Dans un projet, les ressources Cloud Key Management Service peuvent être créées dans l'un des nombreux emplacements. Il s'agit des régions géographiques dans lesquelles une ressource Cloud KMS est stockée et accessible. L'emplacement d'une clé a une incidence sur les performances des applications qui utilisent cette clé. Certaines ressources, telles que les clés Cloud HSM, ne sont pas disponibles partout.
Le matériel des clés Cloud KMS et Cloud HSM est stocké dans la région sélectionnée, qu'il soit utilisé ou au repos.
Les tableaux suivants répertorient les emplacements disponibles dans Cloud KMS pour différentes parties du monde. Vous pouvez filtrer ces lieux par type d'emplacement, compatibilité Cloud HSM et Compatibilité avec Cloud EKM:
Amériques
Nom du lieu | Type de lieu | Description de l'emplacement | Cloud HSM disponible | Cloud EKM disponible |
---|---|---|---|---|
ca |
Multirégional | Plusieurs régions au Canada | Non | Oui |
nam3 |
Multirégional | Virginie du Nord et Caroline du Sud | Oui | Via Internet uniquement |
nam4 |
Multirégional | Iowa, Caroline du Sud et Oklahoma | Oui | Via Internet uniquement |
nam6 |
Multirégional | Iowa et Caroline du Sud | Oui | Via Internet uniquement |
nam7 |
Multirégional | Iowa, Virginie du Nord et Oklahoma | Oui | Via Internet uniquement |
nam8 |
Multirégional | Los Angeles, Oregon et Salt Lake City | Oui | Via Internet uniquement |
nam9 |
Multirégional | Virginie du Nord et Iowa | Oui | Via Internet uniquement |
nam10 |
Multirégional | Iowa, Salt Lake City et Oklahoma | Oui | Via Internet uniquement |
nam11 |
Multirégional | Iowa, Caroline du Sud et Oklahoma | Oui | Via Internet uniquement |
nam12 |
Multirégional | Iowa, Virginie du Nord, Oklahoma et Oregon | Oui | Via Internet uniquement |
northamerica-northeast1 |
Région | Montréal | Oui | Oui |
northamerica-northeast2 |
Région | Toronto | Oui | Oui |
southamerica-east1 |
Région | São Paulo | Oui | Oui |
southamerica-west1 |
Région | Santiago | Oui | Oui |
us |
Multirégional | Plusieurs régions aux États-Unis | Oui | Via Internet uniquement |
us-central1 |
Région | Iowa | Oui | Oui |
us-east1 |
Région | Caroline du Sud | Oui | Oui |
us-east4 |
Région | Virginie du Nord | Oui | Oui |
us-east5 |
Région | Columbus | Oui | Oui |
us-west1 |
Région | Oregon | Oui | Oui |
us-west2 |
Région | Los Angeles | Oui | Oui |
us-west3 |
Région | Salt Lake City | Oui | Oui |
us-west4 |
Région | Las Vegas | Oui | Oui |
us-south1 |
Région | Dallas | Oui | Oui |
Afrique, Europe et Moyen-Orient
Nom du lieu | Type de lieu | Description de l'emplacement | Cloud HSM disponible | Cloud EKM disponible |
---|---|---|---|---|
africa-south1 |
Région | Johannesburg | Oui | Oui |
eur3 |
Multirégional | Belgique et Pays-Bas | Oui | Via Internet uniquement |
eur4 |
Multirégional | Finlande, Belgique et Pays-Bas | Oui | Via Internet uniquement |
eur5 |
Multirégional | Londres, Belgique et Pays-Bas | Oui | Via Internet uniquement |
eur6 |
Multirégional | Pays-Bas, Francfort et Zurich | Oui | Via Internet uniquement |
europe |
Multirégional | Plusieurs régions dans l'Union européenne1 | Oui | Via Internet uniquement |
europe-central2 |
Région | Varsovie | Oui | Oui |
europe-north1 |
Région | Finlande | Oui | Oui |
europe-southwest1 |
Région | Madrid | Oui | Oui |
europe-west1 |
Région | Belgique | Oui | Oui |
europe-west2 |
Région | Londres | Oui | Oui |
europe-west3 |
Région | Francfort | Oui | Oui |
europe-west4 |
Région | Pays-Bas | Oui | Oui |
europe-west6 |
Région | Zurich | Oui | Oui |
europe-west8 |
Région | Milan | Oui | Oui |
europe-west9 |
Région | Paris | Oui | Oui |
europe-west10 |
Région | Berlin | Oui | Oui |
europe-west12 |
Région | Turin | Oui | Oui |
it |
Multirégional | Plusieurs régions en Italie | Non | Oui |
me-central1 |
Région | Doha | Oui | Oui |
me-central2 |
Région | Dammam | Oui | Oui |
me-west1 |
Région | Tel-Aviv | Oui | Oui |
europe
ne sont pas
stocké dans le europe-west2
(Londres) ou europe-west6
(Zurich).
