會定期新增地點。如要瞭解各個地點的具體資訊,請參閱「地點」。
進一步瞭解如何選擇最合適的地區類型。
Cloud KMS 提供下列位置類型:
- 單一地區位置:單一地區位置的資料中心位於特定地理位置。舉例來說,在
us-central1地區建立的資源位於美國中部。 - 多區域位置:多區域位置的資料中心分布在廣大的地理區域。舉例來說,在
europe多地區建立的資源會保留在歐盟境內的多個資料中心。您無法選擇多區域中的哪些資料中心會包含您的資料。 - 全球位置:
global位置是特殊的多區域。資料中心遍布全球。您無法選擇全球多地區內的哪些資料中心會包含您的資料。
選擇最合適的地點類型
一般來說,請設計應用程式,讓所有元件彼此靠近,並靠近應用程式的用戶端。金鑰位置是應用程式設計的重要考量。金鑰建立後,就無法移動或匯出。
使用多地區位置 (例如 europe 多地區) 時,資源會保留在多個資料中心,這些資料中心分布在多個地區。在多地區位置 (包括 global 位置) 建立及更新金鑰,效率可能不如使用單一地區位置。詳情請參閱「從多區域位置讀取及寫入資料」。
如果符合下列所有條件,請使用 global 位置資訊:
- 應用程式的元件分布在全球各地。
- 您不常讀取或寫入資料,但經常使用其他加密編譯作業。
- 金鑰沒有地理位置限制。
- 您未使用外部金鑰。
如要整合客戶自行管理的加密金鑰 (CMEK),您必須使用與整合相關的其他資源完全相同的位置。部分 CMEK 整合服務不支援global位置。如要進一步瞭解 CMEK 整合,請參閱「客戶管理的加密金鑰 (CMEK)」。
Cloud EKM 資源依賴 Google Cloud 與外部金鑰管理服務之間的連線,而這項服務位於 Google Cloud外部。如果是 Cloud External Key Manager 資源,請選取地理位置,盡量靠近外部金鑰管理服務上儲存金鑰的位置。
Cloud HSM 取決於某個位置的資料中心是否提供實體硬體。如果是 Cloud HSM 資源,請選取支援 Cloud HSM 的位置。
Cloud HSM 資源有特定位置的配額。 Cloud KMS 配額為全域配額。
多區域位置有獨立的配額,與單一區域位置的配額無關。舉例來說,如要在 eur5 多區域中建立 Cloud HSM 資源,您必須在 eur5 中擁有 HSM 配額,即使您已在參與 eur5 的單一區域 (例如 europe-west2) 中擁有配額,也必須如此。
從多個地區位置讀取及寫入資料
在多區域位置 (包括 global 位置) 讀取及寫入資源或相關聯的中繼資料時,速度可能會比從單一區域讀取或寫入慢。
- 建立或讀取金鑰版本時,儲存金鑰內容的資料中心一律須達成共識。與多區域位置相比,單一區域的讀取和寫入作業通常更有效率。
- 執行密碼編譯作業 (例如加密或解密資料) 時,不需要共識。就加密作業而言,多區域位置的運作方式與單一區域位置類似。
- 將金鑰儲存在地理位置上靠近所保護或驗證資料的位置,通常可提高加密作業的效率。
效能與可用性之間的取捨因應用程式而異。多區域位置 (包括 global) 最適合讀取密集型工作負載。
確認可用地區
您可以使用 Google Cloud CLI 或 Cloud Key Management Service API 取得可用區域清單。
gcloud
gcloud kms locations list
在指令的輸出內容中,HSM_AVAILABLE 欄代表該位置是否支援 Cloud HSM。EKM_AVAILABLE 欄代表該位置是否支援 Cloud External Key Manager。注意,透過虛擬私有雲金鑰使用 EKM 目前僅適用於區域位置。
API
請使用 Locations.get 和 Locations.list 方法。
這兩種方法的回應都包含與地點功能相關的布林欄位:
如果位置支援 Cloud HSM 金鑰,
hsmAvailable會是true。如果某個位置支援 Cloud EKM 金鑰,
ekmAvailable會是true。注意,透過虛擬私有雲金鑰使用 EKM 目前僅適用於區域位置。