Cette page a été traduite par l'API Cloud Translation.
Switch to English

Emplacements Cloud KMS

Dans un projet, les ressources Cloud Key Management Service peuvent être créées dans l'un des nombreux emplacements. Il s'agit des régions géographiques dans lesquelles une ressource Cloud KMS est stockée et accessible. L'emplacement d'une clé a une incidence sur les performances des applications qui utilisent cette clé. Certaines ressources, telles que les clés Cloud HSM, ne sont pas disponibles partout.

Le matériel des clés Cloud KMS et Cloud HSM est stocké dans la région sélectionnée, qu'il soit utilisé ou au repos.

Types de zones pour Cloud KMS

Vous pouvez créer des ressources Cloud KMS, Cloud HSM et Cloud EKM dans différents types d'emplacements dans Google Cloud, en fonction de vos besoins en termes de disponibilité. Des emplacements sont ajoutés régulièrement. Pour en savoir plus sur chaque emplacement, consultez la section Emplacements.

Pour vous en apprendre plus sur la façon de choisir le meilleur type d'emplacement.

Zones régionales

Les centres de données d'un emplacement régional se trouvent dans une zone géographique spécifique. Par exemple, une ressource créée dans la région us-central1 se trouve dans le centre des États-Unis.

Il est possible de créer des ressources Cloud KMS dans les emplacements régionaux suivants :

Nom de la région Description de la région Cloud HSM disponible Cloud EKM disponible
asia-east1 Taïwan Oui Oui
asia-east2 Hong Kong Oui Oui
asia-northeast1 Tokyo Oui Oui
asia-northeast2 Osaka Oui Oui
asia-northeast3 Séoul Oui Oui
asia-south1 Mumbai Oui Oui
asia-southeast1 Singapour Oui Oui
asia-southeast2 Jakarta Oui Oui
australia-southeast1 Sydney Oui Oui
europe-north1 Finlande Oui Oui
europe-west1 Belgique Oui Oui
europe-west2 Londres Oui Oui
europe-west3 Francfort Oui Oui
europe-west4 Pays-Bas Oui Oui
europe-west6 Zurich Oui Oui
northamerica-northeast1 Montréal Oui Oui
us-central1 Iowa Oui Oui
us-east1 Caroline du Sud Oui Oui
us-east4 Virginie du Nord Oui Oui
us-west1 Oregon Oui Oui
us-west2 Los Angeles Oui Oui
us-west3 Salt Lake City Oui Oui
us-west4 Las Vegas Oui Oui
southamerica-east1 São Paulo Oui Oui

Zones birégionales

Les centres de données d'un emplacement birégional se trouvent dans deux zones géographiques spécifiques. Par exemple, une ressource créée dans l'emplacement birégional nam4 est conservée dans les centres de données du centre et de l'Est des États-Unis.

Les ressources Cloud KMS peuvent être créées dans les zones birégionales suivantes :

Nom de l'emplacement birégional Description de l'emplacement birégional (les caractères gras indiquent une troisième instance dupliquée) Cloud HSM disponible Cloud EKM disponible
asia1 Tokyo, Osaka et Séoul Non Oui
eur4 Finlande, Pays-Bas et Belgique Non Oui
nam4 Iowa, Caroline du Sud et Oklahoma Non Oui

Zones multirégionales

Les centres de données d'un emplacement multirégional sont répartis dans une zone géographique générale. Par exemple, une ressource créée dans l'emplacement multirégional europe est conservée dans plusieurs centres de données répartis en Europe. Il n'est pas possible de prédire ni de contrôler exactement quels centres de données sont sélectionnés, ni le lieu où ils se trouvent dans la zone multirégionale.

Des ressources Cloud KMS peuvent être créées dans les zones multirégionales suivantes :

Nom de la zone multirégionale Cloud HSM disponible Cloud EKM disponible
global Oui Non
asia Oui Oui
europe Oui Oui
us Oui Oui

Emplacement global

L'emplacement global correspond à une zone multirégionale spéciale. Les centres de données qui s'y trouvent sont répartis dans le monde entier. Il n'est pas possible de prédire ni de contrôler exactement quels centres de données sont sélectionnés, ni le lieu où ils se trouvent.

Choisir le meilleur type d'emplacement

En règle générale, vous devez concevoir votre application de sorte que tous ses composants soient géographiquement proches les uns des autres et à proximité de ses clients. L'emplacement de vos clés est un aspect important de la conception de votre application. Une fois la clé créée, vous ne pouvez plus la déplacer ni l'exporter.

