Dans un projet, les ressources Cloud Key Management Service peuvent être créées dans l'un des nombreux emplacements. Il s'agit des régions géographiques dans lesquelles une ressource Cloud KMS est stockée et accessible. L'emplacement d'une clé a une incidence sur les performances des applications qui utilisent cette clé. Certaines ressources, telles que les clés Cloud HSM, ne sont pas disponibles partout.
Le matériel des clés Cloud KMS et Cloud HSM est stocké dans la région sélectionnée, qu'il soit utilisé ou au repos.
Les tableaux suivants répertorient les emplacements disponibles dans Cloud KMS pour différentes régions du monde. Vous pouvez filtrer ces emplacements par type d'emplacement, et par compatibilité Cloud HSM et Cloud EKM:
Amériques
| Nom du lieu | Type d'emplacement | Description de l'emplacement | Cloud HSM disponible | Cloud EKM disponible |
|---|---|---|---|---|
ca |
Multirégional | Plusieurs régions au Canada | Non | Oui |
nam3 |
Multirégional | Virginie du Nord et Caroline du Sud | Oui | Via Internet uniquement |
nam4 |
Multirégional | Iowa, Caroline du Sud et Oklahoma | Oui | Via Internet uniquement |
nam6 |
Multirégional | Iowa et Caroline du Sud | Oui | Via Internet uniquement |
nam7 |
Multirégional | Iowa, Virginie du Nord et Oklahoma | Oui | Via Internet uniquement |
nam8 |
Multirégional | Los Angeles, Oregon et Salt Lake City | Oui | Via Internet uniquement |
nam9 |
Multirégional | Virginie du Nord et Iowa | Oui | Via Internet uniquement |
nam10 |
Multirégional | Iowa, Salt Lake City et Oklahoma | Oui | Via Internet uniquement |
nam11 |
Multirégional | Iowa, Caroline du Sud et Oklahoma | Oui | Via Internet uniquement |
nam12 |
Multirégional | Iowa, Virginie du Nord, Oklahoma et Oregon | Oui | Via Internet uniquement |
northamerica-northeast1 |
Région | Montréal | Oui | Oui |
northamerica-northeast2 |
Région | Toronto | Oui | Oui |
southamerica-east1 |
Région | São Paulo | Oui | Oui |
southamerica-west1 |
Région | Santiago | Oui | Oui |
us |
Multirégional | Plusieurs régions aux États-Unis | Oui | Via Internet uniquement |
us-central1 |
Région | Iowa | Oui | Oui |
us-east1 |
Région | Caroline du Sud | Oui | Oui |
us-east4 |
Région | Virginie du Nord | Oui | Oui |
us-east5 |
Région | Columbus | Oui | Oui |
us-west1 |
Région | Oregon | Oui | Oui |
us-west2 |
Région | Los Angeles | Oui | Oui |
us-west3 |
Région | Salt Lake City | Oui | Oui |
us-west4 |
Région | Las Vegas | Oui | Oui |
us-south1 |
Région | Dallas | Oui | Oui |
Europe, Moyen-Orient
et Afrique
| Nom du lieu | Type d'emplacement | Description de l'emplacement | Cloud HSM disponible | Cloud EKM disponible |
|---|---|---|---|---|
africa-south1 |
Région | Johannesburg | Non | Oui |
eur3 |
Multirégional | Belgique et Pays-Bas | Oui | Via Internet uniquement |
eur4 |
Multirégional | Finlande, Belgique et Pays-Bas | Oui | Via Internet uniquement |
eur5 |
Multirégional | Londres, Belgique et Pays-Bas | Oui | Via Internet uniquement |
eur6 |
Multirégional | Zurich, Pays-Bas et Francfort | Oui | Via Internet uniquement |
europe |
Multirégional | Plusieurs régions au sein de l'Union européenne1 | Oui | Via Internet uniquement |
europe-central2 |
Région | Varsovie | Oui | Oui |
europe-north1 |
Région | Finlande | Oui | Oui |
europe-southwest1 |
Région | Madrid | Oui | Oui |
europe-west1 |
Région | Belgique | Oui | Oui |
europe-west2 |
Région | Londres | Oui | Oui |
europe-west3 |
Région | Francfort | Oui | Oui |
europe-west4 |
Région | Pays-Bas | Oui | Oui |
europe-west6 |
Région | Zurich | Oui | Oui |
europe-west8 |
Région | Milan | Oui | Oui |
europe-west9 |
Région | Paris | Oui | Oui |
europe-west10 |
Région | Berlin | Oui | Oui |
europe-west12 |
Région | Turin | Oui | Oui |
it |
Multirégional | Plusieurs régions en Italie | Non | Via Internet uniquement |
me-central1 |
Région | Doha | Oui | Oui |
me-central2 |
Région | Dammam | Oui | Oui |
me-west1 |
Région | Tel Aviv | Oui | Oui |
europe ne sont pas stockées dans les centres de données europe-west2 (Londres) ou europe-west6 (Zurich).
