Cloud Key Management Service-Ressourcen können innerhalb eines Projekts an einem von vielen Standorten erstellt werden. Diese stellen die geografischen Regionen dar, in denen eine Cloud KMS-Ressource gespeichert ist und auf die zugegriffen werden kann. Der Standort eines Schlüssels wirkt sich auf die Leistung von Anwendungen aus, die den Schlüssel verwenden. Einige Ressourcen wie Cloud HSM-Schlüssel sind nicht überall verfügbar.
Schlüsselmaterial für Cloud KMS- und Cloud HSM-Schlüssel ist im Ruhezustand und während der Verwendung auf die ausgewählte Region beschränkt.
In den folgenden Tabellen sind die Standorte aufgeführt, die in verschiedenen Teilen der Welt in Cloud KMS verwendet werden können. Sie können diese Standorte nach Standorttyp, Cloud HSM- und Cloud EKM-Unterstützung filtern:
Nord- und Südamerika
| Standortname | Standorttyp | Standortbeschreibung | Cloud HSM verfügbar | Cloud EKM verfügbar |
|---|---|---|---|---|
ca |
Multiregional | Mehrere Regionen in Kanada | Nein | Ja |
nam3 |
Multiregional | Northern Virginia und South Carolina | Ja | Nur über Internet |
nam4 |
Multiregional | Iowa, South Carolina und Oklahoma | Ja | Nur über Internet |
nam6 |
Multiregional | Iowa und South Carolina | Ja | Nur über Internet |
nam7 |
Multiregional | Iowa, Northern Virginia und Oklahoma | Ja | Nur über Internet |
nam8 |
Multiregional | Los Angeles, Oregon und Salt Lake City | Ja | Nur über Internet |
nam9 |
Multiregional | Northern Virginia und Iowa | Ja | Nur über Internet |
nam10 |
Multiregional | Iowa, Salt Lake City und Oklahoma | Ja | Nur über Internet |
nam11 |
Multiregional | Iowa, South Carolina und Oklahoma | Ja | Nur über Internet |
nam12 |
Multiregional | Iowa, Northern Virginia, Oklahoma und Oregon | Ja | Nur über Internet |
northamerica-northeast1 |
Region: | Montreal | Ja | Ja |
northamerica-northeast2 |
Region: | Toronto | Ja | Ja |
southamerica-east1 |
Region: | São Paulo | Ja | Ja |
southamerica-west1 |
Region: | Santiago | Ja | Ja |
us |
Multiregional | Mehrere Regionen in den USA | Ja | Nur über Internet |
us-central1 |
Region: | Iowa | Ja | Ja |
us-east1 |
Region: | South Carolina | Ja | Ja |
us-east4 |
Region: | Northern Virginia | Ja | Ja |
us-east5 |
Region: | Columbus | Ja | Ja |
us-west1 |
Region: | Oregon | Ja | Ja |
us-west2 |
Region: | Los Angeles | Ja | Ja |
us-west3 |
Region: | Salt Lake City | Ja | Ja |
us-west4 |
Region: | Las Vegas | Ja | Ja |
us-south1 |
Region: | Dallas | Ja | Ja |
Europa, Naher Osten
und Afrika
| Standortname | Standorttyp | Standortbeschreibung | Cloud HSM verfügbar | Cloud EKM verfügbar |
|---|---|---|---|---|
africa-south1 |
Region: | Johannesburg | Ja | Ja |
eur3 |
Multiregional | Belgien und Niederlande | Ja | Nur über Internet |
eur4 |
Multiregional | Finnland, Niederlande und Belgien | Ja | Nur über Internet |
eur5 |
Multiregional | London, Niederlande und Belgien | Ja | Nur über Internet |
eur6 |
Multiregional | Niederlande, Frankfurt und Zürich | Ja | Nur über Internet |
europe |
Multiregional | Mehrere Regionen in der Europäischen Union1 | Ja | Nur über Internet |
europe-central2 |
Region: | Warschau | Ja | Ja |
europe-north1 |
Region: | Finnland | Ja | Ja |
europe-southwest1 |
Region: | Madrid | Ja | Ja |
europe-west1 |
Region: | Belgien | Ja | Ja |
europe-west2 |
Region: | London | Ja | Ja |
europe-west3 |
Region: | Frankfurt | Ja | Ja |
europe-west4 |
Region: | Niederlande | Ja | Ja |
europe-west6 |
Region: | Zürich | Ja | Ja |
europe-west8 |
Region: | Mailand | Ja | Ja |
europe-west9 |
Region: | Paris | Ja | Ja |
europe-west10 |
Region: | Berlin | Ja | Ja |
europe-west12 |
Region: | Turin | Ja | Ja |
it |
Multiregional | Mehrere Regionen in Italien | Nein | Nur über Internet |
me-central1 |
Region: | Doha | Ja | Ja |
me-central2 |
Region: | Dammam | Ja | Ja |
me-west1 |
Region: | Tel Aviv | Ja | Ja |
europe erstellte Ressourcen werden nicht in den Rechenzentren europe-west2 (London) oder europe-west6 (Zürich) gespeichert.