Lorsque vous utilisez un emplacement multirégional, tel que la zone europe, les ressources sont conservées dans plusieurs centres de données répartis dans cette zone multirégionale. La création et la mise à jour de clés dans des zones multirégionales, telles que l'emplacement global, peuvent s'avérer moins efficaces que l'utilisation d'un emplacement comprenant une seule région. Pour en savoir plus, consultez la section Effectuer des opérations de lecture et d'écriture dans des emplacements multirégionaux.

Utilisez l'emplacement global si toutes les conditions suivantes sont remplies :

  • Les composants de votre application sont distribués dans le monde entier.
  • Vous avez peu de lectures ou d'écritures, mais vous utilisez fréquemment d'autres opérations de chiffrement.
  • Vous n'avez pas besoin de stocker votre clé dans un HSM.
  • Vos clés ne sont associées à aucune condition de résidence géographique.

Pour les intégrations de clés de chiffrement gérées par le client (CMEK), vous devez utiliser exactement le même emplacement que celui des autres ressources associées à l'intégration. Certaines intégrations de CMEK ne sont pas compatibles avec l'emplacement global.

Pour en savoir plus sur les intégrations de CMEK, consultez la section correspondante du document Chiffrement au repos.

Les emplacements birégionaux ne sont compatibles qu'avec les ressources Cloud Storage qui utilisent également un emplacement birégional.

Les ressources Cloud EKM reposent sur la connectivité entre Google Cloud et un service de gestion de clés externe, en dehors de Google Cloud. Pour les ressources Cloud External Key Manager, sélectionnez un emplacement aussi proche que possible, géographiquement, de l'emplacement de stockage des clés sur le service de gestion des clés externes.

Cloud HSM dépend de la disponibilité du matériel physique dans les centres de données d'un emplacement. Pour les ressources Cloud HSM, sélectionnez un emplacement compatible avec Cloud HSM.

Les ressources Cloud HSM ont des quotas spécifiques aux emplacements. Les quotas Cloud KMS sont globaux.

Les emplacements birégionaux et multirégionaux ont des quotas distincts, indépendants de ceux utilisés pour les emplacements comprenant une seule région. Par exemple, pour créer des ressources Cloud HSM dans l'emplacement birégional nam4, vous devez disposer d'un quota HSM dans l'emplacement nam4, même si vous avez déjà des quotas dans les régions individuelles qui constituent l'emplacement nam4, telles que us-central1.

Effectuer des opérations de lecture et d'écriture dans des emplacements multirégionaux

La lecture et l'écriture de ressources ou des métadonnées associées dans des emplacements birégionaux ou multirégionaux, y compris l'emplacement global, peuvent être plus lentes que dans une région individuelle.

  • Lorsque vous créez ou lisez des versions de clé, un consensus est toujours exigé entre les centres de données stockant le matériel de clé. Les opérations de lecture et d'écriture dans une région individuelle sont souvent plus efficaces que dans un emplacement birégional ou multirégional.
  • Lorsque vous effectuez des opérations de chiffrement, telles que le chiffrement ou le déchiffrement de données, aucun consensus n'est exigé. Pour les opérations de chiffrement, les emplacements birégionaux et multirégionaux fonctionnent de la même manière que les emplacements comprenant une seule région.
  • Lorsque vous stockez vos clés dans un ou plusieurs emplacements géographiquement proches des données qu'elles protègent ou que vous validez, les opérations de chiffrement sont généralement plus efficaces.

Les compromis entre performance et disponibilité sont propres à chaque application. Les emplacements multirégionaux, y compris les emplacements birégionaux ou global, conviennent mieux aux charges de travail nécessitant une lecture intensive.

Déterminer les régions disponibles

Vous pouvez utiliser le SDK Cloud ou l'API Cloud Key Management Service pour obtenir la liste des régions disponibles.

gcloud

gcloud kms locations list

Dans le résultat de la commande, la colonne HSM_AVAILABLE indique si l'emplacement accepte Cloud HSM.

API

Utilisez les méthodes Locations.get et Locations.list.

Les réponses des deux méthodes incluent des champs booléens liés aux capacités d'un emplacement :

  • Si un emplacement est compatible avec les clés Cloud HSM, la valeur du champ hsmAvailable est true.

  • Si un emplacement est compatible avec les clés Cloud EKM, la valeur du champ ekmAvailable est true.

Étape suivante