Asie-Pacifique
| Nom du lieu | Type d'emplacement | Description de l'emplacement | Cloud HSM disponible | Cloud EKM disponible |
|---|---|---|---|---|
asia |
Multirégional | Plusieurs régions en Asie | Oui | Via Internet uniquement |
asia1 |
Multirégional | Tokyo, Osaka et Séoul | Oui | Via Internet uniquement |
in |
Multirégional | Plusieurs régions en Inde | Oui | Oui |
asia-east1 |
Région | Taïwan | Oui | Oui |
asia-east2 |
Région | Hong Kong | Oui | Oui |
asia-northeast1 |
Région | Tokyo | Oui | Oui |
asia-northeast2 |
Région | Osaka | Oui | Oui |
asia-northeast3 |
Région | Séoul | Oui | Oui |
asia-south1 |
Région | Mumbai | Oui | Oui |
asia-south2 |
Région | Delhi | Oui | Oui |
asia-southeast1 |
Région | Singapour | Oui | Oui |
asia-southeast2 |
Région | Jakarta | Oui | Oui |
au |
Multirégional | Plusieurs régions en Australie | Non | Oui |
australia-southeast1 |
Région | Sydney | Oui | Oui |
australia-southeast2 |
Région | Melbourne | Oui | Oui |
Monde entier
| Nom du lieu | Type d'emplacement | Description de l'emplacement | Cloud HSM disponible | Cloud EKM disponible |
|---|---|---|---|---|
global |
global | Oui | Non | |
nam-eur-asia1 |
Multirégional | Amérique du Nord, Europe et Asie (Iowa, Oklahoma, Belgique et Taïwan) |
Oui | Non |
Types de zones pour Cloud KMS
Vous pouvez créer des ressources Cloud KMS, Cloud HSM et Cloud EKM dans différents types d'emplacements dans Google Cloud, en fonction de vos besoins en termes de disponibilité. Des emplacements sont ajoutés régulièrement. Pour en savoir plus sur chaque emplacement, consultez la section Emplacements.
Pour vous en apprendre plus sur la façon de choisir le meilleur type d'emplacement.
Les types d'emplacements suivants sont disponibles pour Cloud KMS:
- Emplacements régionaux: les centres de données d'un emplacement régional se trouvent dans un emplacement géographique spécifique. Par exemple, une ressource créée dans la région
us-central1est située au centre des États-Unis. - Emplacements multirégionaux: les centres de données d'un emplacement multirégional sont répartis dans une vaste zone géographique. Par exemple, une ressource créée dans l'emplacement multirégional
europeest conservée dans plusieurs centres de données de l'Union européenne. Vous ne pouvez pas choisir les centres de données de l'emplacement multirégional qui incluront vos données. - L'emplacement mondial: l'emplacement
globalest un emplacement multirégional spécial. Ses centres de données sont répartis dans le monde entier. Vous ne pouvez pas choisir les centres de données de l'emplacement multirégional mondial qui incluront vos données.
Choisir le meilleur type d'emplacement
En règle générale, vous devez concevoir votre application de sorte que tous ses composants soient géographiquement proches les uns des autres et à proximité de ses clients. L'emplacement de vos clés est un aspect important de la conception de votre application. Une fois la clé créée, vous ne pouvez plus la déplacer ni l'exporter.
Lorsque vous utilisez un emplacement multirégional, tel que la zone europe, les ressources sont conservées dans plusieurs centres de données répartis dans cette zone multirégionale.
