Cloud KMS のロケーション

プロジェクト内では、Cloud Key Management Service のリソースは、多数あるロケーションの 1 つに作成できます。このロケーションは、Cloud KMS リソースが保存されアクセスされる地理的な場所を表しています。ある鍵のロケーションは、その鍵を使用するアプリケーションのパフォーマンスに影響を与えます。Cloud HSM 鍵など一部のリソースは、すべてのロケーションで利用できるわけではありません。

Cloud KMS 鍵と Cloud HSM 鍵の鍵マテリアルは、保存時と使用中に選択したリージョンに固定されます。

次の表は、世界のさまざまな地域で Cloud KMS で使用できるロケーションのリストです。これらのロケーションは、ロケーション タイプ、Cloud HSM のサポート、Cloud EKM のサポートでフィルタできます。

フィルタ条件:

南北アメリカ

ロケーション名 地域タイプ ロケーションの説明 Cloud HSM を利用可能 Cloud EKM を利用可能
ca マルチリージョン カナダの複数のリージョン ×
nam3 マルチリージョン 北バージニアとサウスカロライナ
nam4 マルチリージョン アイオワ、サウスカロライナ、オクラホマ
nam6 マルチリージョン アイオワとサウスカロライナ
nam7 マルチリージョン アイオワ、北バージニア、オクラホマ
nam8 マルチリージョン ロサンゼルス、オレゴン、ソルトレイクシティ
nam9 マルチリージョン 北バージニアとアイオワ
nam10 マルチリージョン アイオワ、ソルトレイクシティ、オクラホマ
nam11 マルチリージョン アイオワ、サウスカロライナ、オクラホマ
nam12 マルチリージョン アイオワ、バージニア州北部、オクラホマ、オレゴン
northamerica-northeast1 地域: モントリオール
northamerica-northeast2 地域: トロント
northamerica-south1 地域: メキシコ ×
southamerica-east1 地域: サンパウロ
southamerica-west1 地域: サンチアゴ
us マルチリージョン 米国内の複数のリージョン
us-central1 地域: アイオワ
us-east1 地域: サウスカロライナ
us-east4 地域: 北バージニア
us-east5 地域: コロンバス
us-west1 地域: オレゴン
us-west2 地域: ロサンゼルス
us-west3 地域: ソルトレイクシティ
us-west4 地域: ラスベガス
us-south1 地域: ダラス

アジア太平洋

ロケーションの名称 地域タイプ ロケーションの説明 Cloud HSM を利用可能 Cloud EKM を利用可能
asia マルチリージョン アジアの複数のリージョン
asia1 マルチリージョン 東京、大阪、ソウル
asia-east1 地域: 台湾
asia-east2 地域: 香港
asia-northeast1 地域: 東京
asia-northeast2 地域: 大阪
asia-northeast3 地域: ソウル
asia-south1 地域: ムンバイ
asia-south2 地域: デリー
asia-southeast1 地域: シンガポール
asia-southeast2 地域: ジャカルタ
au マルチリージョン オーストラリアの複数のリージョン ×
australia-southeast1 地域: シドニー
australia-southeast2 地域: メルボルン
in マルチリージョン インドの複数のリージョン

ヨーロッパ、中東、
アフリカ

ロケーションの名称 地域タイプ ロケーションの説明 Cloud HSM を利用可能 Cloud EKM を利用可能
africa-south1 地域: ヨハネスブルグ
eur3 マルチリージョン ベルギーとオランダ
eur4 マルチリージョン フィンランド、オランダ、ベルギー
eur5 マルチリージョン ロンドン、オランダ、ベルギー
eur6 マルチリージョン オランダ、フランクフルト、チューリッヒ
eur7 マルチリージョン ロンドン、フランクフルト、ベルリン ×
eur8 マルチリージョン チューリッヒ、フランクフルト、ベルリン ×
europe マルチリージョン EU 内の複数のリージョン1
europe-central2 地域: ワルシャワ
europe-north1 地域: フィンランド
europe-southwest1 地域: マドリッド
europe-west1 地域: ベルギー
europe-west2 地域: ロンドン
europe-west3 地域: フランクフルト
europe-west4 地域: オランダ
europe-west6 地域: チューリッヒ
europe-west8 地域: ミラノ
europe-west9 地域: パリ
europe-west10 地域: ベルリン
europe-west12 地域: トリノ
de マルチリージョン ドイツの複数のリージョン ×
it マルチリージョン イタリアの各リージョン ×
me-central1 地域: ドーハ
me-central2 地域: ダンマーム
me-west1 地域: テルアビブ
1 europe マルチリージョンで作成されたリソースは europe-west2(ロンドン)データセンターまたは europe-west6(チューリッヒ)データセンターには保存されません。

すべての国

ロケーションの名称 地域タイプ ロケーションの説明 Cloud HSM を利用可能 Cloud EKM を利用可能
global グローバル ×
nam-eur-asia1 マルチリージョン 北アメリカ、ヨーロッパ、アジア
(アイオワ、オクラホマ、ベルギー、台湾)
×

Cloud KMS のロケーションの種類

Cloud KMS、Cloud HSM、Cloud EKM のリソースは、可用性の要件に応じて、Google Cloud のさまざまなロケーションの種類に作成できます。ロケーションは定期的に追加されます。各ロケーションの具体的な情報については、ロケーションをご覧ください。

