All'interno di un progetto, le risorse di Cloud Key Management Service possono essere create in una delle numerose località. Rappresentano le regioni geografiche in cui è archiviata e accessibile una risorsa Cloud KMS. La località di una chiave influisce sulle prestazioni delle applicazioni che la utilizzano. Alcune risorse, ad esempio le chiavi Cloud HSM, non sono disponibili in tutte le località.
Il materiale delle chiavi per le chiavi di Cloud KMS e Cloud HSM è limitato alla regione selezionata quando inattivi e in uso.
Le seguenti tabelle elencano le località disponibili per l'uso in Cloud KMS in diverse parti del mondo. Puoi filtrare queste località per tipo di località, supporto Cloud HSM e assistenza Cloud EKM:
Americhe
Nome della sede | Tipo di posizione | Descrizione del luogo | Cloud HSM disponibile | Cloud EKM disponibile |
---|---|---|---|---|
ca |
Più regioni | Più regioni in Canada | No | Sì |
nam3 |
Più regioni | Virginia del Nord e Carolina del Sud | Sì | Solo tramite internet |
nam4 |
Più regioni | Iowa, Carolina del Sud e Oklahoma | Sì | Solo tramite internet |
nam6 |
Più regioni | Iowa e Carolina del Sud | Sì | Solo tramite internet |
nam7 |
Più regioni | Iowa, Virginia del Nord e Oklahoma | Sì | Solo tramite internet |
nam8 |
Più regioni | Los Angeles, Oregon e Salt Lake City | Sì | Solo tramite internet |
nam9 |
Più regioni | Virginia del Nord e Iowa | Sì | Solo tramite internet |
nam10 |
Più regioni | Iowa, Salt Lake City e Oklahoma | Sì | Solo tramite internet |
nam11 |
Più regioni | Iowa, Carolina del Sud e Oklahoma | Sì | Solo tramite internet |
nam12 |
Più regioni | Iowa, Virginia del Nord, Oklahoma e Oregon | Sì | Solo tramite internet |
northamerica-northeast1 |
Regione | Montréal | Sì | Sì |
northamerica-northeast2 |
Regione | Toronto | Sì | Sì |
southamerica-east1 |
Regione | San Paolo | Sì | Sì |
southamerica-west1 |
Regione | Santiago | Sì | Sì |
us |
Più regioni | Più regioni negli Stati Uniti | Sì | Solo tramite internet |
us-central1 |
Regione | Iowa | Sì | Sì |
us-east1 |
Regione | Carolina del Sud | Sì | Sì |
us-east4 |
Regione | Virginia del Nord | Sì | Sì |
us-east5 |
Regione | Columbus | Sì | Sì |
us-west1 |
Regione | Oregon | Sì | Sì |
us-west2 |
Regione | Los Angeles | Sì | Sì |
us-west3 |
Regione | Salt Lake City | Sì | Sì |
us-west4 |
Regione | Las Vegas | Sì | Sì |
us-south1 |
Regione | Dallas | Sì | Sì |
Europa, Medio Oriente
e Africa
Nome della sede | Tipo di posizione | Descrizione del luogo | Cloud HSM disponibile | Cloud EKM disponibile |
---|---|---|---|---|
africa-south1 |
Regione | Johannesburg | Sì | Sì |
eur3 |
Più regioni | Belgio e Paesi Bassi | Sì | Solo tramite internet |
eur4 |
Più regioni | Finlandia, Paesi Bassi e Belgio | Sì | Solo tramite internet |
eur5 |
Più regioni | Londra, Paesi Bassi e Belgio | Sì | Solo tramite internet |
eur6 |
Più regioni | Paesi Bassi, Francoforte e Zurigo | Sì | Solo tramite internet |
europe |
Più regioni | Più regioni nell'Unione Europea1 | Sì | Solo tramite internet |
europe-central2 |
Regione | Varsavia | Sì | Sì |
europe-north1 |
Regione | Finlandia | Sì | Sì |
europe-southwest1 |
Regione | Madrid | Sì | Sì |
europe-west1 |
Regione | Belgio | Sì | Sì |
europe-west2 |
Regione | Londra | Sì | Sì |
europe-west3 |
Regione | Francoforte | Sì | Sì |
europe-west4 |
Regione | Paesi Bassi | Sì | Sì |
europe-west6 |
Regione | Zurigo | Sì | Sì |
europe-west8 |
Regione | Milano | Sì | Sì |
europe-west9 |
Regione | Parigi | Sì | Sì |
europe-west10 |
Regione | Berlino | Sì | Sì |
europe-west12 |
Regione | Torino | Sì | Sì |
it |
Più regioni | Più regioni in Italia | No | Solo tramite internet |
me-central1 |
Regione | Doha | Sì | Sì |
me-central2 |
Regione | Dammam | Sì | Sì |
me-west1 |
Regione | Tel Aviv | Sì | Sì |
europe
non vengono archiviate nei data center europe-west2
(Londra) o europe-west6
(Zurigo).
