Cloud KMS のロケーション

プロジェクト内では、Cloud Key Management Service のリソースは、多数あるロケーションの 1 つに作成できます。このロケーションは、Cloud KMS リソースが保存されアクセスされる地理的な場所を表しています。ある鍵のロケーションは、その鍵を使用するアプリケーションのパフォーマンスに影響を与えます。Cloud HSM 鍵など一部のリソースは、すべてのロケーションで利用できるわけではありません。

Cloud KMS 鍵と Cloud HSM 鍵の鍵マテリアルは、保存時と使用中に選択したリージョンに固定されます。

Cloud KMS のロケーションの種類

Cloud KMS、Cloud HSM、Cloud EKM のリソースは、可用性の要件に応じて、Google Cloud のさまざまなロケーションの種類に作成できます。ロケーションは定期的に追加されます。各ロケーションの具体的な情報については、ロケーションをご覧ください。

詳細については、最適なロケーションの種類を選ぶをご覧ください。

リージョンのロケーション

リージョン ロケーションのデータセンターは、地理的に具体的な場所に配置されます。たとえば、us-central1 リージョンで作成されるリソースは、米国中部に配置されます。

Cloud KMS のサポートは、表に記載されているすべてのリージョンのロケーションで利用できます。リージョン ロケーションの Cloud HSM と Cloud EKM のサポートについては、次の表をご覧ください。

リージョン名 リージョンの説明 Cloud HSM を利用可能 Cloud EKM を利用可能
asia-east1 台湾
asia-east2 香港
asia-northeast1 東京
asia-northeast2 大阪
asia-northeast3 ソウル
asia-south1 ムンバイ
asia-south2 デリー ×
asia-southeast1 シンガポール
asia-southeast2 ジャカルタ
australia-southeast1 シドニー
australia-southeast2 メルボルン
europe-central2 ワルシャワ
europe-north1 フィンランド
europe-west1 ベルギー
europe-west2 ロンドン
europe-west3 フランクフルト
europe-west4 オランダ
europe-west6 チューリッヒ
northamerica-northeast1 モントリオール
northamerica-northeast2 トロント ×
us-central1 アイオワ
us-east1 サウスカロライナ
us-east4 北バージニア
us-west1 オレゴン
us-west2 ロサンゼルス
us-west3 ソルトレイクシティ
us-west4 ラスベガス
southamerica-east1 サンパウロ
southamerica-west1 サンティアゴ ×

デュアルリージョン ロケーション

デュアルリージョン ロケーションのデータセンターは、地理的に具体的な 2 か所に存在します。たとえば、nam4 デュアルリージョン ロケーションで作成されたリソースは、米国中部と東部の両方のデータセンターに存続します。

Cloud KMS のサポートは、表に記載されているすべてのデュアルリージョンのロケーションで利用できます。デュアルリージョン ロケーションの Cloud HSM と Cloud EKM のサポートについては、次の表をご覧ください。

デュアルリージョン名 デュアルリージョンの説明(太字は 3 番目のレプリカを示します) Cloud HSM を利用可能 Cloud EKM を利用可能
asia1 東京、大阪、ソウル ×
eur4 フィンランド、オランダ、ベルギー インターネット経由のみ
eur5 ロンドン、オランダ、ベルギー インターネット経由のみ
nam4 アイオワ、サウスカロライナ、オクラホマ インターネット経由のみ

マルチリージョンのロケーション

マルチリージョン ロケーションのデータセンターは、地理的エリア全体に分散しています。たとえば、europe マルチリージョンで作成されるリソースは、欧州連合内の複数のデータセンターに存在します。どのデータセンターが選択されているか、マルチリージョン内のどこに位置しているかを正確に予測および制御はできません。

Cloud KMS のサポートは、表に記載されているすべてのマルチリージョンのロケーションで利用できます。マルチリージョン ロケーションの Cloud HSM と Cloud EKM のサポートについては、次の表をご覧ください。

