Cloud KMS のロケーション

プロジェクト内では、Cloud Key Management Service リソースを多数のロケーションのいずれかに作成できます。これらは、Cloud KMS リソースが保存され、アクセス可能な地域を表します。鍵のロケーションは、鍵を使用するアプリケーションのパフォーマンスに影響します。クラウド HSM 鍵などの一部のリソースは、一部のロケーションではご利用いただけません。

Cloud KMS 鍵と Cloud HSM 鍵の鍵マテリアルは、保存時と使用中に選択した地域に固定されます。

Cloud KMS のロケーションの種類

Cloud KMS、Cloud HSM、Cloud EKM のリソースは、可用性の要件に応じて、Google Cloud のさまざまなロケーションの種類に作成できます。ロケーションは定期的に追加されます。各ロケーションの具体的な情報については、ロケーションをご覧ください。

詳細については、最適なロケーションの種類を選ぶをご覧ください。

リージョンのロケーション

特定の地域には、リージョンのロケーションのデータセンターが存在します。たとえば、us-central1リージョンで作成されたリソースは米国中部にあります。

Cloud KMS リソースは、次のリージョンのロケーションに作成できます。

リージョン名 リージョンの説明 Cloud HSM を利用可能 Cloud EKM を利用可能
アジア太平洋
asia-east1 台湾
asia-east2 香港
asia-northeast1 東京
asia-northeast2 大阪
asia-northeast3 ソウル
asia-south1 ムンバイ
asia-southeast1 シンガポール
australia-southeast1 シドニー
ヨーロッパ
europe-north1 フィンランド
europe-west1 ベルギー
europe-west2 ロンドン
europe-west3 フランクフルト
europe-west4 オランダ
europe-west6 チューリッヒ
北米
northamerica-northeast1 モントリオール
us-central1 アイオワ
us-east1 サウスカロライナ
us-east4 北バージニア
us-west1 オレゴン
us-west2 ロサンゼルス
us-west3 ソルトレイクシティ
南アメリカ
southamerica-east1 サンパウロ

デュアルリージョン ロケーション

デュアルリージョンロケーションのデータセンターは、2 つの特定の地理的な場所にあります。たとえば、nam4 デュアルリージョン ロケーションで作成されたリソースは、米国中部と東部の両方のデータセンターに保持されます。

Cloud KMS リソースは、次のデュアルリージョンのロケーションに作成できます。

デュアルリージョン名 デュアルリージョンの説明 Cloud HSM を利用可能 Cloud EKM を利用可能
eur4 フィンランドとオランダ ×
nam4 アイオワとサウスカロライナ ×

マルチリージョン

マルチリージョンのロケーションのデータセンターは、広範な地理的エリアにまたがっています。たとえば、europeマルチリージョンで作成されたリソースは、ヨーロッパ全土に分散している複数のデータセンターに保持されます。選択するデータセンターやマルチリージョン内のロケーションを正確に予測または制御することはできません。

Cloud KMS リソースは、次のマルチリージョンのロケーションに作成できます。

マルチリージョン名 Cloud HSM を利用可能 Cloud EKM を利用可能
global ×
asia
europe
us

グローバルロケーション

global ロケーションは、特別なマルチリージョンです。データセンターは世界中に広がっています。選択するデータセンターや場所を正確に予測または制御することはできません。

最適なロケーションのタイプの選択

原則として、すべてのコンポーネントが地理的に近く、アプリケーションのクライアントの近くにあるようにアプリケーションを設計します。鍵のロケーションは、アプリケーション設計の重要な側面です。作成後は、鍵の移動やエクスポートはできません。

マルチリージョンロケーション(europeマルチリージョンなど)を使用する場合、リソースはマルチリージョンにまたがる複数のデータセンターに保持されます。 global ロケーションを含むマルチリージョンのロケーションでの鍵の作成と更新は、シングル リージョン ロケーションを使用するよりも効率が悪い場合があります。詳細については、マルチリージョンロケーションの読み取りと書き込みをご覧ください。

次のすべてに該当する場合は、globalロケーションを使用します。

  • アプリケーションのコンポーネントがグローバルに分散されている
  • 読み取りまたは書き込みの頻度が低いが、他の暗号化オペレーションを頻繁に使用している
  • 鍵を HSM に保存する必要がない
  • 鍵に地域別の要件がない

顧客管理の暗号鍵(CMEK)統合では、統合に関連するその他のリソースと完全に一致したロケーションを使用する必要があります。一部の CMEK 統合では、globalロケーションはサポートされていません。

CMEK 統合の詳細については、保存時の暗号化の関連セクションをご覧ください。

デュアルリージョンのロケーションは、同じくデュアルリージョンのロケーションを使用する Cloud Storage リソースでの使用でのみサポートされます。

Cloud EKM リソースは、Google Cloud と Google Cloud 以外の外部の鍵管理サービスとの間の接続性に依存します。Cloud External Key Manager のリソースの場合は、外部の鍵管理サービスで鍵が格納されているロケーションに可能な限り近いロケーションを選択します。

Cloud HSM は、ロケーションのデータセンター内の物理ハードウェアの可用性に依存します。Cloud HSM リソースの場合は、Cloud HSM をサポートするロケーションを選択します。

Cloud HSM リソースにはロケーション固有の割り当てがあります。Cloud KMS の割り当てはグローバルです。

デュアルリージョンとマルチリージョンのロケーションには、シングル リージョンのロケーションの割り当てとは独立した、別の割り当てがあります。たとえば、Cloud HSM リソースを nam4 デュアルリージョンに作成する場合、us-central1 など、nam4 に参加している単一リージョンにすでに割り当てている場合でも、nam4 に HSM を割り当てる必要があります。

マルチリージョンロケーションからの読み取りと書き込み

global ロケーションを含むデュアルリージョンまたはマルチリージョンのリソースや関連メタデータの読み取りと書き込みは、シングル リージョンから読み書きするよりも処理速度が遅くなることがあります。

  • 鍵バージョンを作成または読み込む場合、鍵マテリアルを格納するデータセンター間で常に合意が必要です。シングル リージョンの読み取りと書き込みは、多くの場合デュアルリージョンまたはマルチリージョンのロケーションよりも効率的です。
  • データを暗号化または復号するときなど、暗号オペレーションを実行する場合は、合意は必要ありません。暗号オペレーションの場合、デュアルリージョンロケーションとマルチリージョンロケーションは、シングルリージョンロケーションと同様に機能します。
  • 保護または検証するデータに地理的に近い場所に鍵を保存すると、通常は暗号化オペレーションがより効率的になります。

パフォーマンスと可用性のトレードオフはアプリケーションごとに異なります。デュアルリージョンやglobalを含むマルチリージョンのロケーションは、読み取りが多いワークロードに最適です。

利用可能なリージョンの確認

Cloud SDK または Cloud Key Management Service API を使用して、使用可能なリージョンのリストを取得できます。

gcloud

    gcloud kms locations list
    

このコマンドの出力の HSM_AVAILABLE 列で、ロケーションで Cloud HSM がサポートされているかどうかがわかります。

API

Locations.get メソッドと Locations.list メソッドを使用します。

これらのメソッドのレスポンスには、hsmAvailable フィールドが含まれます。hsmAvailable フィールドは、ロケーションで Cloud HSM がサポートされているかどうかを表す bool 値です。

次のステップ