Asia Pacifico
Nome della sede | Tipo di posizione | Descrizione del luogo | Cloud HSM disponibile | Cloud EKM disponibile |
---|---|---|---|---|
asia |
Più regioni | Più regioni in Asia | Sì | Solo tramite internet |
asia1 |
Più regioni | Tokyo, Osaka e Seul | Sì | Solo tramite internet |
in |
Più regioni | Più regioni in India | Sì | Sì |
asia-east1 |
Regione | Taiwan | Sì | Sì |
asia-east2 |
Regione | Hong Kong | Sì | Sì |
asia-northeast1 |
Regione | Tokyo | Sì | Sì |
asia-northeast2 |
Regione | Osaka | Sì | Sì |
asia-northeast3 |
Regione | Seul | Sì | Sì |
asia-south1 |
Regione | Mumbai | Sì | Sì |
asia-south2 |
Regione | Delhi | Sì | Sì |
asia-southeast1 |
Regione | Singapore | Sì | Sì |
asia-southeast2 |
Regione | Giacarta | Sì | Sì |
au |
Più regioni | Più regioni in Australia | No | Sì |
australia-southeast1 |
Regione | Sydney | Sì | Sì |
australia-southeast2 |
Regione | Melbourne | Sì | Sì |
Tutto il mondo
Nome della sede | Tipo di posizione | Descrizione del luogo | Cloud HSM disponibile | Cloud EKM disponibile |
---|---|---|---|---|
global |
globale | Sì | No | |
nam-eur-asia1 |
Più regioni | Nord America, Europa e Asia (Iowa, Oklahoma, Belgio e Taiwan) |
Sì | No |
Tipi di località per Cloud KMS
Puoi creare risorse di Cloud KMS, Cloud HSM e Cloud EKM in diversi tipi di località in Google Cloud, a seconda dei requisiti di disponibilità. Le sedi vengono aggiunte regolarmente. Per informazioni specifiche su ogni sede, consulta la sezione Località.
Scopri di più sulla scelta del tipo di località migliore.
Per Cloud KMS sono disponibili i seguenti tipi di località:
- Località a livello di regione: i data center di una località regionale si trovano in una determinata area geografica. Ad esempio, una risorsa creata nella regione
us-central1
si trova negli Stati Uniti centrali. - Località multiregionali: i data center di una località multiregionale sono distribuiti in un'area geografica di grandi dimensioni. Ad esempio, una risorsa creata
nella località multiregionale
europe
rimane in più data center all'interno dell'Unione europea. Non puoi scegliere quali data center all'interno di più regioni conterranno i tuoi dati. - La località globale: la sede
global
è una località speciale multiregionale. I suoi data center sono sparsi in tutto il mondo. Non puoi scegliere quali data center all'interno di una regione multiregionale globale conterranno i tuoi dati.
Scelta del tipo di località migliore
Come regola generale, progetta la tua applicazione in modo che tutti i suoi componenti siano geograficamente vicini tra loro e vicini ai client dell'applicazione. La posizione delle chiavi è un aspetto importante della progettazione della tua applicazione. Dopo la creazione, una chiave non può essere spostata o esportata.
Quando utilizzi una località multiregionale, ad esempio europe
, le risorse vengono mantenute in più data center distribuiti nell'area multiregionale.
La creazione e l'aggiornamento delle chiavi in località con più regioni, inclusa la località global
, potrebbe essere meno efficiente rispetto all'utilizzo di una località a una singola regione. Per ulteriori
informazioni, consulta la sezione Lettura e scrittura in località multiregionali.
Utilizza la località global
se tutte le seguenti condizioni sono vere:
- I componenti dell'applicazione sono distribuiti a livello globale.
- Hai letture o scritture poco frequenti, ma utilizzi di frequente altre operazioni crittografiche.
- Le tue chiavi non hanno requisiti di residenza geografica.
- Non stai usando tasti esterni.
Per le integrazioni con chiavi di crittografia gestite dal cliente (CMEK), devi utilizzare la stessa località esatta delle altre risorse correlate all'integrazione. Alcune integrazioni CMEK non supportano la posizione global
. Per saperne di più sulle integrazioni CMEK, vedi Chiavi di crittografia gestite dal cliente (CMEK).
Le risorse Cloud EKM si basano sulla connettività tra Google Cloud e un Key Management Service esterno, al di fuori di Google Cloud. Per le risorse Cloud External Key Manager, seleziona una località geograficamente il più vicina possibile alla località in cui sono archiviate le chiavi nel Key Management Service esterno.
Cloud HSM dipende dalla disponibilità di hardware fisico nei data center di una località. Per le risorse Cloud HSM, seleziona una località che supporti Cloud HSM.
Le risorse Cloud HSM hanno quotas specifiche per la località. Le quote di Cloud KMS sono globali.
Le località multiregionali hanno quote separate, indipendenti dalle
quote per le località a singola regione. Ad esempio, per creare risorse Cloud HSM
nell'area multiregionale eur5
, devi disporre della quota HSM in eur5
, anche se
hai già una quota nelle singole regioni che partecipano a eur5
, ad esempio
europe-west2
.
Lettura e scrittura in località multiregionali
La lettura e la scrittura delle risorse o dei metadati associati in località con più regioni, inclusa la località global
, potrebbe essere più lenta rispetto alla lettura o alla scrittura da una singola regione.
- Quando crei o leggi le versioni delle chiavi, è sempre necessario ottenere un consenso tra i data center in cui è archiviato il materiale delle chiavi. Le letture e le scritture in una singola regione sono spesso più efficienti di quelle su più regioni.
- Quando esegui operazioni crittografiche, ad esempio durante la crittografia o la decriptazione dei dati, non è necessario ottenere il consenso. Per le operazioni crittografiche, le località multiregionali hanno prestazioni simili a quelle delle località a singola regione.
- Quando archivi le chiavi in una o più località geograficamente vicine ai dati che proteggono o convalidano, le operazioni crittografiche sono generalmente più efficienti.
I compromessi tra prestazioni e disponibilità sono specifici per ogni applicazione. Le località multiregionali, tra cui global
, sono più adatte per carichi di lavoro ad alta intensità di lettura.
Determinazione delle regioni disponibili
Puoi utilizzare Google Cloud CLI o l'API Cloud Key Management Service per ottenere un elenco delle regioni disponibili.
gcloud
gcloud kms locations list
Nell'output del comando, la colonna HSM_AVAILABLE
indica se la località supporta Cloud HSM. La colonna EKM_AVAILABLE
indica se la località supporta Cloud External Key Manager. Tieni presente che al momento le chiavi EKM tramite VPC sono disponibili solo nelle località regionali.
API
Utilizza i metodi Locations.get
e Locations.list
.
Le risposte di entrambi i metodi includono campi booleani relativi alle funzionalità di una località:
Se una località supporta le chiavi Cloud HSM,
hsmAvailable
ètrue
.Se una località supporta le chiavi Cloud EKM,
ekmAvailable
ètrue
. Tieni presente che EKM tramite chiavi VPC è attualmente disponibile solo nelle località a singola regione.
Passaggi successivi
- Scopri di più su area geografica e regioni in Google Cloud.
- Consulta l'elenco completo delle località cloud.