Esta página foi traduzida pela API Cloud Translation.

Locais do Cloud KMS

Em um projeto, os recursos do Cloud Key Management Service podem ser criados em um dos vários locais. Elas representam as regiões geográficas onde um recurso do Cloud KMS é armazenado e pode ser acessado. O local de uma chave afeta o desempenho dos aplicativos que usam a chave. Alguns recursos, como chaves do Cloud HSM, não estão disponíveis em todos os locais.

O material das chaves do Cloud KMS e do Cloud HSM é restrito à região selecionada em repouso e em uso.

As tabelas a seguir listam os locais disponíveis para uso no Cloud KMS em diferentes partes do mundo. É possível filtrar esses locais tipo de local, suporte do Cloud HSM Suporte do Cloud EKM:

Américas

Nome do local	Tipo de local	Descrição do local	Cloud HSM disponível	Cloud EKM disponível
`ca`	Multirregional	Várias regiões no Canadá	Não	Sim
`nam3`	Multirregional	Norte da Virgínia e Carolina do Sul	Sim	Sim
`nam4`	Multirregional	Iowa, Carolina do Sul e Oklahoma	Sim	Sim
`nam6`	Multirregional	Iowa e Carolina do Sul	Sim	Sim
`nam7`	Multirregional	Iowa, Norte da Virgínia e Oklahoma	Sim	Sim
`nam8`	Multirregional	Los Angeles, Oregon e Salt Lake City	Sim	Sim
`nam9`	Multirregional	Norte da Virgínia e Iowa	Sim	Sim
`nam10`	Multirregional	Iowa, Salt Lake City e Oklahoma	Sim	Sim
`nam11`	Multirregional	Iowa, Carolina do Sul e Oklahoma	Sim	Sim
`nam12`	Multirregional	Iowa, Virgínia do Norte, Oklahoma e Oregon	Sim	Sim
`northamerica-northeast1`	Região:	Montreal	Sim	Sim
`northamerica-northeast2`	Região:	Toronto	Sim	Sim
`southamerica-east1`	Região:	São Paulo	Sim	Sim
`southamerica-west1`	Região:	Santiago	Sim	Sim
`us`	Multirregional	Várias regiões nos Estados Unidos	Sim	Sim
`us-central1`	Região:	Iowa	Sim	Sim
`us-east1`	Região:	Carolina do Sul	Sim	Sim
`us-east4`	Região:	Norte da Virgínia	Sim	Sim
`us-east5`	Região:	Columbus	Sim	Sim
`us-west1`	Região:	Oregon	Sim	Sim
`us-west2`	Região:	Los Angeles	Sim	Sim
`us-west3`	Região:	Salt Lake City	Sim	Sim
`us-west4`	Região:	Las Vegas	Sim	Sim
`us-south1`	Região:	Dallas	Sim	Sim

Ásia-Pacífico

Nome do local	Tipo de local	Descrição do local	Cloud HSM disponível	Cloud EKM disponível
`asia`	Multirregional	Várias regiões na Ásia	Sim	Sim
`asia1`	Multirregional	Tóquio, Osaka e Seul	Sim	Sim
`asia-east1`	Região:	Taiwan	Sim	Sim
`asia-east2`	Região:	Hong Kong	Sim	Sim
`asia-northeast1`	Região:	Tóquio	Sim	Sim
`asia-northeast2`	Região:	Osaka	Sim	Sim
`asia-northeast3`	Região:	Seul	Sim	Sim
`asia-south1`	Região:	Mumbai	Sim	Sim
`asia-south2`	Região:	Délhi	Sim	Sim
`asia-southeast1`	Região:	Singapura	Sim	Sim
`asia-southeast2`	Região:	Jacarta	Sim	Sim
`au`	Multirregional	Várias regiões na Austrália	Não	Sim
`australia-southeast1`	Região:	Sydney	Sim	Sim
`australia-southeast2`	Região:	Melbourne	Sim	Sim
`in`	Multirregional	Várias regiões na Índia	Sim	Sim

Europa, Oriente Médio
e África

Nome do local	Tipo de local	Descrição do local	Cloud HSM disponível	Cloud EKM disponível
`africa-south1`	Região:	Johannesburgo	Sim	Sim
`eur3`	Multirregional	Bélgica e Países Baixos	Sim	Sim
`eur4`	Multirregional	Finlândia, Bélgica e Países Baixos	Sim	Sim
`eur5`	Multirregional	Londres, Países Baixos e Bélgica	Sim	Sim
`eur6`	Multirregional	Países Baixos, Frankfurt e Zurique	Sim	Sim
`eur7`	Multirregional	Londres, Frankfurt e Berlim	Não	Sim
`eur8`	Multirregional	Zurique, Frankfurt e Berlim	Não	Sim
`europe`	Multirregional	Várias regiões na União Europeia¹	Sim	Sim
`europe-central2`	Região:	Varsóvia	Sim	Sim
`europe-north1`	Região:	Finlândia	Sim	Sim
`europe-southwest1`	Região:	Madri	Sim	Sim
`europe-west1`	Região:	Bélgica	Sim	Sim
`europe-west2`	Região:	Londres	Sim	Sim
`europe-west3`	Região:	Frankfurt	Sim	Sim
`europe-west4`	Região:	Países Baixos	Sim	Sim
`europe-west6`	Região:	Zurique	Sim	Sim
`europe-west8`	Região:	Milão	Sim	Sim
`europe-west9`	Região:	Paris	Sim	Sim
`europe-west10`	Região:	Berlim	Sim	Sim
`europe-west12`	Região:	Turim	Sim	Sim
`de`	Multirregional	Várias regiões na Alemanha	Não	Não
`it`	Multirregional	Várias regiões na Itália	Não	Sim
`me-central1`	Região:	Doha	Sim	Sim
`me-central2`	Região:	Damã	Sim	Sim
`me-west1`	Região:	Tel Aviv	Sim	Sim

