Cloud Key Management Service-Ressourcen können innerhalb eines Projekts an einem von vielen Standorten erstellt werden. Diese stellen die geografischen Regionen dar, in denen eine Cloud KMS-Ressource gespeichert ist und auf die zugegriffen werden kann. Der Standort eines Schlüssels wirkt sich auf die Leistung von Anwendungen aus, die den Schlüssel verwenden. Einige Ressourcen wie Cloud HSM-Schlüssel sind nicht überall verfügbar.
Schlüsselmaterial für Cloud KMS- und Cloud HSM-Schlüssel ist im Ruhezustand und während der Verwendung auf die ausgewählte Region beschränkt.
In den folgenden Tabellen sind die Standorte aufgeführt, die in Cloud KMS verwendet werden können für verschiedene Teile der Welt. Sie können diese Standorte filtern nach Standorttyp, Cloud HSM-Unterstützung und Cloud EKM-Unterstützung:
Nord- und Südamerika
| Standortname | Standorttyp | Standortbeschreibung | Cloud HSM verfügbar | Cloud EKM verfügbar |
|---|---|---|---|---|
ca |
Mehrere Regionen | Mehrere Regionen in Kanada | Nein | Ja |
nam3 |
Mehrere Regionen | Northern Virginia und South Carolina | Ja | Ja |
nam4 |
Mehrere Regionen | Iowa, South Carolina und Oklahoma | Ja | Ja |
nam6 |
Mehrere Regionen | Iowa und South Carolina | Ja | Ja |
nam7 |
Mehrere Regionen | Iowa, Northern Virginia und Oklahoma | Ja | Ja |
nam8 |
Mehrere Regionen | Los Angeles, Oregon und Salt Lake City | Ja | Ja |
nam9 |
Mehrere Regionen | Northern Virginia und Iowa | Ja | Ja |
nam10 |
Mehrere Regionen | Iowa, Salt Lake City und Oklahoma | Ja | Ja |
nam11 |
Mehrere Regionen | Iowa, South Carolina und Oklahoma | Ja | Ja |
nam12 |
Mehrere Regionen | Iowa, Northern Virginia, Oklahoma und Oregon | Ja | Ja |
northamerica-northeast1 |
Region: | Montreal | Ja | Ja |
northamerica-northeast2 |
Region: | Toronto | Ja | Ja |
southamerica-east1 |
Region: | São Paulo | Ja | Ja |
southamerica-west1 |
Region: | Santiago | Ja | Ja |
us |
Mehrere Regionen | Mehrere Regionen in den USA | Ja | Ja |
us-central1 |
Region: | Iowa | Ja | Ja |
us-east1 |
Region: | South Carolina | Ja | Ja |
us-east4 |
Region: | Northern Virginia | Ja | Ja |
us-east5 |
Region: | Columbus | Ja | Ja |
us-west1 |
Region: | Oregon | Ja | Ja |
us-west2 |
Region: | Los Angeles | Ja | Ja |
us-west3 |
Region: | Salt Lake City | Ja | Ja |
us-west4 |
Region: | Las Vegas | Ja | Ja |
us-south1 |
Region: | Dallas | Ja | Ja |
Asiatisch-pazifischer Raum
| Standortname | Standorttyp | Standortbeschreibung | Cloud HSM verfügbar | Cloud EKM verfügbar |
|---|---|---|---|---|
asia |
Mehrere Regionen | Mehrere Regionen in Asien | Ja | Ja |
asia1 |
Mehrere Regionen | Tokio, Osaka und Seoul | Ja | Ja |
asia-east1 |
Region: | Taiwan | Ja | Ja |
asia-east2 |
Region: | Hongkong | Ja | Ja |
asia-northeast1 |
Region: | Tokio | Ja | Ja |
asia-northeast2 |
Region: | Osaka | Ja | Ja |
asia-northeast3 |
Region: | Seoul | Ja | Ja |
asia-south1 |
Region: | Mumbai | Ja | Ja |
asia-south2 |
Region: | Delhi | Ja | Ja |
asia-southeast1 |
Region: | Singapur | Ja | Ja |
asia-southeast2 |
Region: | Jakarta | Ja | Ja |
au |
Mehrere Regionen | Mehrere Regionen in Australien | Nein | Ja |
australia-southeast1 |
Region: | Sydney | Ja | Ja |
australia-southeast2 |
Region: | Melbourne | Ja | Ja |
in |
Mehrere Regionen | Mehrere Regionen in Indien | Ja | Ja |
Europa, Naher Osten
und Afrika
| Standortname | Standorttyp | Standortbeschreibung | Cloud HSM verfügbar | Cloud EKM verfügbar |
|---|---|---|---|---|
africa-south1 |
Region: | Johannesburg | Ja | Ja |
eur3 |
Mehrere Regionen | Belgien und Niederlande | Ja | Ja |
eur4 |
Mehrere Regionen | Finnland, Niederlande und Belgien | Ja | Ja |