Asiatisch-pazifischer Raum
| Standortname | Standorttyp | Standortbeschreibung | Cloud HSM verfügbar | Cloud EKM verfügbar |
|---|---|---|---|---|
asia |
Multiregional | Mehrere Regionen in Asien | Ja | Nur über Internet |
asia1 |
Multiregional | Tokio, Osaka und Seoul | Ja | Nur über Internet |
in |
Multiregional | Mehrere Regionen in Indien | Ja | Ja |
asia-east1 |
Region: | Taiwan | Ja | Ja |
asia-east2 |
Region: | Hongkong | Ja | Ja |
asia-northeast1 |
Region: | Tokio | Ja | Ja |
asia-northeast2 |
Region: | Osaka | Ja | Ja |
asia-northeast3 |
Region: | Seoul | Ja | Ja |
asia-south1 |
Region: | Mumbai | Ja | Ja |
asia-south2 |
Region: | Delhi | Ja | Ja |
asia-southeast1 |
Region: | Singapur | Ja | Ja |
asia-southeast2 |
Region: | Jakarta | Ja | Ja |
au |
Multiregional | Mehrere Regionen in Australien | Nein | Ja |
australia-southeast1 |
Region: | Sydney | Ja | Ja |
australia-southeast2 |
Region: | Melbourne | Ja | Ja |
Weltweit
| Standortname | Standorttyp | Standortbeschreibung | Cloud HSM verfügbar | Cloud EKM verfügbar |
|---|---|---|---|---|
global |
global | Ja | Nein | |
nam-eur-asia1 |
Multiregional | Nordamerika, Europa und Asien (Iowa, Oklahoma, Belgien und Taiwan) |
Ja | Nein |
Arten von Standorten für Cloud KMS
Sie können Cloud KMS-, Cloud HSM- und Cloudekek-Ressourcen je nach Verfügbarkeitsanforderungen an verschiedenen Standorten in Google Cloud erstellen. Standorte werden regelmäßig hinzugefügt. Weitere Informationen zu den einzelnen Standorten finden Sie unter Standorte.
Weitere Informationen zur Auswahl des besten Standorttyps
Für Cloud KMS sind die folgenden Standorttypen verfügbar:
- Regionale Standorte: Die Rechenzentren eines regionalen Standorts befinden sich an einem bestimmten geografischen Ort. Beispielsweise befindet sich eine in der Region
us-central1erstellte Ressource in der Mitte der USA. - Multiregionale Standorte: Die Rechenzentren eines multiregionalen Standorts befinden sich über ein großes geografisches Gebiet. Beispielsweise bleibt eine in der Multiregion
europeerstellte Ressource in mehreren Rechenzentren in der Europäischen Union erhalten. Sie können nicht auswählen, welche Rechenzentren innerhalb des multiregionalen Standorts Ihre Daten enthalten. - Globaler Standort: Der
global-Standort ist ein spezieller multiregionaler Standort. Die Rechenzentren sind über die ganze Welt verteilt. Sie können nicht auswählen, welche Rechenzentren innerhalb der globalen Multiregion Ihre Daten enthalten.
Auswahl des besten Standorttyps
Erstellen Sie Ihre Anwendung in der Regel so, dass alle ihre Komponenten geografisch nahe beieinander und in der Nähe der Clients Ihrer Anwendung sind. Die Position Ihrer Schlüssel ist ein wichtiger Aspekt des Anwendungsdesigns. Nach der Erstellung kann ein Schlüssel nicht verschoben oder exportiert werden.
Wenn Sie einen multiregionalen Standort wie den multiregionalen Standort europe verwenden, verbleiben Ressourcen in mehreren Rechenzentren, die über die multiregionale Region verteilt sind.
Das Erstellen und Aktualisieren von Schlüsseln an multiregionalen Standorten, einschließlich des Standorts global, ist möglicherweise weniger effizient als die Verwendung eines Standorts mit einer Region. Weitere Informationen finden Sie unter Standorte in mehreren Regionen lesen und schreiben.