Asie-Pacifique
Nom du lieu | Type de lieu | Description de l'emplacement | Cloud HSM disponible | Cloud EKM disponible |
---|---|---|---|---|
asia |
Multirégional | Plusieurs régions en Asie | Oui | Via Internet uniquement |
asia1 |
Multirégional | Tokyo, Osaka et Séoul | Oui | Via Internet uniquement |
in |
Multirégional | Plusieurs régions en Inde | Oui | Oui |
asia-east1 |
Région | Taïwan | Oui | Oui |
asia-east2 |
Région | Hong Kong | Oui | Oui |
asia-northeast1 |
Région | Tokyo | Oui | Oui |
asia-northeast2 |
Région | Osaka | Oui | Oui |
asia-northeast3 |
Région | Séoul | Oui | Oui |
asia-south1 |
Région | Mumbai | Oui | Oui |
asia-south2 |
Région | Delhi | Oui | Oui |
asia-southeast1 |
Région | Singapour | Oui | Oui |
asia-southeast2 |
Région | Jakarta | Oui | Oui |
au |
Multirégional | Plusieurs régions en Australie | Non | Oui |
australia-southeast1 |
Région | Sydney | Oui | Oui |
australia-southeast2 |
Région | Melbourne | Oui | Oui |
Monde entier
Nom du lieu | Type de lieu | Description de l'emplacement | Cloud HSM disponible | Cloud EKM disponible |
---|---|---|---|---|
global |
global | Oui | Non | |
nam-eur-asia1 |
Multirégional | Amérique du Nord, Europe et Asie (Iowa, Oklahoma, Belgique et Taïwan) |
Oui | Non |
Types de zones pour Cloud KMS
Vous pouvez créer des ressources Cloud KMS, Cloud HSM et Cloud EKM dans différents types d'emplacements dans Google Cloud, en fonction de vos besoins en termes de disponibilité. Des emplacements sont ajoutés régulièrement. Pour en savoir plus sur chaque emplacement, consultez la section Emplacements.
Pour vous en apprendre plus sur la façon de choisir le meilleur type d'emplacement.
Les types d'emplacements suivants sont disponibles pour Cloud KMS:
- Emplacements régionaux: les centres de données d'un emplacement régional se trouvent dans un
à un emplacement géographique spécifique. Par exemple, une ressource créée dans le
La région
us-central1
est située dans le centre des États-Unis. - Emplacements multirégionaux: les centres de données d'un emplacement multirégional sont
répartis dans une vaste zone géographique. Par exemple, une ressource créée
dans l'emplacement multirégional
europe
, persiste dans plusieurs centres de données au sein du Union européenne. Il n'est pas possible de choisir les centres de données multirégional contiendra vos données. - Emplacement mondial: l'emplacement
global
est un emplacement multirégional spécial. Ses centres de données sont répartis dans le monde entier. Vous ne pouvez pas choisir les centres de données de l'emplacement multirégional global qui contiendront données.
Choisir le meilleur type d'emplacement
En règle générale, vous devez concevoir votre application de sorte que tous ses composants soient géographiquement proches les uns des autres et à proximité de ses clients. L'emplacement de vos clés est un aspect important de la conception de votre application. Une fois la clé créée, vous ne pouvez plus la déplacer ni l'exporter.
Lorsque vous utilisez un emplacement multirégional, tel que la zone europe
, les ressources sont conservées dans plusieurs centres de données répartis dans cette zone multirégionale.