La création et la mise à jour de clés dans des emplacements multirégionaux, y compris l'emplacement global, peuvent s'avérer moins efficaces que l'utilisation d'un emplacement régional unique. Pour en savoir plus, consultez la section Effectuer des opérations de lecture et d'écriture dans des emplacements multirégionaux.
Utilisez l'emplacement global si toutes les conditions suivantes sont remplies :
- Les composants de votre application sont distribués à l'échelle mondiale.
- Vous avez des lectures ou des écritures peu fréquentes, mais vous utilisez fréquemment d'autres opérations cryptographiques.
- Vos clés ne sont soumises à aucune exigence de résidence géographique.
- Vous n'utilisez pas de clés externes.
Pour les intégrations de clés de chiffrement gérées par le client (CMEK), vous devez utiliser exactement le même emplacement que les autres ressources liées à l'intégration. Certaines intégrations CMEK ne sont pas compatibles avec l'emplacement global. Pour en savoir plus sur les intégrations CMEK, consultez la page Clés de chiffrement gérées par le client (CMEK).
Les ressources Cloud EKM reposent sur la connectivité entre Google Cloud et un service de gestion de clés externe, en dehors de Google Cloud. Pour les ressources Cloud External Key Manager, sélectionnez un emplacement aussi proche que possible, géographiquement, de l'emplacement de stockage des clés sur le service de gestion des clés externes.
Cloud HSM dépend de la disponibilité du matériel physique dans les centres de données d'un emplacement. Pour les ressources Cloud HSM, sélectionnez un emplacement compatible avec Cloud HSM.
Les ressources Cloud HSM disposent de quotas spécifiques à un emplacement. Les quotas Cloud KMS sont mondiaux.
Les emplacements multirégionaux disposent de quotas distincts, indépendants des quotas applicables aux emplacements régionaux. Par exemple, pour créer des ressources Cloud HSM dans l'emplacement multirégional eur5, vous devez disposer d'un quota HSM dans l'emplacement eur5, même si vous disposez déjà d'un quota dans les régions uniques participant à eur5, telles que europe-west2.
Effectuer des opérations de lecture et d'écriture dans des emplacements multirégionaux
La lecture et l'écriture de ressources ou de métadonnées associées dans des emplacements multirégionaux, y compris l'emplacement global, peuvent être plus lentes que la lecture ou l'écriture dans une seule région.
- Lorsque vous créez ou lisez des versions de clé, un consensus est toujours exigé entre les centres de données stockant le matériel de clé. Les lectures et les écritures dans une seule région sont souvent plus efficaces que celles effectuées dans un emplacement multirégional.
- Lorsque vous effectuez des opérations de chiffrement, telles que le chiffrement ou le déchiffrement de données, aucun consensus n'est exigé. Pour les opérations cryptographiques, les emplacements multirégionaux fonctionnent de la même manière que les emplacements régionaux.
- Lorsque vous stockez vos clés dans un ou plusieurs emplacements géographiquement proches des données qu'elles protègent ou que vous validez, les opérations de chiffrement sont généralement plus efficaces.
Les compromis entre performance et disponibilité sont propres à chaque application. Les emplacements multirégionaux, y compris global, sont particulièrement adaptés aux charges de travail exigeantes en lecture.
Déterminer les régions disponibles
Vous pouvez utiliser la Google Cloud CLI ou l'API Cloud Key Management Service pour obtenir la liste des régions disponibles.
gcloud
gcloud kms locations list
Dans le résultat de la commande, la colonne HSM_AVAILABLE indique si l'emplacement accepte Cloud HSM. La colonne EKM_AVAILABLE indique si l'emplacement accepte Cloud External Key Manager. Notez que l'EKM via des clés VPC ne sont actuellement disponibles que dans les emplacements régionaux.
API
Utilisez les méthodes Locations.get et Locations.list.
Les réponses des deux méthodes incluent des champs booléens liés aux capacités d'un emplacement :
Si un emplacement est compatible avec les clés Cloud HSM, la valeur du champ
hsmAvailableesttrue.Si un emplacement est compatible avec les clés Cloud EKM, la valeur du champ
ekmAvailableesttrue. Remarque : L'utilisation de l'EKM via des clés VPC n'est actuellement disponible que dans les emplacements régionaux.
Étapes suivantes
- Apprenez-en plus sur les zones géographiques et régions dans Google Cloud.
- Consultez la liste complète des emplacements Cloud.