Località di Cloud KMS

All'interno di un progetto, le risorse di Cloud Key Management Service possono essere create in una delle numerose località. Rappresentano le regioni geografiche in cui è archiviata una risorsa Cloud KMS ed è possibile accedervi. La località di una chiave influisce sulle prestazioni delle applicazioni che la utilizzano. Alcune risorse, come le chiavi Cloud HSM, non sono disponibili in tutte le località.

Il materiale delle chiavi Cloud KMS e Cloud HSM è limitato alla regione selezionata quando sono at-rest e in uso.

Le seguenti tabelle elencano le località disponibili per l'utilizzo in Cloud KMS in diverse parti del mondo. Puoi filtrare queste località per tipo di località, supporto di Cloud HSM e supporto di Cloud EKM:

Americhe

Nome della sede	Tipo di posizione	Descrizione sede	Cloud HSM disponibile	Cloud EKM disponibile
`nam3`	Più regioni.	Virginia del Nord e Carolina del Sud	Sì	Solo via Internet
`nam4`	Più regioni.	Iowa, Carolina del Sud e Oklahoma	Sì	Solo via Internet
`nam6`	Più regioni.	Iowa e Carolina del Sud	Sì	Solo via Internet
`nam7`	Più regioni.	Iowa, Virginia del Nord e Oklahoma	Sì	Solo via Internet
`nam8`	Più regioni.	Los Angeles, Oregon e Salt Lake City	Sì	Solo via Internet
`nam9`	Più regioni.	Virginia del Nord e Iowa	Sì	Solo via Internet
`nam10`	Più regioni.	Iowa, Salt Lake City e Oklahoma	Sì	Solo via Internet
`nam11`	Più regioni.	Iowa, Carolina del Sud e Oklahoma	Sì	Solo via Internet
`nam12`	Più regioni.	Iowa, Virginia del Nord, Oklahoma e Oregon	Sì	Solo via Internet
`northamerica-northeast1`	Regione	Montréal	Sì	Sì
`northamerica-northeast2`	Regione	Toronto	Sì	Sì
`southamerica-east1`	Regione	San Paolo	Sì	Sì
`southamerica-west1`	Regione	Santiago	Sì	Sì
`us`	Più regioni.	Più regioni negli Stati Uniti	Sì	Solo via Internet
`us-central1`	Regione	Iowa	Sì	Sì
`us-east1`	Regione	Carolina del Sud	Sì	Sì
`us-east4`	Regione	Virginia del Nord	Sì	Sì
`us-east5`	Regione	Columbus	Sì	Sì
`us-west1`	Regione	Oregon	Sì	Sì
`us-west2`	Regione	Los Angeles	Sì	Sì
`us-west3`	Regione	Salt Lake City	Sì	Sì
`us-west4`	Regione	Las Vegas	Sì	Sì
`us-south1`	Regione	Dallas	Sì	Sì

Europa e Medio Oriente

Nome della sede	Tipo di posizione	Descrizione sede	Cloud HSM disponibile	Cloud EKM disponibile
`eur3`	Più regioni.	Belgio e Paesi Bassi	Sì	Solo via Internet
`eur4`	Più regioni.	Finlandia, Paesi Bassi e Belgio	Sì	Solo via Internet
`eur5`	Più regioni.	Londra, Paesi Bassi e Belgio	Sì	Solo via Internet
`eur6`	Più regioni.	Paesi Bassi, Francoforte e Zurigo	Sì	Solo via Internet
`europe`	Più regioni.	Più regioni nell'Unione europea¹	Sì	Solo via Internet
`europe-central2`	Regione	Varsavia	Sì	Sì
`europe-north1`	Regione	Finlandia	Sì	Sì
`europe-southwest1`	Regione	Madrid	Sì	Sì
`europe-west1`	Regione	Belgio	Sì	Sì
`europe-west2`	Regione	Londra	Sì	Sì
`europe-west3`	Regione	Francoforte	Sì	Sì
`europe-west4`	Regione	Paesi Bassi	Sì	Sì
`europe-west6`	Regione	Zurigo	Sì	Sì
`europe-west8`	Regione	Milano	Sì	Sì
`europe-west9`	Regione	Parigi	Sì	Sì
`europe-west10`	Regione	Berlino	No	No
`europe-west12`	Regione	Torino	No	Sì
`me-central1`	Regione	Doha	Sì	Sì
`me-central2`	Regione	Dammam	Sì	Sì
`me-west1`	Regione	Tel Aviv	Sì	Sì

¹ Le risorse create nella località con più regioni europe non vengono archiviate nei data center di europe-west2 (Londra) o europe-west6 (Zurigo).

Asia Pacifico

Nome della sede	Tipo di posizione	Descrizione sede	Cloud HSM disponibile	Cloud EKM disponibile
`asia`	Più regioni.	Più regioni in Asia	Sì	Solo via Internet
`asia1`	Più regioni.	Tokyo, Osaka e Seul	Sì	Solo via Internet
`in`	Più regioni.	Più regioni in India	No	Solo via Internet
`asia-east1`	Regione	Taiwan	Sì	Sì
`asia-east2`	Regione	Hong Kong	Sì	Sì
`asia-northeast1`	Regione	Tokyo	Sì	Sì
`asia-northeast2`	Regione	Osaka	Sì	Sì
`asia-northeast3`	Regione	Seul	Sì	Sì
`asia-south1`	Regione	Mumbai	Sì	Sì
`asia-south2`	Regione	Delhi	Sì	Sì
`asia-southeast1`	Regione	Singapore	Sì	Sì
`asia-southeast2`	Regione	Giacarta	Sì	Sì
`australia-southeast1`	Regione	Sydney	Sì	Sì
`australia-southeast2`	Regione	Melbourne	Sì	Sì

Tutto il mondo

Nome della sede	Tipo di posizione	Descrizione sede	Cloud HSM disponibile	Cloud EKM disponibile
`global`	globale		Sì	No
`nam-eur-asia1`	Più regioni.	Nord America, Europa e Asia (Iowa, Oklahoma, Belgio e Taiwan)	No	No

Tipi di località per Cloud KMS

Puoi creare risorse Cloud KMS, Cloud HSM e Cloud EKM in diversi tipi di località in Google Cloud, a seconda dei requisiti di disponibilità. Le località vengono aggiunte regolarmente. Per informazioni specifiche su ogni sede, consulta la sezione Località.

