Dans un projet, les ressources Cloud Key Management Service peuvent être créées dans l'un des nombreux emplacements. Elles représentent les régions géographiques dans lesquelles une ressource Cloud KMS est stockée et accessible. L'emplacement d'une clé a une incidence sur les performances des applications qui l'utilisent. Certaines ressources, telles que les clés Cloud HSM, ne sont pas disponibles partout.
Le matériel de clés pour Cloud KMS et les clés Cloud HSM est limité à la région sélectionnée lorsqu'ils sont au repos et en cours d'utilisation.
Types d'emplacements pour Cloud KMS
Vous pouvez créer des ressources Cloud KMS, Cloud HSM et Cloud EKM dans différents types d'emplacements dans Google Cloud, en fonction de vos exigences de disponibilité. Des zones géographiques sont ajoutées régulièrement. Pour en savoir plus sur chaque emplacement, consultez la section Emplacements.
Découvrez comment choisir le meilleur type de lieu.
Emplacements régionaux
Les centres de données d'un emplacement régional se trouvent dans une zone géographique spécifique. Par exemple, une ressource créée dans la région us-central1 se trouve dans le centre des États-Unis.
La compatibilité Cloud KMS est disponible pour tous les emplacements régionaux répertoriés dans le tableau. Reportez-vous au tableau suivant pour découvrir comment utiliser Cloud HSM et Cloud EKM pour les emplacements régionaux:
| Nom de la région | Description de la région | Cloud HSM disponible | Cloud EKM disponible |
|---|---|---|---|
asia-east1 |
Tawan | Oui | Oui |
asia-east2 |
Hong Kong | Oui | Oui |
asia-northeast1 |
Tokyo | Oui | Oui |
asia-northeast2 |
Osaka | Oui | Oui |
asia-northeast3 |
Séoul | Oui | Oui |
asia-south1 |
Bombay | Oui | Oui |
asia-south2 |
Delhi | Non | Via Internet uniquement |
asia-southeast1 |
Singapour | Oui | Oui |
asia-southeast2 |
Jakarta | Oui | Oui |
australia-southeast1 |
Sydney | Oui | Oui |
australia-southeast2 |
Melbourne (Melbourne) | Oui | Via Internet uniquement |
europe-central2 |
Varsovie | Oui | Via Internet uniquement |
europe-north1 |
Finlande | Oui | Oui |
europe-west1 |
Belgique | Oui | Oui |
europe-west2 |
Londres | Oui | Oui |
europe-west3 |
Francfort | Oui | Oui |
europe-west4 |
Pays-Bas | Oui | Oui |
europe-west6 |
Zurich | Oui | Oui |
northamerica-northeast1 |
Montréal | Oui | Oui |
northamerica-northeast2 |
Toronto | Non | Via Internet uniquement |
us-central1 |
Iowa | Oui | Oui |
us-east1 |
South carolina | Oui | Oui |
us-east4 |
Virginie du Nord | Oui | Oui |
us-west1 |
Orégon | Oui | Oui |
us-west2 |
Los Angeles | Oui | Oui |
us-west3 |
Salt Lake City | Oui | Oui |
us-west4 |
Las Vegas | Oui | Oui |
southamerica-east1 |
So Paulo | Oui | Oui |
southamerica-west1 |
Santiago | Non | Via Internet uniquement |
Emplacements birégionaux
Les centres de données birégionaux se situent dans deux emplacements géographiques spécifiques. Par exemple, une ressource créée dans l'emplacement birégional nam4 persiste dans les centres de données du centre et de l'est des États-Unis.
La compatibilité avec Cloud KMS est disponible pour tous les emplacements birégionaux répertoriés dans le tableau. Reportez-vous au tableau suivant pour découvrir comment utiliser Cloud HSM et Cloud EKM pour les emplacements birégionaux:
| Nom de la zone birégionale | Description de la zone birégionale (gras indique la troisième instance dupliquée) | Cloud HSM disponible | Cloud EKM disponible | |
|---|---|---|---|---|
asia1 |
Tokyo, Osaka et Séoul | Oui | Non | |
eur4 |
Belgique, Finlande, Pays-Bas | Oui | Via Internet uniquement | |
eur5 |
Londres, Pays-Bas et Belgique | Oui | Via Internet uniquement | |
nam4 |
Iowa, Caroline du Sud et Oklahoma | Oui | Via Internet uniquement |
Emplacements multirégionaux
Les centres de données multirégionaux sont répartis sur une zone géographique générale. Par exemple, une ressource créée dans la zone multirégionale europe est conservée dans plusieurs centres de données au sein de l'Union européenne. Il n'est pas possible de prédire ni de contrôler exactement les centres de données sélectionnés ni leur emplacement dans l'emplacement multirégional.
La compatibilité Cloud KMS est disponible pour tous les emplacements multirégionaux répertoriés dans le tableau. Reportez-vous au tableau suivant pour découvrir comment utiliser Cloud HSM et Cloud EKM pour les zones multirégionales:
| Nom de la zone multirégionale | Remarques | Cloud HSM disponible | Cloud EKM disponible |
|---|---|---|---|
global |
Oui | Non | |
asia |
Oui | Via Internet uniquement | |
asia1 |
Considéré comme birégional pour Cloud Storage. | Oui | Via Internet uniquement |
eur3 |
Oui | Via Internet uniquement | |
eur5 |
Considéré comme birégional pour Cloud Storage. | Oui | Via Internet uniquement |
eur6 |
Non | Via Internet uniquement | |
europe |
Centres de données dans les États membres de l'Union européenne1 | Oui | Via Internet uniquement |
nam-eur-asia1 |
Amérique du Nord, Europe1 et Asie | Non | Via Internet uniquement |
nam3 |
Oui | Via Internet uniquement | |
nam6 |
Oui | Via Internet uniquement | |
nam7 |
Non | Via Internet uniquement | |
nam8 |
Non | Via Internet uniquement | |
nam9 |
Oui | Via Internet uniquement | |
nam10 |
Non | Via Internet uniquement | |
nam11 |
Non | Via Internet uniquement | |
nam12 |
Non | Via Internet uniquement | |
us |
Oui | Via Internet uniquement |
europe ne sont pas stockées dans les centres de données des régions europe-west2 (Londres) ou europe-west6 (Zurich).
