Cloud KMS のロケーション

プロジェクト内では、Cloud Key Management Service のリソースは、多数あるロケーションの 1 つに作成できます。このロケーションは、Cloud KMS リソースが保存されアクセスされる地理的な場所を表しています。ある鍵のロケーションは、その鍵を使用するアプリケーションのパフォーマンスに影響を与えます。Cloud HSM 鍵など一部のリソースは、すべてのロケーションで利用できるわけではありません。

Cloud KMS 鍵と Cloud HSM 鍵の鍵マテリアルは、保存時と使用中に選択したリージョンに固定されます。

次の表に、Cloud KMS で使用できるさまざまなロケーションのロケーションを示します。これらのロケーションは、ロケーション タイプ、Cloud HSM サポート、Cloud EKM サポートでフィルタできます。

フィルタ条件:

南北アメリカ

場所の名称 ロケーション タイプ ロケーションの説明 Cloud HSM を利用可能 Cloud EKM を利用可能
nam3 マルチリージョン 北バージニアとサウスカロライナ インターネット経由のみ
nam4 マルチリージョン アイオワ、サウスカロライナ、オクラホマ インターネット経由のみ
nam6 マルチリージョン アイオワとサウスカロライナ インターネット経由のみ
nam7 マルチリージョン アイオワ、北バージニア、オクラホマ インターネット経由のみ
nam8 マルチリージョン ロサンゼルス、オレゴン、ソルトレイクシティ インターネット経由のみ
nam9 マルチリージョン 北バージニアとアイオワ インターネット経由のみ
nam10 マルチリージョン アイオワ、ソルトレイクシティ、オクラホマ インターネット経由のみ
nam11 マルチリージョン アイオワ、サウスカロライナ、オクラホマ インターネット経由のみ
nam12 マルチリージョン アイオワ、バージニア州北部、オクラホマ、オレゴン インターネット経由のみ
northamerica-northeast1 地域: モントリオール
northamerica-northeast2 地域: トロント
southamerica-east1 地域: サンパウロ
southamerica-west1 地域: サンティアゴ
us マルチリージョン 米国内の複数のリージョン インターネット経由のみ
us-central1 地域: アイオワ
us-east1 地域: サウスカロライナ
us-east4 地域: 北バージニア
us-east5 地域: コロンバス
us-west1 地域: オレゴン
us-west2 地域: ロサンゼルス
us-west3 地域: ソルトレイクシティ
us-west4 地域: ラスベガス
us-south1 地域: ダラス

ヨーロッパ、中東

場所の名称 ロケーション タイプ ロケーションの説明 Cloud HSM を利用可能 Cloud EKM を利用可能
eur3 マルチリージョン ベルギーとオランダ インターネット経由のみ
eur4 マルチリージョン フィンランド、オランダ、ベルギー インターネット経由のみ
eur5 マルチリージョン ロンドン、オランダ、ベルギー インターネット経由のみ
eur6 マルチリージョン オランダ、フランクフルト、チューリッヒ インターネット経由のみ
europe マルチリージョン EU 内の複数のリージョン1 インターネット経由のみ
europe-central2 地域: ワルシャワ
europe-north1 地域: フィンランド
europe-southwest1 地域: マドリッド
europe-west1 地域: ベルギー
europe-west2 地域: ロンドン
europe-west3 地域: フランクフルト
europe-west4 地域: オランダ
europe-west6 地域: チューリッヒ
europe-west8 地域: ミラノ
europe-west9 地域: パリ
europe-west10 地域: ベルリン いいえ いいえ
europe-west12 地域: トリノ いいえ
me-central1 地域: ドーハ
me-central2 地域: ダンマーム
me-west1 地域: テルアビブ
1 europe マルチリージョンで作成されたリソースは europe-west2(ロンドン)データセンターまたは europe-west6(チューリッヒ)データセンターには保存されません。

アジア太平洋

場所の名称 ロケーション タイプ ロケーションの説明 Cloud HSM を利用可能 Cloud EKM を利用可能
asia マルチリージョン アジアの複数のリージョン インターネット経由のみ
asia1 マルチリージョン 東京、大阪、ソウル インターネット経由のみ
in マルチリージョン インドの複数のリージョン いいえ インターネット経由のみ
asia-east1 地域: 台湾
asia-east2 地域: 香港
asia-northeast1 地域: 東京
asia-northeast2 地域: 大阪
asia-northeast3 地域: ソウル
asia-south1 地域: ムンバイ
asia-south2 地域: デリー
asia-southeast1 地域: シンガポール
asia-southeast2 地域: ジャカルタ
australia-southeast1 地域: シドニー
australia-southeast2 地域: メルボルン

すべての国

場所の名称 ロケーション タイプ ロケーションの説明 Cloud HSM を利用可能 Cloud EKM を利用可能
global グローバル No
nam-eur-asia1 マルチリージョン 北アメリカ、ヨーロッパ、アジア
(アイオワ、オクラホマ、ベルギー、台湾)
No No

Cloud KMS のロケーションの種類

Cloud KMS、Cloud HSM、Cloud EKM のリソースは、可用性の要件に応じて、Google Cloud のさまざまなロケーションの種類に作成できます。ロケーションは定期的に追加されます。各ロケーションの具体的な情報については、ロケーションをご覧ください。