Scopri di più sulla scelta del tipo di luogo migliore.

Per Cloud KMS sono disponibili i seguenti tipi di località:

Località regionali: i data center di una località regionale si trovano in una località geografica specifica. Ad esempio, una risorsa creata nella regione us-central1 si trova negli Stati Uniti centrali.
Località multiregionali: i data center di una località multiregionale sono distribuiti in una vasta area geografica. Ad esempio, una risorsa creata nella località multiregionale europe viene mantenuta in più data center all'interno dell'Unione Europea. Non puoi scegliere in quali data center all'interno della località a più regioni saranno inseriti i tuoi dati.
La località globale: la località global è una località speciale con più regioni. I suoi data center sono distribuiti in tutto il mondo. Non puoi scegliere in quali data center all'interno della località multipla globale verranno inseriti i tuoi dati.

Scelta del tipo di località migliore

Come regola, progetta l'applicazione in modo che tutti i suoi componenti siano geograficamente vicini e vicini ai client dell'applicazione. La posizione delle chiavi è un aspetto importante del design dell'applicazione. Dopo la creazione, una chiave non può essere spostata o esportata.

Quando utilizzi una località multiregionale, come europe (più regioni), le risorse rimangono in più data center distribuiti in più regioni. La creazione e l'aggiornamento delle chiavi in località con più regioni, inclusa la località global, potrebbe essere meno efficiente dell'utilizzo di una località con una sola regione. Per ulteriori informazioni, consulta Lettura da e scrittura a località con più regioni.

Utilizza la posizione global se tutte le seguenti condizioni sono vere:

I componenti della tua applicazione sono distribuiti a livello globale.
Disponi di letture o scritture poco frequenti, ma utilizzi spesso altre operazioni crittografiche.
Le chiavi non hanno requisiti di residenza geografica.
Non stai utilizzando chiavi esterne.

Per le integrazioni con chiavi di crittografia gestite dal cliente (CMEK), devi utilizzare la stessa posizione esatta delle altre risorse correlate all'integrazione. Alcune integrazioni CMEK non supportano la località global. Per saperne di più sulle integrazioni CMEK, consulta Chiavi di crittografia gestite dal cliente (CMEK).

Le risorse Cloud EKM si basano sulla connettività tra Google Cloud e un Key Management Service esterno, al di fuori di Google Cloud. Per le risorse di Cloud External Key Manager, seleziona una località geograficamente il più vicina possibile alla località in cui sono archiviate le chiavi nel Key Management Service esterno.

Cloud HSM dipende dalla disponibilità di hardware fisico nei data center di una località. Per le risorse Cloud HSM, seleziona una località che supporti Cloud HSM.

Le risorse Cloud HSM hanno quote specifiche per la località. Le quote di Cloud KMS sono globali.

Le località multiregionali hanno quote separate, indipendenti dalle quote per le località a singola regione. Ad esempio, per creare risorse Cloud HSM nella località multiregionale eur5, devi avere la quota HSM in eur5, anche se ne hai già una nelle singole regioni che partecipano a eur5, ad esempio europe-west2.

Lettura e scrittura in località di più regioni

La lettura e la scrittura delle risorse o dei metadati associati in località multiregionali, inclusa la località global, potrebbero essere più lente della lettura o della scrittura da una singola regione.

Quando crei o leggi le versioni delle chiavi, è sempre richiesto il consenso tra i data center che archiviano il materiale della chiave. Le operazioni di lettura e scrittura in una singola regione sono spesso più efficienti di quelle in una località con più regioni.
Quando esegui operazioni crittografiche, ad esempio durante la crittografia o la decrittografia dei dati, il consenso non è richiesto. Per le operazioni crittografiche, le località multiregionali hanno prestazioni simili a quelle delle località a una singola area geografica.
Quando archivi le chiavi in una o più località geograficamente vicine ai dati che proteggono o convalidano, le operazioni crittografiche sono in genere più efficienti.

I compromessi tra prestazioni e disponibilità sono specifici per ogni applicazione. Le località con più regioni, tra cui global, sono più adatte per carichi di lavoro ad alta intensità di lettura.

Determinazione delle regioni disponibili

Puoi utilizzare Google Cloud CLI o l'API Cloud Key Management Service per ottenere un elenco delle regioni disponibili.

gcloud

gcloud kms locations list

Nell'output del comando, la colonna HSM_AVAILABLE indica se la località supporta Cloud HSM. La colonna EKM_AVAILABLE indica se la località supporta Cloud External Key Manager. Nota che le chiavi EKM tramite VPC sono attualmente disponibili solo nelle località a livello di regione.

API

Utilizza i metodi Locations.get e Locations.list.

Le risposte di entrambi i metodi includono campi booleani relativi alle funzionalità di una località:

Se una località supporta le chiavi Cloud HSM, hsmAvailable è true.
Se una località supporta le chiavi Cloud EKM, ekmAvailable è true. Nota che la funzionalità EKM tramite chiavi VPC è attualmente disponibile solo nelle località a singola regione.

Passaggi successivi

Scopri di più su regione e regioni in Google Cloud.
Consulta l'elenco completo delle località Cloud.