Località Cloud KMS

All'interno di un progetto, le risorse di Cloud Key Management Service possono essere create in una delle numerose località. Rappresentano le regioni geografiche in cui è archiviata e accessibile una risorsa Cloud KMS. La località di una chiave influisce sulle prestazioni delle applicazioni che la utilizzano. Alcune risorse, ad esempio le chiavi Cloud HSM, non sono disponibili in tutte le località.

Il materiale delle chiavi per le chiavi di Cloud KMS e Cloud HSM è limitato alla regione selezionata quando inattivi e in uso.

Le seguenti tabelle elencano le località disponibili per l'uso in Cloud KMS in diverse parti del mondo. Puoi filtrare queste località per tipo di località, supporto Cloud HSM e assistenza Cloud EKM:

Filtra per:

Americhe

Nome della sede Tipo di posizione Descrizione del luogo Cloud HSM disponibile Cloud EKM disponibile
ca Più regioni Più regioni in Canada No
nam3 Più regioni Virginia del Nord e Carolina del Sud Solo tramite internet
nam4 Più regioni Iowa, Carolina del Sud e Oklahoma Solo tramite internet
nam6 Più regioni Iowa e Carolina del Sud Solo tramite internet
nam7 Più regioni Iowa, Virginia del Nord e Oklahoma Solo tramite internet
nam8 Più regioni Los Angeles, Oregon e Salt Lake City Solo tramite internet
nam9 Più regioni Virginia del Nord e Iowa Solo tramite internet
nam10 Più regioni Iowa, Salt Lake City e Oklahoma Solo tramite internet
nam11 Più regioni Iowa, Carolina del Sud e Oklahoma Solo tramite internet
nam12 Più regioni Iowa, Virginia del Nord, Oklahoma e Oregon Solo tramite internet
northamerica-northeast1 Regione Montréal
northamerica-northeast2 Regione Toronto
southamerica-east1 Regione San Paolo
southamerica-west1 Regione Santiago
us Più regioni Più regioni negli Stati Uniti Solo tramite internet
us-central1 Regione Iowa
us-east1 Regione Carolina del Sud
us-east4 Regione Virginia del Nord
us-east5 Regione Columbus
us-west1 Regione Oregon
us-west2 Regione Los Angeles
us-west3 Regione Salt Lake City
us-west4 Regione Las Vegas
us-south1 Regione Dallas

Europa, Medio Oriente
e Africa

Nome della sede Tipo di posizione Descrizione del luogo Cloud HSM disponibile Cloud EKM disponibile
africa-south1 Regione Johannesburg
eur3 Più regioni Belgio e Paesi Bassi Solo tramite internet
eur4 Più regioni Finlandia, Paesi Bassi e Belgio Solo tramite internet
eur5 Più regioni Londra, Paesi Bassi e Belgio Solo tramite internet
eur6 Più regioni Paesi Bassi, Francoforte e Zurigo Solo tramite internet
europe Più regioni Più regioni nell'Unione Europea1 Solo tramite internet
europe-central2 Regione Varsavia
europe-north1 Regione Finlandia
europe-southwest1 Regione Madrid
europe-west1 Regione Belgio
europe-west2 Regione Londra
europe-west3 Regione Francoforte
europe-west4 Regione Paesi Bassi
europe-west6 Regione Zurigo
europe-west8 Regione Milano
europe-west9 Regione Parigi
europe-west10 Regione Berlino
europe-west12 Regione Torino
it Più regioni Più regioni in Italia No Solo tramite internet
me-central1 Regione Doha
me-central2 Regione Dammam
me-west1 Regione Tel Aviv
1 Le risorse create nell'area multiregionale europe non vengono archiviate nei data center europe-west2 (Londra) o europe-west6 (Zurigo).

Asia Pacifico

Nome della sede Tipo di posizione Descrizione del luogo Cloud HSM disponibile Cloud EKM disponibile
asia Più regioni Più regioni in Asia Solo tramite internet
asia1 Più regioni Tokyo, Osaka e Seul Solo tramite internet
in Più regioni Più regioni in India
asia-east1 Regione Taiwan
asia-east2 Regione Hong Kong
asia-northeast1 Regione Tokyo
asia-northeast2 Regione Osaka
asia-northeast3 Regione Seul
asia-south1 Regione Mumbai
asia-south2 Regione Delhi
asia-southeast1 Regione Singapore
asia-southeast2 Regione Giacarta
au Più regioni Più regioni in Australia No
australia-southeast1 Regione Sydney
australia-southeast2 Regione Melbourne

Tutto il mondo

Nome della sede Tipo di posizione Descrizione del luogo Cloud HSM disponibile Cloud EKM disponibile
global globale No
nam-eur-asia1 Più regioni Nord America, Europa e Asia
(Iowa, Oklahoma, Belgio e Taiwan)
No

Tipi di località per Cloud KMS

Puoi creare risorse di Cloud KMS, Cloud HSM e Cloud EKM in diversi tipi di località in Google Cloud, a seconda dei requisiti di disponibilità. Le sedi vengono aggiunte regolarmente. Per informazioni specifiche su ogni sede, consulta la sezione Località.

Scopri di più sulla scelta del tipo di località migliore.

Per Cloud KMS sono disponibili i seguenti tipi di località:

  • Località a livello di regione: i data center di una località regionale si trovano in una determinata area geografica. Ad esempio, una risorsa creata nella regione us-central1 si trova negli Stati Uniti centrali.
  • Località multiregionali: i data center di una località multiregionale sono distribuiti in un'area geografica di grandi dimensioni. Ad esempio, una risorsa creata nella località multiregionale europe rimane in più data center all'interno dell'Unione europea. Non puoi scegliere quali data center all'interno di più regioni conterranno i tuoi dati.
  • La località globale: la sede global è una località speciale multiregionale. I suoi data center sono sparsi in tutto il mondo. Non puoi scegliere quali data center all'interno di una regione multiregionale globale conterranno i tuoi dati.

Scelta del tipo di località migliore

Come regola generale, progetta la tua applicazione in modo che tutti i suoi componenti siano geograficamente vicini tra loro e vicini ai client dell'applicazione. La posizione delle chiavi è un aspetto importante della progettazione della tua applicazione. Dopo la creazione, una chiave non può essere spostata o esportata.

Quando utilizzi una località multiregionale, ad esempio europe, le risorse vengono mantenute in più data center distribuiti nell'area multiregionale. La creazione e l'aggiornamento delle chiavi in località con più regioni, inclusa la località global, potrebbe essere meno efficiente rispetto all'utilizzo di una località a una singola regione. Per ulteriori informazioni, consulta la sezione Lettura e scrittura in località multiregionali.

Utilizza la località global se tutte le seguenti condizioni sono vere:

  • I componenti dell'applicazione sono distribuiti a livello globale.
  • Hai letture o scritture poco frequenti, ma utilizzi di frequente altre operazioni crittografiche.
  • Le tue chiavi non hanno requisiti di residenza geografica.
  • Non stai usando tasti esterni.

Per le integrazioni con chiavi di crittografia gestite dal cliente (CMEK), devi utilizzare la stessa località esatta delle altre risorse correlate all'integrazione. Alcune integrazioni CMEK non supportano la posizione global. Per saperne di più sulle integrazioni CMEK, vedi Chiavi di crittografia gestite dal cliente (CMEK).

Le risorse Cloud EKM si basano sulla connettività tra Google Cloud e un Key Management Service esterno, al di fuori di Google Cloud. Per le risorse Cloud External Key Manager, seleziona una località geograficamente il più vicina possibile alla località in cui sono archiviate le chiavi nel Key Management Service esterno.

Cloud HSM dipende dalla disponibilità di hardware fisico nei data center di una località. Per le risorse Cloud HSM, seleziona una località che supporti Cloud HSM.

Le risorse Cloud HSM hanno quotas specifiche per la località. Le quote di Cloud KMS sono globali.

Le località multiregionali hanno quote separate, indipendenti dalle quote per le località a singola regione. Ad esempio, per creare risorse Cloud HSM nell'area multiregionale eur5, devi disporre della quota HSM in eur5, anche se hai già una quota nelle singole regioni che partecipano a eur5, ad esempio europe-west2.

Lettura e scrittura in località multiregionali

La lettura e la scrittura delle risorse o dei metadati associati in località con più regioni, inclusa la località global, potrebbe essere più lenta rispetto alla lettura o alla scrittura da una singola regione.

  • Quando crei o leggi le versioni delle chiavi, è sempre necessario ottenere un consenso tra i data center in cui è archiviato il materiale delle chiavi. Le letture e le scritture in una singola regione sono spesso più efficienti di quelle su più regioni.
  • Quando esegui operazioni crittografiche, ad esempio durante la crittografia o la decriptazione dei dati, non è necessario ottenere il consenso. Per le operazioni crittografiche, le località multiregionali hanno prestazioni simili a quelle delle località a singola regione.
  • Quando archivi le chiavi in una o più località geograficamente vicine ai dati che proteggono o convalidano, le operazioni crittografiche sono generalmente più efficienti.

I compromessi tra prestazioni e disponibilità sono specifici per ogni applicazione. Le località multiregionali, tra cui global, sono più adatte per carichi di lavoro ad alta intensità di lettura.

Determinazione delle regioni disponibili

Puoi utilizzare Google Cloud CLI o l'API Cloud Key Management Service per ottenere un elenco delle regioni disponibili.

gcloud

gcloud kms locations list

Nell'output del comando, la colonna HSM_AVAILABLE indica se la località supporta Cloud HSM. La colonna EKM_AVAILABLE indica se la località supporta Cloud External Key Manager. Tieni presente che al momento le chiavi EKM tramite VPC sono disponibili solo nelle località regionali.

API

Utilizza i metodi Locations.get e Locations.list.

Le risposte di entrambi i metodi includono campi booleani relativi alle funzionalità di una località:

  • Se una località supporta le chiavi Cloud HSM, hsmAvailable è true.

  • Se una località supporta le chiavi Cloud EKM, ekmAvailable è true. Tieni presente che EKM tramite chiavi VPC è attualmente disponibile solo nelle località a singola regione.

Passaggi successivi