Verwenden Sie den Standort global, wenn alle folgenden Bedingungen erfüllt sind:
- Die Komponenten Ihrer Anwendung sind global verteilt.
- Sie verwenden selten Lese- oder Schreibvorgänge, verwenden jedoch häufig andere kryptografische Vorgänge.
- Für Ihre Schlüssel gelten keine Anforderungen an den geografischen Standort.
- Sie verwenden keine externen Schlüssel.
Bei Integrationen von vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEKs) müssen Sie denselben Speicherort wie andere Ressourcen verwenden, die sich auf die Einbindung beziehen. Einige CMEK-Integrationen unterstützen den Standort global nicht. Weitere Informationen zu CMEK-Integrationen finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK).
Für Cloud EKM-Ressourcen ist eine Verbindung zwischen Google Cloud und einem externen Schlüsselverwaltungsdienst außerhalb von Google Cloud erforderlich. Wählen Sie für Cloud External Key Manager-Ressourcen einen Standort so nahe wie möglich an dem, wo Schlüssel im externen Schlüsselverwaltungsdienst gespeichert sind.
Cloud HSM hängt von der Verfügbarkeit der physischen Hardware in den Rechenzentren eines Standorts ab. Wählen Sie für Cloud HSM-Ressourcen einen Standort aus, der Cloud HSM unterstützt.
Cloud HSM-Ressourcen haben standortspezifische quotas. Cloud KMS-Kontingente sind global.
Multiregionale Standorte haben separate Kontingente, unabhängig von den Kontingenten für Standorte mit einer Region. Wenn Sie beispielsweise Cloud HSM-Ressourcen am multiregionalen Standort eur5 erstellen möchten, benötigen Sie ein HSM-Kontingent in eur5, auch wenn Sie bereits ein Kontingent in den einzelnen Regionen haben, die zu eur5 gehören, z. B. europe-west2.
Lese- und Schreibzugriff auf multiregionale Standorte
Das Lesen und Schreiben von Ressourcen oder zugehörigen Metadaten an multiregionalen Standorten, einschließlich des Standorts global, kann länger dauern als das Lesen oder Schreiben aus einer einzelnen Region.
- Wenn Sie Schlüsselversionen erstellen oder auslesen, muss zwischen den Rechenzentren, die das Schlüsselmaterial speichern, immer Übereinstimmung herrschen. Lese- und Schreibzugriffe in einer einzelnen Region sind häufig effizienter als in einem multiregionalen Standort.
- Wenn Sie kryptografische Vorgänge ausführen, z. B. beim Verschlüsseln oder Entschlüsseln von Daten, ist keine Übereinstimmung erforderlich. Bei kryptografischen Vorgängen verhalten sich multiregionale Standorte ähnlich wie Standorte mit nur einer Region.
- Kryptografische Vorgänge sind in der Regel effizienter, wenn Sie Ihre Schlüssel an einem oder mehreren geografischen Standorten in der Nähe der davon geschützten oder validierten Daten speichern.
Jede Anwendung hat ihren eigenen Trade-Off zwischen Leistung und Verfügbarkeit. Multiregionale Standorte, einschließlich global, eignen sich am besten für leseintensive Arbeitslasten.
Verfügbare Regionen identifizieren
Mit der Google Cloud CLI oder Cloud Key Management Service API können Sie eine Liste der verfügbaren Regionen abrufen.
gcloud
gcloud kms locations list
In der Ausgabe des Befehls gibt die Spalte HSM_AVAILABLE an, ob der Standort Cloud HSM unterstützt. Die Spalte EKM_AVAILABLE gibt an, ob der Standort Cloud External Key Manager unterstützt. Hinweis: EKM-über-VPC-Schlüssel sind derzeit nur an regionalen Standorten verfügbar.
API
Verwenden Sie die Methoden Locations.get und Locations.list.
Die Antworten dieser beiden Methoden enthalten boolesche Felder, die sich auf die Funktionen eines Standorts beziehen:
Wenn ein Standort Cloud HSM-Schlüssel unterstützt, ist
hsmAvailabletrue.Wenn ein Standort cloud-ekmodische Schlüssel unterstützt, ist
ekmAvailabletrue. Hinweis, dass EKM-über-VPC-Schlüssel derzeit nur an regionalen Standorten verfügbar sind.
Nächste Schritte
- Weitere Informationen zu Geografie und Regionen in Google Cloud
- Vollständige Liste der Cloud-Standorte