eur5 |
Mehrere Regionen | London, Niederlande und Belgien | Ja | Ja |
eur6 |
Mehrere Regionen | Niederlande, Frankfurt und Zürich | Ja | Ja |
eur7 |
Mehrere Regionen | London, Frankfurt und Berlin | Nein | Ja |
eur8 |
Mehrere Regionen | Zürich, Frankfurt und Berlin | Nein | Ja |
europe |
Mehrere Regionen | Mehrere Regionen in der Europäischen Union1 | Ja | Ja |
europe-central2 |
Region: | Warschau | Ja | Ja |
europe-north1 |
Region: | Finnland | Ja | Ja |
europe-southwest1 |
Region: | Madrid | Ja | Ja |
europe-west1 |
Region: | Belgien | Ja | Ja |
europe-west2 |
Region: | London | Ja | Ja |
europe-west3 |
Region: | Frankfurt | Ja | Ja |
europe-west4 |
Region: | Niederlande | Ja | Ja |
europe-west6 |
Region: | Zürich | Ja | Ja |
europe-west8 |
Region: | Mailand | Ja | Ja |
europe-west9 |
Region: | Paris | Ja | Ja |
europe-west10 |
Region: | Berlin | Ja | Ja |
europe-west12 |
Region: | Turin | Ja | Ja |
de |
Mehrere Regionen | Mehrere Regionen in Deutschland | Nein | Nein |
it |
Mehrere Regionen | Mehrere Regionen in Italien | Nein | Ja |
me-central1 |
Region: | Doha | Ja | Ja |
me-central2 |
Region: | Dammam | Ja | Ja |
me-west1 |
Region: | Tel Aviv | Ja | Ja |
europe erstellte Ressourcen werden nicht
gespeichert in europe-west2 (London) oder europe-west6
in Zürich.
Weltweit
| Standortname | Standorttyp | Standortbeschreibung | Cloud HSM verfügbar | Cloud EKM verfügbar |
|---|---|---|---|---|
global |
global | Ja | Nein | |
nam-eur-asia1 |
Mehrere Regionen | Nordamerika, Europa und Asien (Belgien, Iowa, Oklahoma und Taiwan) |
Ja | Nein |
Arten von Standorten für Cloud KMS
Sie können Cloud KMS-, Cloud HSM- und Cloudekek-Ressourcen je nach Verfügbarkeitsanforderungen an verschiedenen Standorten in Google Cloud erstellen. Standorte werden regelmäßig hinzugefügt. Weitere Informationen zu den einzelnen Standorten finden Sie unter Standorte.
Weitere Informationen zur Auswahl des besten Standorttyps
Für Cloud KMS sind die folgenden Standorttypen verfügbar:
- Regionale Standorte: Die Rechenzentren eines regionalen Standorts befinden sich an einem
einem bestimmten geografischen Ort. Beispiel: Eine Ressource, die im
Die Region
us-central1befindet sich in den mittleren USA. - Multiregionale Standorte: Die Rechenzentren eines multiregionalen Standorts
die über ein großes geografisches Gebiet
verteilt sind. Beispiel: Eine Ressource, die
in der Multiregion
europewird in mehreren Rechenzentren innerhalb der der Europäischen Union. Sie können nicht auswählen, welche Rechenzentren Multiregion enthält Ihre Daten. - Globaler Standort: Der Standort
globalist ein spezieller multiregionaler Standort. Die Rechenzentren sind über die ganze Welt verteilt. Sie können nicht Wählen Sie aus, welche Rechenzentren in der globalen Multiregion Ihre Daten Daten.
Auswahl des besten Standorttyps
Erstellen Sie Ihre Anwendung in der Regel so, dass alle ihre Komponenten geografisch nahe beieinander und in der Nähe der Clients Ihrer Anwendung sind. Die Position Ihrer Schlüssel ist ein wichtiger Aspekt des Anwendungsdesigns. Nach der Erstellung kann ein Schlüssel nicht verschoben oder exportiert werden.
Wenn Sie einen multiregionalen Standort wie den multiregionalen Standort europe verwenden, verbleiben Ressourcen in mehreren Rechenzentren, die über die multiregionale Region verteilt sind.
Schlüssel an multiregionalen Standorten erstellen und aktualisieren, einschließlich global
ist vielleicht weniger effizient als ein Standort mit einer Region. Weitere Informationen finden Sie unter Standorte in mehreren Regionen lesen und schreiben.
