Dans un projet, les ressources Cloud Key Management Service peuvent être créées dans l'un des nombreux emplacements. Il s'agit des régions géographiques dans lesquelles une ressource Cloud KMS est stockée et accessible. L'emplacement d'une clé a une incidence sur les performances des applications qui utilisent cette clé. Certaines ressources, telles que les clés Cloud HSM, ne sont pas disponibles partout.
Le matériel des clés Cloud KMS et Cloud HSM est stocké dans la région sélectionnée, qu'il soit utilisé ou au repos.
Types de zones pour Cloud KMS
Vous pouvez créer des ressources Cloud KMS, Cloud HSM et Cloud EKM dans différents types d'emplacements dans Google Cloud, en fonction de vos besoins en termes de disponibilité. Des emplacements sont ajoutés régulièrement. Pour en savoir plus sur chaque emplacement, consultez la section Emplacements.
Pour vous en apprendre plus sur la façon de choisir le meilleur type d'emplacement.
Zones régionales
Les centres de données d'un emplacement régional se trouvent dans une zone géographique spécifique. Par exemple, une ressource créée dans la région us-central1 se trouve dans le centre des États-Unis.
Il est possible de créer des ressources Cloud KMS dans les emplacements régionaux suivants :
| Nom de la région | Description de la région | Cloud HSM disponible | Cloud EKM disponible |
|---|---|---|---|
asia-east1 |
Taïwan | Oui | Oui |
asia-east2 |
Hong Kong | Oui | Oui |
asia-northeast1 |
Tokyo | Oui | Oui |
asia-northeast2 |
Osaka | Oui | Oui |
asia-northeast3 |
Séoul | Oui | Oui |
asia-south1 |
Mumbai | Oui | Oui |
asia-southeast1 |
Singapour | Oui | Oui |
asia-southeast2 |
Jakarta | Oui | Oui |
australia-southeast1 |
Sydney | Oui | Oui |
europe-north1 |
Finlande | Oui | Oui |
europe-west1 |
Belgique | Oui | Oui |
europe-west2 |
Londres | Oui | Oui |
europe-west3 |
Francfort | Oui | Oui |
europe-west4 |
Pays-Bas | Oui | Oui |
europe-west6 |
Zurich | Oui | Oui |
northamerica-northeast1 |
Montréal | Oui | Oui |
us-central1 |
Iowa | Oui | Oui |
us-east1 |
Caroline du Sud | Oui | Oui |
us-east4 |
Virginie du Nord | Oui | Oui |
us-west1 |
Oregon | Oui | Oui |
us-west2 |
Los Angeles | Oui | Oui |
us-west3 |
Salt Lake City | Oui | Oui |
us-west4 |
Las Vegas | Oui | Oui |
southamerica-east1 |
São Paulo | Oui | Oui |
Zones birégionales
Les centres de données d'un emplacement birégional se trouvent dans deux zones géographiques spécifiques. Par exemple, une ressource créée dans l'emplacement birégional nam4 est conservée dans les centres de données du centre et de l'Est des États-Unis.
Les ressources Cloud KMS peuvent être créées dans les zones birégionales suivantes :
| Nom de l'emplacement birégional | Description de l'emplacement birégional (les caractères gras indiquent une troisième instance dupliquée) | Cloud HSM disponible | Cloud EKM disponible | |
|---|---|---|---|---|
asia1 |
Tokyo, Osaka et Séoul | Non | Oui | |
eur4 |
Finlande, Pays-Bas et Belgique | Non | Oui | |
nam4 |
Iowa, Caroline du Sud et Oklahoma | Non | Oui |
Zones multirégionales
Les centres de données d'un emplacement multirégional sont répartis dans une zone géographique générale. Par exemple, une ressource créée dans l'emplacement multirégional europe est conservée dans plusieurs centres de données répartis en Europe. Il n'est pas possible de prédire ni de contrôler exactement quels centres de données sont sélectionnés, ni le lieu où ils se trouvent dans la zone multirégionale.
Des ressources Cloud KMS peuvent être créées dans les zones multirégionales suivantes :
| Nom de la zone multirégionale | Cloud HSM disponible | Cloud EKM disponible |
|---|---|---|
global |
Oui | Non |
asia |
Oui | Oui |
europe |
Oui | Oui |
us |
Oui | Oui |
Emplacement global
L'emplacement global correspond à une zone multirégionale spéciale. Les centres de données qui s'y trouvent sont répartis dans le monde entier. Il n'est pas possible de prédire ni de contrôler exactement quels centres de données sont sélectionnés, ni le lieu où ils se trouvent.