Créer et mettre à jour des clés dans des emplacements multirégionaux, y compris global
peut s'avérer moins efficace que d'utiliser un emplacement situé dans une seule région. Pour en savoir plus, consultez la section Effectuer des opérations de lecture et d'écriture dans des emplacements multirégionaux.
Utilisez l'emplacement global
si toutes les conditions suivantes sont remplies :
- Les composants de votre application sont répartis dans le monde entier.
- Vous avez des lectures ou des écritures peu fréquentes, mais vous utilisez d'autres opérations de chiffrement. fréquemment.
- Vos clés n'ont aucune exigence de résidence géographique.
- Vous n'utilisez pas de clés externes.
Pour les clés
de clés de chiffrement (CMEK), vous devez utiliser exactement le même emplacement que
et d'autres ressources
liées à l'intégration. Certaines intégrations CMEK ne sont pas compatibles
l'emplacement global
. Pour en savoir plus sur les intégrations CMEK, consultez
Clés de chiffrement gérées par le client (CMEK).
Les ressources Cloud EKM reposent sur la connectivité entre Google Cloud et un service de gestion de clés externe, en dehors de Google Cloud. Pour les ressources Cloud External Key Manager, sélectionnez un emplacement aussi proche que possible, géographiquement, de l'emplacement de stockage des clés sur le service de gestion des clés externes.
Cloud HSM dépend de la disponibilité du matériel physique dans les centres de données d'un emplacement. Pour les ressources Cloud HSM, sélectionnez un emplacement compatible avec Cloud HSM.
Les ressources Cloud HSM disposent de quotas spécifiques à chaque emplacement. Les quotas Cloud KMS sont mondiaux.
Les emplacements multirégionaux sont soumis à des quotas distincts, indépendamment
pour les emplacements situés dans une seule région. Par exemple, pour créer Cloud HSM
dans l'emplacement multirégional eur5
, vous devez disposer d'un quota HSM dans la région eur5
, même si
vous disposez déjà d'un quota dans les régions qui participent à eur5
, telles que
europe-west2
Effectuer des opérations de lecture et d'écriture dans des emplacements multirégionaux
Lecture et écriture des ressources ou des métadonnées associées dans un emplacement multirégional
votre localisation, y compris global
, peut être plus lente que la lecture ou
l'écriture à partir d'une seule région.
- Lorsque vous créez ou lisez des versions de clé, un consensus est toujours exigé entre les centres de données stockant le matériel de clé. Lectures et écritures dans une seule région sont souvent plus efficaces que celles ciblant une zone multirégionale.
- Lorsque vous effectuez des opérations de chiffrement, telles que le chiffrement ou le déchiffrement de données, aucun consensus n'est exigé. Pour les opérations cryptographiques, les emplacements multirégionaux fonctionnent de la même manière que les emplacements régionaux.
- Lorsque vous stockez vos clés dans un ou plusieurs emplacements géographiquement proches des données qu'elles protègent ou que vous validez, les opérations de chiffrement sont généralement plus efficaces.
Les compromis entre performance et disponibilité sont propres à chaque application. Les emplacements multirégionaux, y compris global
, sont les plus adaptés pour
lourdes en lecture.
Déterminer les régions disponibles
Vous pouvez utiliser la Google Cloud CLI ou l'API Cloud Key Management Service pour obtenir la liste des régions disponibles.
gcloud
gcloud kms locations list
Dans le résultat de la commande, la colonne HSM_AVAILABLE
indique si l'emplacement accepte Cloud HSM. La colonne EKM_AVAILABLE
indique si l'emplacement accepte Cloud External Key Manager. Notez que l'utilisation d'un EKM via des clés VPC
ne sont actuellement disponibles que dans les zones régionales.
API
Utilisez les méthodes Locations.get
et Locations.list
.
Les réponses des deux méthodes incluent des champs booléens liés aux capacités d'un emplacement :
Si un emplacement est compatible avec les clés Cloud HSM, la valeur du champ
hsmAvailable
esttrue
.Si un emplacement est compatible avec les clés Cloud EKM, la valeur du champ
ekmAvailable
esttrue
. Remarque : L'utilisation d'EKM via des clés VPC n'est actuellement disponible que dans les environnements emplacements régionaux.
Étape suivante
- En savoir plus sur Zones géographiques et régions dans Google Cloud
- Voir la liste complète Emplacements Cloud.