詳細については、最適なロケーションの種類を選ぶをご覧ください。

Cloud KMS では、次のロケーション タイプを使用できます。

  • リージョンのロケーション: リージョン ロケーションのデータセンターは、地理的に具体的な場所に配置されます。たとえば、us-central1 リージョンで作成されるリソースは、米国中部に配置されます。
  • マルチリージョンのロケーション: マルチリージョンのロケーションのデータセンターは広範な地域に分散しています。たとえば、europe マルチリージョンで作成されるリソースは、欧州連合内の複数のデータセンターに存在します。マルチリージョン内のどのデータセンターにデータを含むかは選択できません。
  • グローバル ロケーション: global ロケーションは特別なマルチリージョンです。このロケーションのデータセンターは、世界中に広がっています。グローバル マルチリージョン内のどのデータセンターにデータを含むかは選択できません。

最適なロケーションのタイプの選択

原則として、すべてのコンポーネントが地理的に近く、アプリケーションのクライアントの近くに存在するようにアプリケーションを設計します。鍵の場所はアプリケーションの設計の重要な側面です。作成後、鍵を移動したりエクスポートしたりできません。

europe マルチリージョンなど、マルチリージョン ロケーションを使用する場合、リソースはマルチリージョン全体に広がる複数のデータセンターで保持されます。global ロケーションを含むマルチリージョン ロケーションで鍵の作成および更新を行うと、シングルリージョン ロケーションを使用する場合よりも効率が下がる可能性があります。詳細については、マルチリージョン ロケーションの読み取りと書き込みをご覧ください。

次のすべてに該当する場合は、global ロケーションを使用します。

  • アプリケーションのコンポーネントがグローバルに分散している。
  • 読み取りまたは書き込みの頻度が低いが、他の暗号オペレーションを頻繁に使用している。
  • 鍵に地域別の要件がない。
  • 外部鍵を使用していない。

顧客管理の暗号鍵(CMEK)統合では、統合に関連するその他のリソースと同じロケーションを使用する必要があります。一部の CMEK 統合では、global ロケーションはサポートされていません。CMEK 統合の詳細については、顧客管理の暗号鍵(CMEK)をご覧ください。

Cloud EKM リソースは、Google Cloud と Google Cloud 以外の外部の鍵管理サービスとの間の接続性に依存します。Cloud External Key Manager のリソースの場合は、外部の鍵管理サービスで鍵が格納されているロケーションに可能な限り近いロケーションを選択します。

Cloud HSM は、ロケーションのデータセンターにある物理的なハードウェアの可用性に依存します。Cloud HSM リソースの場合は、Cloud HSM がサポートされるロケーションを選択します。

Cloud HSM リソースには、ロケーション固有の割り当てがあります。 Cloud KMS の割り当てはグローバルです。

マルチリージョンのロケーションには、シングル リージョンのロケーションの割り当てとは独立した、別の割り当てがあります。たとえば、Cloud HSM リソースを eur5 マルチリージョンに作成する場合、europe-west2 など、eur5 に参加している単一リージョンにすでに割り当てている場合でも、eur5 に HSM を割り当てる必要があります。

マルチリージョン ロケーションの読み取りと書き込み

global ロケーションを含むマルチリージョンのリソースや関連メタデータの読み取りと書き込みは、シングル リージョンから読み書きするよりも処理速度が遅くなることがあります。

  • 鍵バージョンを作成または読み込む場合、鍵マテリアルを格納するデータセンター間で常に合意が必要です。シングル リージョンの読み取りと書き込みは、多くの場合、マルチリージョンのロケーションよりも効率的です。
  • データの暗号化や復号などの暗号オペレーションを実行する場合、合意は不要です。暗号オペレーションでは、マルチリージョンのロケーションは、シングル リージョンのロケーションと同じ様に機能します。
  • 保護や検証をするデータに地理的に近いロケーションに鍵を保存すると、通常は暗号オペレーションがより効率的になります。

パフォーマンスと可用性のトレードオフは、アプリケーションごとに異なります。global などのマルチリージョンのロケーションは、読み取り負荷の高いワークロードに適しています。

利用可能なリージョンの確認

Google Cloud CLI または Cloud Key Management Service API を使用すると、使用可能なリージョンのリストを取得できます。

gcloud

gcloud kms locations list

このコマンドの出力の HSM_AVAILABLE 列で、ロケーションで Cloud HSM がサポートされているかどうかがわかります。EKM_AVAILABLE 列で、そのロケーションが Cloud External Key Manager をサポートしているかどうかがわかります。 : 現在、VPC 鍵による EKM はリージョンのロケーションでのみ使用できます。

API

Locations.get メソッドと Locations.list メソッドを使用します。methods.

どちらのメソッドからのレスポンスにも、ロケーションの機能に関連するブール値フィールドがあります。

  • ロケーションで Cloud EKM 鍵がサポートされている場合、hsmAvailabletrue です。

  • ロケーションで Cloud EKM 鍵がサポートされている場合、ekmAvailabletrue です。 : 現在、VPC 鍵による EKM はリージョンのロケーションでのみ使用できます。

次のステップ