Choisir le meilleur type d'emplacement
En règle générale, vous devez concevoir votre application de sorte que tous ses composants soient géographiquement proches les uns des autres et à proximité de ses clients. L'emplacement de vos clés est un aspect important de la conception de votre application. Une fois la clé créée, vous ne pouvez plus la déplacer ni l'exporter.
Lorsque vous utilisez un emplacement multirégional, tel que la zone europe, les ressources sont conservées dans plusieurs centres de données répartis dans cette zone multirégionale.
La création et la mise à jour de clés dans des zones multirégionales, telles que l'emplacement global, peuvent s'avérer moins efficaces que l'utilisation d'un emplacement comprenant une seule région. Pour en savoir plus, consultez la section Effectuer des opérations de lecture et d'écriture dans des emplacements multirégionaux.
Utilisez l'emplacement global si toutes les conditions suivantes sont remplies :
- Les composants de votre application sont distribués dans le monde entier.
- Vous avez peu de lectures ou d'écritures, mais vous utilisez fréquemment d'autres opérations de chiffrement.
- Vous n'avez pas besoin de stocker votre clé dans un HSM.
- Vos clés ne sont associées à aucune condition de résidence géographique.
Pour les intégrations de clés de chiffrement gérées par le client (CMEK), vous devez utiliser exactement le même emplacement que celui des autres ressources associées à l'intégration. Certaines intégrations de CMEK ne sont pas compatibles avec l'emplacement global.
Pour en savoir plus sur les intégrations de CMEK, consultez la section correspondante du document Chiffrement au repos.
Les emplacements birégionaux ne sont compatibles qu'avec les ressources Cloud Storage qui utilisent également un emplacement birégional.
Les ressources Cloud EKM reposent sur la connectivité entre Google Cloud et un service de gestion de clés externe, en dehors de Google Cloud. Pour les ressources Cloud External Key Manager, sélectionnez un emplacement aussi proche que possible, géographiquement, de l'emplacement de stockage des clés sur le service de gestion des clés externes.
Cloud HSM dépend de la disponibilité du matériel physique dans les centres de données d'un emplacement. Pour les ressources Cloud HSM, sélectionnez un emplacement compatible avec Cloud HSM.
Les ressources Cloud HSM ont des quotas spécifiques aux emplacements. Les quotas Cloud KMS sont globaux.
Les emplacements birégionaux et multirégionaux ont des quotas distincts, indépendants de ceux utilisés pour les emplacements comprenant une seule région. Par exemple, pour créer des ressources Cloud HSM dans l'emplacement birégional nam4, vous devez disposer d'un quota HSM dans l'emplacement nam4, même si vous avez déjà des quotas dans les régions individuelles qui constituent l'emplacement nam4, telles que us-central1.
Effectuer des opérations de lecture et d'écriture dans des emplacements multirégionaux
La lecture et l'écriture de ressources ou des métadonnées associées dans des emplacements birégionaux ou multirégionaux, y compris l'emplacement global, peuvent être plus lentes que dans une région individuelle.
- Lorsque vous créez ou lisez des versions de clé, un consensus est toujours exigé entre les centres de données stockant le matériel de clé. Les opérations de lecture et d'écriture dans une région individuelle sont souvent plus efficaces que dans un emplacement birégional ou multirégional.
- Lorsque vous effectuez des opérations de chiffrement, telles que le chiffrement ou le déchiffrement de données, aucun consensus n'est exigé. Pour les opérations de chiffrement, les emplacements birégionaux et multirégionaux fonctionnent de la même manière que les emplacements comprenant une seule région.
- Lorsque vous stockez vos clés dans un ou plusieurs emplacements géographiquement proches des données qu'elles protègent ou que vous validez, les opérations de chiffrement sont généralement plus efficaces.
Les compromis entre performance et disponibilité sont propres à chaque application. Les emplacements multirégionaux, y compris les emplacements birégionaux ou global, conviennent mieux aux charges de travail nécessitant une lecture intensive.
Déterminer les régions disponibles
Vous pouvez utiliser le SDK Cloud ou l'API Cloud Key Management Service pour obtenir la liste des régions disponibles.
gcloud
gcloud kms locations list
Dans le résultat de la commande, la colonne HSM_AVAILABLE indique si l'emplacement accepte Cloud HSM.
API
Utilisez les méthodes Locations.get et Locations.list.
Les réponses des deux méthodes incluent des champs booléens liés aux capacités d'un emplacement :
Si un emplacement est compatible avec les clés Cloud HSM, la valeur du champ
hsmAvailableesttrue.Si un emplacement est compatible avec les clés Cloud EKM, la valeur du champ
ekmAvailableesttrue.
Étape suivante
- Apprenez en plus sur les zones géographiques et les régions dans Google Cloud.
- Consultez la liste complète des emplacements cloud.