¹ Os recursos criados na multirregião europe não são armazenados nos data centers europe-west2 (Londres) ou europe-west6 (Zurique).

serviços globais

Nome do local	Tipo de local	Descrição do local	Cloud HSM disponível	Cloud EKM disponível
`global`	global		Sim	Não
`nam-eur-asia1`	Multirregional	América do Norte, Europa e Ásia (Iowa, Oklahoma, Bélgica e Taiwan)	Sim	Não

Tipos de locais do Cloud KMS

É possível criar recursos do Cloud KMS, do Cloud HSM e do Cloud EKM em diferentes tipos de locais no Google Cloud, dependendo dos requisitos de disponibilidade. Os locais são adicionados regularmente. Para informações específicas sobre cada local, consulte Locais.

Saiba mais sobre como escolher o melhor tipo de local.

Os seguintes tipos de local estão disponíveis para o Cloud KMS:

Locais regionais: os data centers de um local regional existem em um um local geográfico específico. Por exemplo, um recurso criado na região us-central1 está localizado na região central dos Estados Unidos.
Locais multirregionais: os data centers de um local multirregional são espalhados por uma ampla área geográfica. Por exemplo, um recurso criado na multirregião europe persiste em vários data centers na União Europeia. Não é possível escolher quais data centers multirregional vai conter seus dados.
O local global: o local global é uma multirregião especial. Seus data centers estão espalhados por todo o mundo. Não é possível escolher quais data centers na multirregião global vão conter seus dados.

Como escolher o melhor tipo de local

Como regra, projete seu aplicativo para que todos os seus componentes estejam geograficamente próximos uns dos outros e próximos aos clientes do seu aplicativo. O local das chaves é um aspecto importante do design do aplicativo. Após a criação, uma chave não pode ser movida ou exportada.

Ao usar um local multirregional, como a multirregião europe, os recursos permanecem em vários data centers espalhados pela multirregião. Como criar e atualizar chaves em locais multirregionais, incluindo a global pode ser menos eficiente do que usar um local de região única. Para mais informações, consulte Como ler e gravar em locais multirregionais.

Use o local global se todas as condições a seguir forem verdadeiras:

Os componentes do seu aplicativo são distribuídos globalmente.
Você tem leituras ou gravações pouco frequentes, mas usa outras operações criptográficas com frequência.
Suas chaves não têm requisitos de residência geográfica.
Você não está usando chaves externas.

Para instâncias gerenciadas pelo cliente de chaves de criptografia (CMEK, na sigla em inglês), você precisa usar o mesmo local outros recursos relacionados à integração. Algumas integrações de CMEK não oferecem suporte o local global. Para mais informações sobre integrações de CMEK, consulte Chaves de criptografia gerenciadas pelo cliente (CMEK).

Os recursos do Cloud EKM dependem da conectividade entre o Google Cloud e um serviço de gerenciamento de chaves externo, fora do Google Cloud. Para recursos do Cloud External Key Manager, selecione um local geograficamente mais próximo possível do local onde as chaves são armazenadas no serviço de gerenciamento de chave externo.

O Cloud HSM depende da disponibilidade de hardware físico nos data centers de um local. Para recursos do Cloud HSM, selecione um local compatível com o Cloud HSM.

Os recursos do Cloud HSM têm cotas específicas de local. As cotas do Cloud KMS são globais.

Locais multirregionais têm cotas separadas, independentes da cotas para locais de região única. Por exemplo, para criar o Cloud HSM na multirregião eur5, é necessário ter uma cota de HSM em eur5, mesmo se você já tem cota nas regiões únicas que participam de eur5, como europe-west2.

Como ler e gravar em locais multirregionais

Ler e gravar recursos ou metadados associados em regiões multirregionais locais, incluindo o global, pode ser mais lento do que a leitura ou a gravação de uma só região.

Quando você cria ou lê versões de chave, o consenso é sempre exigido entre os data centers que armazenam o material da chave. Leituras e gravações em uma única região costuma ser mais eficiente do que uma localização multirregional.
Quando você realiza operações criptográficas, como ao criptografar ou descriptografar dados, o consenso não é necessário. Para operações criptográficas, os locais multirregionais têm um desempenho semelhante ao dos locais com apenas uma região.
Quando você armazena as chaves em um local ou local geograficamente próximo aos dados que eles protegem ou validam, as operações criptográficas geralmente são mais eficientes.

As vantagens e desvantagens entre desempenho e disponibilidade são exclusivas para cada aplicativo. Locais multirregionais, incluindo global, são mais adequados para com grandes cargas de trabalho de leitura.

Como determinar as regiões disponíveis

Use a Google Cloud CLI ou a API Cloud Key Management Service para conferir uma lista de regiões disponíveis.

gcloud

gcloud kms locations list

Na saída do comando, a coluna HSM_AVAILABLE indica se o local é compatível com o Cloud HSM. A coluna EKM_AVAILABLE indica se o local é compatível com o gerenciador de chaves externas do Cloud. Note que o EKM via chaves VPC estão disponíveis apenas em locais regionais.

API

Use os métodos Locations.get e Locations.list.

As respostas dos dois métodos incluem campos booleanos relacionados aos recursos de um local:

Se um local for compatível com chaves do Cloud HSM, hsmAvailable será true.
Se um local for compatível com chaves do Cloud EKM, ekmAvailable será true. Note que o EKM via chaves VPC está atualmente disponível apenas em os locais regionais.

A seguir

Saiba mais sobre Geografia e regiões no Google Cloud.
Veja a lista completa Locais do Cloud.