Emplacement global
L'emplacement global est un emplacement multirégional spécial. Ses centres de données sont répartis dans le monde entier. Il n'est pas possible de prédire ni de contrôler exactement les centres de données sélectionnés ni leur emplacement.
Choisir le meilleur type de lieu
En règle générale, concevez votre application de sorte que tous ses composants soient géographiquement proches les uns des autres et à proximité des clients de votre application. L'emplacement de vos clés est un aspect important de la conception de votre application. Une clé créée ne peut pas être déplacée ni exportée.
Lorsque vous utilisez un emplacement multirégional, tel que l'emplacement multirégional europe, les ressources persistent dans plusieurs centres de données répartis dans l'emplacement multirégional.
La création et la mise à jour de clés dans des zones multirégionales, y compris global, peuvent s'avérer moins efficaces que l'utilisation d'une zone régionale. Pour en savoir plus, consultez la section Lire et écrire dans des emplacements multirégionaux.
Utilisez l'emplacement global si toutes les conditions suivantes sont remplies:
- Les composants de votre application sont distribués dans le monde entier
- Vous avez peu de lectures ou d'écritures, mais utilisez fréquemment d'autres opérations de chiffrement.
- Vos clés ne sont soumises à aucune obligation de résidence géographique
Pour les intégrations de clés de chiffrement gérées par le client (CMEK), vous devez utiliser le même emplacement que les autres ressources liées à l'intégration. Certaines intégrations CMEK ne sont pas compatibles avec l'emplacement global.
Pour en savoir plus sur les intégrations CMEK, consultez la section appropriée de la page Chiffrement au repos.
Les emplacements birégionaux ne sont compatibles qu'avec les ressources Cloud Storage qui utilisent également un emplacement birégional.
Les ressources Cloud EKM reposent sur la connectivité entre Google Cloud et un service de gestion de clés externe, en dehors de Google Cloud. Pour les ressources Cloud External Key Manager, sélectionnez un emplacement géographique aussi proche que possible de l'emplacement où les clés sont stockées sur le service de gestion des clés externe.
Cloud HSM dépend de la disponibilité du matériel physique dans les centres de données Pour les ressources Cloud HSM, sélectionnez un emplacement compatible avec Cloud HSM.
Les ressources Cloud HSM sont soumises à des quotas spécifiques à leur emplacement. Les quotas Cloud KMS sont mondiaux.
Les emplacements birégionaux et multirégionaux ont des quotas distincts, indépendants des quotas des emplacements régionaux uniques. Par exemple, pour créer des ressources Cloud HSM dans la zone birégionale eur5, vous devez disposer d'un quota HSM dans eur5, même si vous disposez déjà d'un quota dans les régions uniques qui participent à eur5, tel que europe-west2.
Lire et écrire dans des zones multirégionales
La lecture et l'écriture des ressources ou des métadonnées associées dans des emplacements birégionaux ou multirégionaux, y compris l'emplacement global, peuvent être plus lentes que la lecture ou l'écriture depuis une seule région.
- Lorsque vous créez ou lisez des versions de clés, vous devez toujours obtenir le consensus entre les centres de données qui stockent le matériel de clé. Les lectures et les écritures dans une seule région sont souvent plus efficaces que celles dans un emplacement birégional ou multirégional.
- Lorsque vous effectuez des opérations de chiffrement, par exemple pour chiffrer ou déchiffrer des données, le consensus n'est pas nécessaire. Pour les opérations de chiffrement, les zones birégionales et multirégionales fonctionnent de la même manière que les zones régionales uniques.
- Lorsque vous stockez vos clés dans un ou plusieurs emplacements géographiques situés à proximité des données qu'elles protègent ou valident, les opérations de chiffrement sont généralement plus efficaces.
Les compromis entre performances et disponibilité sont propres à chaque application. Les emplacements multirégionaux, y compris les emplacements birégionaux ou global, conviennent mieux aux charges de travail intensives en lecture.
Déterminer les régions disponibles
Vous pouvez utiliser la CLI Google Cloud ou l'API Cloud Key Management Service pour obtenir la liste des régions disponibles.
gcloud
gcloud kms locations list
Dans le résultat de la commande, la colonne HSM_AVAILABLE indique si l'emplacement accepte Cloud HSM. La colonne EKM_AVAILABLE indique si l'emplacement est compatible avec Cloud External Key Manager. Remarque : La fonctionnalité EKM via des clés VPC n'est actuellement disponible que dans les emplacements régionaux.
API
Utilisez les méthodes Locations.get et Locations.list.
Les réponses de ces deux méthodes incluent des champs booléens liés aux capacités d'un établissement:
Si un emplacement est compatible avec les clés Cloud HSM,
hsmAvailableesttrue.Si un emplacement est compatible avec les clés Cloud EKM,
ekmAvailableesttrue. Remarque : La fonctionnalité EKM via des clés VPC n'est actuellement disponible que dans les emplacements régionaux.
Étape suivante
- Apprenez-en plus sur les zones géographiques et les régions dans Google Cloud.
- Consultez la liste complète des emplacements Cloud.