詳細については、最適なロケーションの種類を選ぶをご覧ください。

Cloud KMS では、次のロケーション タイプを使用できます。

  • リージョンのロケーション: リージョン ロケーションのデータセンターは、地理的に具体的な場所に配置されます。たとえば、us-central1 リージョンで作成されるリソースは、米国中部に配置されます。
  • マルチリージョンのロケーション: マルチリージョンのロケーションのデータセンターは、広い地理的エリアに分散しています。たとえば、europe マルチリージョンで作成されるリソースは、欧州連合内の複数のデータセンターに存在します。マルチリージョン内のどのデータセンターにデータを格納するかを選択することはできません。
  • グローバル ロケーション: global ロケーションは特別なマルチリージョンです。このロケーションのデータセンターは、世界中に広がっています。グローバル マルチリージョン内のどのデータセンターにデータを格納するかを選択することはできません。

最適なロケーションのタイプの選択

原則として、すべてのコンポーネントが地理的に近く、アプリケーションのクライアントの近くに存在するようにアプリケーションを設計します。鍵の場所はアプリケーションの設計の重要な側面です。作成後、鍵を移動したりエクスポートしたりできません。

europe マルチリージョンなど、マルチリージョン ロケーションを使用する場合、リソースはマルチリージョン全体に広がる複数のデータセンターで保持されます。global ロケーションを含むマルチリージョン ロケーションで鍵の作成および更新を行うと、シングルリージョン ロケーションを使用する場合よりも効率が下がる可能性があります。詳細については、マルチリージョン ロケーションの読み取りと書き込みをご覧ください。

次のすべてに該当する場合は、global ロケーションを使用します。

  • アプリケーションのコンポーネントがグローバルに分散している。
  • 読み取りまたは書き込みの頻度が低いが、他の暗号オペレーションを頻繁に使用している。
  • 鍵に地域別の要件がない。
  • 外部鍵を使用していない。

顧客管理の暗号鍵(CMEK)統合では、統合に関連するその他のリソースと同じロケーションを使用する必要があります。一部の CMEK 統合では、global ロケーションはサポートされていません。CMEK の統合の詳細については、顧客管理の暗号鍵(CMEK)をご覧ください。

Cloud EKM リソースは、Google Cloud と Google Cloud 以外の外部の鍵管理サービスとの間の接続性に依存します。Cloud External Key Manager のリソースの場合は、外部の鍵管理サービスで鍵が格納されているロケーションに可能な限り近いロケーションを選択します。

Cloud HSM は、ロケーションのデータセンターにある物理的なハードウェアの可用性に依存します。Cloud HSM リソースの場合は、Cloud HSM がサポートされるロケーションを選択します。

Cloud HSM リソースには、ロケーション固有の割り当てがあります。 Cloud KMS の割り当てはグローバルです。

マルチリージョンのロケーションには、シングル リージョンのロケーションの割り当てとは独立した、別の割り当てがあります。たとえば、Cloud HSM リソースを eur5 マルチリージョンに作成する場合、europe-west2 など、eur5 に参加している単一リージョンにすでに割り当てている場合でも、eur5 に HSM を割り当てる必要があります。

マルチリージョン ロケーションの読み取りと書き込み

global ロケーションを含むマルチリージョンのリソースや関連メタデータの読み取りと書き込みは、シングル リージョンから読み書きするよりも処理速度が遅くなることがあります。

  • 鍵バージョンを作成または読み込む場合、鍵マテリアルを格納するデータセンター間で常に合意が必要です。シングル リージョンの読み取りと書き込みは、多くの場合、マルチリージョンのロケーションよりも効率的です。
  • データの暗号化や復号などの暗号オペレーションを実行する場合、合意は不要です。暗号オペレーションでは、マルチリージョンのロケーションは、シングル リージョンのロケーションと同じ様に機能します。
  • 保護や検証をするデータに地理的に近いロケーションに鍵を保存すると、通常は暗号オペレーションがより効率的になります。

パフォーマンスと可用性のトレードオフは、アプリケーションごとに異なります。global などのマルチリージョンのロケーションは、読み取り負荷の高いワークロードに適しています。

利用可能なリージョンの確認

利用可能なリージョンのリストは、Google Cloud CLI または Cloud Key Management Service API を使用して取得できます。

gcloud

gcloud kms locations list

このコマンドの出力の HSM_AVAILABLE 列で、ロケーションで Cloud HSM がサポートされているかどうかがわかります。EKM_AVAILABLE 列で、そのロケーションが Cloud External Key Manager をサポートしているかどうかがわかります。: VPC 鍵経由の EKM は現在、リージョンのロケーションでのみ使用できます。

API

Locations.get メソッドと Locations.list メソッドを使用します。methods.

どちらのメソッドからのレスポンスにも、ロケーションの機能に関連するブール値フィールドがあります。

  • ロケーションで Cloud EKM 鍵がサポートされている場合、hsmAvailabletrue です。

  • ロケーションで Cloud EKM 鍵がサポートされている場合、ekmAvailabletrue です。: VPC 鍵経由の EKM は、現在、リージョンのロケーションでのみ使用できます。

次のステップ