Verwenden Sie den Standort global, wenn alle folgenden Bedingungen erfüllt sind:
- Die Komponenten Ihrer Anwendung sind global verteilt.
- Sie haben seltene Lese- oder Schreibvorgänge, verwenden aber andere kryptografische Vorgänge. häufig auftreten.
- Für Ihre Schlüssel gelten keine Anforderungen an den geografischen Standort.
- Sie verwenden keine externen Schlüssel.
Für vom Kunden verwaltete
Integrationen von Verschlüsselungsschlüsseln (CMEKs) müssen Sie denselben Speicherort wie
weitere Ressourcen zur Integration. Einige CMEK-Integrationen werden nicht unterstützt
den Standort global. Weitere Informationen zu CMEK-Integrationen finden Sie unter
Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK):
Für Cloud EKM-Ressourcen ist eine Verbindung zwischen Google Cloud und einem externen Schlüsselverwaltungsdienst außerhalb von Google Cloud erforderlich. Wählen Sie für Cloud External Key Manager-Ressourcen einen Standort so nahe wie möglich an dem, wo Schlüssel im externen Schlüsselverwaltungsdienst gespeichert sind.
Cloud HSM hängt von der Verfügbarkeit der physischen Hardware in den Rechenzentren eines Standorts ab. Wählen Sie für Cloud HSM-Ressourcen einen Standort aus, der Cloud HSM unterstützt.
Cloud HSM-Ressourcen haben standortspezifische Kontingente. Cloud KMS-Kontingente sind global.
Multiregionale Standorte haben separate Kontingente, unabhängig vom
Kontingente für Standorte mit einer Region. Um beispielsweise Cloud HSM zu erstellen,
Ressourcen am multiregionalen Standort eur5 benötigen, benötigen Sie in eur5 ein HSM-Kontingent, auch wenn
Sie haben bereits ein Kontingent in den einzelnen Regionen, die an eur5 teilnehmen, z. B.
europe-west2.
Lese- und Schreibzugriff auf multiregionale Standorte
Ressourcen oder zugehörige Metadaten in multiregionalen Ressourcen lesen und schreiben
Standorte, einschließlich global, kann langsamer sein als das Lesen oder
aus einer einzelnen Region schreibt.
- Wenn Sie Schlüsselversionen erstellen oder auslesen, muss zwischen den Rechenzentren, die das Schlüsselmaterial speichern, immer Übereinstimmung herrschen. Lese- und Schreibzugriffe in einer einzelnen Region sind oft effizienter als solche zu einem multiregionalen Standort.
- Wenn Sie kryptografische Vorgänge ausführen, z. B. beim Verschlüsseln oder Entschlüsseln von Daten, ist keine Übereinstimmung erforderlich. Bei kryptografischen Vorgängen Multiregionale Standorte schneiden ähnlich wie Standorte mit einer Region ab.
- Kryptografische Vorgänge sind in der Regel effizienter, wenn Sie Ihre Schlüssel an einem oder mehreren geografischen Standorten in der Nähe der davon geschützten oder validierten Daten speichern.
Jede Anwendung hat ihren eigenen Trade-Off zwischen Leistung und Verfügbarkeit. Multiregionale Standorte, einschließlich global, eignen sich am besten für
leselastige Arbeitslasten.
Verfügbare Regionen identifizieren
Mit der Google Cloud CLI oder Cloud Key Management Service API können Sie eine Liste der verfügbaren Regionen abrufen.
gcloud
gcloud kms locations list
In der Ausgabe des Befehls gibt die Spalte HSM_AVAILABLE an, ob der Standort Cloud HSM unterstützt. Die Spalte EKM_AVAILABLE gibt an, ob der Standort Cloud External Key Manager unterstützt. Hinweis, dass EKM-über-VPC-Schlüssel
sind derzeit nur an regionalen Standorten verfügbar.
API
Verwenden Sie die Methoden Locations.get und Locations.list.
Die Antworten dieser beiden Methoden enthalten boolesche Felder, die sich auf die Funktionen eines Standorts beziehen:
Wenn ein Standort Cloud HSM-Schlüssel unterstützt, ist
hsmAvailabletrue.Wenn ein Standort cloud-ekmodische Schlüssel unterstützt, ist
ekmAvailabletrue. Hinweis: EKM-über-VPC-Schlüssel sind derzeit nur in regionalen Standorten.
Nächste Schritte
- Weitere Informationen zu Geografie und Regionen in Google Cloud
- Vollständige Liste der Cloud-Standorte: