Lokasi Cloud KMS

Dalam project, resource Cloud Key Management Service dapat dibuat di salah satu dari banyak lokasi. Lokasi ini mewakili region geografis tempat resource Cloud KMS disimpan dan dapat diakses. Lokasi kunci memengaruhi performa aplikasi yang menggunakan kunci. Beberapa resource, seperti kunci Cloud HSM, tidak tersedia di setiap lokasi.

Materi kunci untuk kunci Cloud KMS dan Cloud HSM dibatasi ke region yang dipilih saat dalam penyimpanan dan digunakan.

Tabel berikut mencantumkan lokasi yang tersedia untuk digunakan di Cloud KMS untuk berbagai bagian dunia. Anda dapat memfilter lokasi ini menurut jenis lokasi, dukungan Cloud HSM, dan dukungan Cloud EKM:

Filter menurut:

Amerika

Nama lokasi Jenis lokasi Deskripsi lokasi Cloud HSM tersedia Cloud EKM tersedia
ca Multi-region Beberapa region di Kanada Tidak Ya
nam3 Multi-region Northern Virginia dan South Carolina Ya Ya
nam4 Multi-region Iowa, South Carolina, dan Oklahoma Ya Ya
nam6 Multi-region Iowa dan South Carolina Ya Ya
nam7 Multi-region Iowa, Northern Virginia, dan Oklahoma Ya Ya
nam8 Multi-region Los Angeles, Oregon, dan Salt Lake City Ya Ya
nam9 Multi-region Northern Virginia dan Iowa Ya Ya
nam10 Multi-region Iowa, Salt Lake City, dan Oklahoma Ya Ya
nam11 Multi-region Iowa, South Carolina, dan Oklahoma Ya Ya
nam12 Multi-region Iowa, Northern Virginia, Oklahoma, dan Oregon Ya Ya
northamerica-northeast1 Wilayah Montréal Ya Ya
northamerica-northeast2 Wilayah Toronto Ya Ya
northamerica-south1 Wilayah Meksiko Ya Tidak
southamerica-east1 Wilayah Sao Paulo Ya Ya
southamerica-west1 Wilayah Santiago Ya Ya
us Multi-region Beberapa region di Amerika Serikat Ya Ya
us-central1 Wilayah Iowa Ya Ya
us-east1 Wilayah South Carolina Ya Ya
us-east4 Wilayah Northern Virginia Ya Ya
us-east5 Wilayah Columbus Ya Ya
us-west1 Wilayah Oregon Ya Ya
us-west2 Wilayah Los Angeles Ya Ya
us-west3 Wilayah Salt Lake City Ya Ya
us-west4 Wilayah Las Vegas Ya Ya
us-south1 Wilayah Dallas Ya Ya

Asia-Pasifik

Nama lokasi Jenis lokasi Deskripsi lokasi Cloud HSM tersedia Cloud EKM tersedia
asia Multi-region Beberapa region di Asia Ya Ya
asia1 Multi-region Tokyo, Osaka, dan Seoul Ya Ya
asia-east1 Wilayah Taiwan Ya Ya
asia-east2 Wilayah Hong Kong Ya Ya
asia-northeast1 Wilayah Tokyo Ya Ya
asia-northeast2 Wilayah Osaka Ya Ya
asia-northeast3 Wilayah Seoul Ya Ya
asia-south1 Wilayah Mumbai Ya Ya
asia-south2 Wilayah Delhi Ya Ya
asia-southeast1 Wilayah Singapura Ya Ya
asia-southeast2 Wilayah Jakarta Ya Ya
au Multi-region Beberapa region di Australia Tidak Ya
australia-southeast1 Wilayah Sydney Ya Ya
australia-southeast2 Wilayah Melbourne Ya Ya
in Multi-region Beberapa region di India Ya Ya

Eropa, Timur Tengah,
dan Afrika

Nama lokasi Jenis lokasi Deskripsi lokasi Cloud HSM tersedia Cloud EKM tersedia
africa-south1 Wilayah Johannesburg Ya Ya
eur3 Multi-region Belgia dan Belanda Ya Ya
eur4 Multi-region Finlandia, Belanda, dan Belgia Ya Ya
eur5 Multi-region London, Belanda, dan Belgia Ya Ya
eur6 Multi-region Belanda, Frankfurt, dan Zurich Ya Ya
eur7 Multi-region London, Frankfurt, dan Berlin Tidak Ya
eur8 Multi-region Zurich, Frankfurt, dan Berlin Tidak Ya
europe Multi-region Beberapa region di Uni Eropa1 Ya Ya
europe-central2 Wilayah Warsawa Ya Ya
europe-north1 Wilayah Finlandia Ya Ya
europe-southwest1 Wilayah Madrid Ya Ya
europe-west1 Wilayah Belgia Ya Ya
europe-west2 Wilayah London Ya Ya
europe-west3 Wilayah Frankfurt Ya Ya
europe-west4 Wilayah Belanda Ya Ya
europe-west6 Wilayah Zürich Ya Ya
europe-west8 Wilayah Milan Ya Ya
europe-west9 Wilayah Paris Ya Ya
europe-west10 Wilayah Berlin Ya Ya
europe-west12 Wilayah Turin Ya Ya
de Multi-region Beberapa region di Jerman Tidak Ya
it Multi-region Beberapa region di Italia Tidak Ya
me-central1 Wilayah Doha Ya Ya
me-central2 Wilayah Dammam Ya Ya
me-west1 Wilayah Tel Aviv Ya Ya
1 Resource yang dibuat di multi-region europe tidak disimpan di pusat data europe-west2 (London) atau europe-west6 (Zürich).

Seluruh dunia

Nama lokasi Jenis lokasi Deskripsi lokasi Cloud HSM tersedia Cloud EKM tersedia
global global Ya Tidak
nam-eur-asia1 Multi-region Amerika Utara, Eropa, dan Asia
(Iowa, Oklahoma, Belgia, dan Taiwan)
Ya Tidak

Jenis lokasi untuk Cloud KMS

Anda dapat membuat resource Cloud KMS, Cloud HSM, dan Cloud EKM di berbagai jenis lokasi di Google Cloud, bergantung pada persyaratan ketersediaan Anda. Lokasi ditambahkan secara rutin. Untuk informasi khusus tentang setiap lokasi, lihat Lokasi.

Anda dapat mempelajari lebih lanjut cara memilih jenis lokasi terbaik.

Jenis lokasi berikut tersedia untuk Cloud KMS:

  • Lokasi regional: Pusat data lokasi regional berada di tempat geografis tertentu. Misalnya, resource yang dibuat di region us-central1 terletak di bagian tengah Amerika Serikat.
  • Lokasi multi-region: Pusat data lokasi multi-region tersebar di area geografis yang luas. Misalnya, resource yang dibuat di multi-region europe akan tetap ada di beberapa pusat data dalam Uni Eropa. Anda tidak dapat memilih pusat data mana dalam multi-region yang akan menyimpan data Anda.
  • Lokasi global: Lokasi global adalah multi-region khusus. Pusat datanya tersebar di seluruh dunia. Anda tidak dapat memilih pusat data mana dalam multi-region global yang akan berisi data Anda.

Memilih jenis lokasi terbaik

Sebagai aturan, desain aplikasi Anda sehingga semua komponennya secara geografis dekat satu sama lain dan dekat dengan klien aplikasi Anda. Lokasi kunci adalah aspek penting dari desain aplikasi Anda. Setelah dibuat, kunci tidak dapat dipindahkan atau diekspor.

Saat menggunakan lokasi multi-regional, seperti multi-region europe, resource akan dipertahankan di beberapa datacenter yang tersebar di seluruh multi-region. Membuat dan memperbarui kunci di lokasi multi-region, termasuk lokasi global, mungkin kurang efisien daripada menggunakan lokasi satu region. Untuk informasi selengkapnya, lihat Membaca dari dan menulis ke lokasi multi-region.

Gunakan lokasi global jika semua hal berikut benar:

  • Komponen aplikasi Anda didistribusikan secara global.
  • Anda jarang melakukan operasi baca atau tulis, tetapi sering menggunakan operasi kriptografi lainnya.
  • Kunci Anda tidak memiliki persyaratan tempat tinggal geografis.
  • Anda tidak menggunakan kunci eksternal.

Untuk integrasi Kunci Enkripsi yang Dikelola Pelanggan (CMEK), Anda harus menggunakan lokasi yang sama persis dengan resource lain yang terkait dengan integrasi. Beberapa integrasi CMEK tidak mendukung lokasi global. Untuk informasi selengkapnya tentang integrasi CMEK, lihat Kunci enkripsi yang dikelola pelanggan (CMEK).

Resource Cloud EKM mengandalkan konektivitas antara Google Cloud dan layanan pengelolaan kunci enkripsi eksternal, di luar Google Cloud. Untuk resource Cloud External Key Manager, pilih lokasi yang secara geografis sedekat mungkin dengan lokasi penyimpanan kunci di layanan pengelolaan kunci enkripsi eksternal.

Cloud HSM bergantung pada ketersediaan hardware fisik di datacenter lokasi. Untuk resource Cloud HSM, pilih lokasi yang mendukung Cloud HSM.

Resource Cloud HSM memiliki kuota khusus lokasi. Kuota Cloud KMS bersifat global.

Lokasi multi-region memiliki kuota terpisah, terlepas dari kuota untuk lokasi satu region. Misalnya, untuk membuat resource Cloud HSM di multi-region eur5, Anda harus memiliki kuota HSM di eur5, meskipun sudah memiliki kuota di satu region yang berpartisipasi dalam eur5, seperti europe-west2.

Membaca dari dan menulis ke lokasi multi-region

Membaca dan menulis resource atau metadata terkait di lokasi multi-regional, termasuk lokasi global, mungkin lebih lambat daripada membaca atau menulis dari satu region.

  • Saat Anda membuat atau membaca versi kunci, konsensus selalu diperlukan di antara data center yang menyimpan materi kunci. Operasi baca dan tulis ke satu region sering kali lebih efisien daripada operasi baca dan tulis ke lokasi multi-regional.
  • Saat Anda melakukan operasi kriptografis, seperti saat mengenkripsi atau mendekode data, konsensus tidak diperlukan. Untuk operasi kriptografi, performa lokasi multi-region serupa dengan lokasi satu region.
  • Jika Anda menyimpan kunci di satu atau beberapa lokasi yang secara geografis dekat dengan data yang dilindungi atau divalidasi, operasi kriptografis biasanya lebih efisien.

Kompromi antara performa dan ketersediaan bersifat unik untuk setiap aplikasi. Lokasi multi-region, termasuk global, paling cocok untuk workload yang banyak membaca.

Menentukan region yang tersedia

Anda dapat menggunakan Google Cloud CLI atau Cloud Key Management Service API untuk mendapatkan daftar region yang tersedia.

gcloud

gcloud kms locations list

Dalam output dari perintah, kolom HSM_AVAILABLE menunjukkan apakah lokasi mendukung Cloud HSM. Kolom EKM_AVAILABLE menunjukkan apakah lokasi mendukung Cloud External Key Manager. Perhatikan bahwa EKM melalui kunci VPC saat ini hanya tersedia di lokasi regional.

API

Gunakan metode Locations.get dan Locations.list.

Respons dari kedua metode ini mencakup kolom boolean yang terkait dengan kemampuan lokasi:

  • Jika lokasi mendukung kunci Cloud HSM, hsmAvailable adalah true.

  • Jika lokasi mendukung kunci Cloud EKM, ekmAvailable adalah true. Perhatikan bahwa EKM melalui kunci VPC saat ini hanya tersedia di lokasi regional.

Langkah selanjutnya