マルチリージョン名 Cloud HSM を利用可能 Cloud EKM を利用可能
global ×
asia インターネット経由のみ
asia1 Cloud Storage ではデュアルリージョンと見なされます。 インターネット経由のみ
eur3 インターネット経由のみ
eur5 Cloud Storage ではデュアルリージョンと見なされます。 インターネット経由のみ
eur6 × インターネット経由のみ
europe 欧州連合の加盟国内のデータセンター 1 インターネット経由のみ
nam-eur-asia1 北アメリカ、ヨーロッパ1、アジア × ×
nam3 インターネット経由のみ
nam6 インターネット経由のみ
nam7 × インターネット経由のみ
nam8 × インターネット経由のみ
nam9 インターネット経由のみ
nam10 × インターネット経由のみ
nam11 × インターネット経由のみ
nam12 × インターネット経由のみ
us インターネット経由のみ
1 europeマルチリージョンで作成されたリソースはeurope-west2(ロンドン)またはeurope-west6(チューリッヒ)データセンターには保存されません。

グローバル ロケーション

global ロケーションは、特別なマルチリージョンです。このロケーションのデータセンターは、世界中に広がっています。どのデータセンターが選択されているか、どこに位置しているかを正確に予測または制御することはできません。

最適なロケーションのタイプの選択

原則として、すべてのコンポーネントが地理的に近く、アプリケーションのクライアントの近くに存在するようにアプリケーションを設計します。鍵の場所はアプリケーションの設計の重要な側面です。作成後、鍵を移動したりエクスポートしたりできません。

europe マルチリージョンなど、マルチリージョン ロケーションを使用する場合、リソースはマルチリージョン全体に広がる複数のデータセンターで保持されます。global ロケーションを含むマルチリージョン ロケーションで鍵の作成および更新を行うと、シングルリージョン ロケーションを使用する場合よりも効率が下がる可能性があります。詳細については、マルチリージョン ロケーションの読み取りと書き込みをご覧ください。

次のすべてに該当する場合は、global ロケーションを使用します。

  • アプリケーションのコンポーネントがグローバルに分散している
  • 読み取りまたは書き込みの頻度が低いが、他の暗号オペレーションを頻繁に使用している
  • 鍵に地域別の要件がない

顧客管理の暗号鍵(CMEK)統合では、統合に関連するその他のリソースと同じロケーションを使用する必要があります。一部の CMEK 統合では、global ロケーションはサポートされていません。

CMEK 統合の詳細については、保存時の暗号化の関連セクションをご覧ください。

デュアルリージョンのロケーションは、同じくデュアルリージョンのロケーションを使用する Cloud Storage リソースでの使用でのみサポートされます。

Cloud EKM リソースは、Google Cloud と Google Cloud 以外の外部の鍵管理サービスとの間の接続性に依存します。Cloud External Key Manager のリソースの場合は、外部の鍵管理サービスで鍵が格納されているロケーションに可能な限り近いロケーションを選択します。

Cloud HSM は、ロケーションのデータセンターにある物理的なハードウェアの可用性に依存します。Cloud HSM リソースの場合は、Cloud HSM がサポートされるロケーションを選択します。

Cloud HSM リソースには、ロケーション固有の割り当てがあります。Cloud KMS の割り当てはグローバルです。

デュアルリージョンとマルチリージョンのロケーションには、シングル リージョンのロケーションの割り当てとは独立した、別の割り当てがあります。たとえば、Cloud HSM リソースを eur5 デュアルリージョンに作成する場合、europe-west2 など、eur5 に参加している単一リージョンにすでに割り当てている場合でも、eur5 に HSM を割り当てる必要があります。

マルチリージョン ロケーションの読み取りと書き込み

global ロケーションを含むデュアルリージョンまたはマルチリージョンのリソースや関連メタデータの読み取りと書き込みは、シングル リージョンから読み書きするよりも処理速度が遅くなることがあります。

  • 鍵バージョンを作成または読み込む場合、鍵マテリアルを格納するデータセンター間で常に合意が必要です。シングル リージョンの読み取りと書き込みは、多くの場合デュアルリージョンまたはマルチリージョンのロケーションよりも効率的です。
  • データの暗号化や復号などの暗号オペレーションを実行する場合、合意は不要です。暗号オペレーションでは、デュアルリージョンとマルチリージョンのロケーションは、シングル リージョンのロケーションと同じ様に機能します。
  • 保護や検証をするデータに地理的に近いロケーションに鍵を保存すると、通常は暗号オペレーションがより効率的になります。

パフォーマンスと可用性のトレードオフは、アプリケーションごとに異なります。デュアルリージョンや global などのマルチリージョンのロケーションは、読み取り負荷の高いワークロードに適しています。

利用可能なリージョンの確認

Google Cloud CLI または Cloud Key Management Service API を使用すると、使用可能なリージョンのリストを取得できます。

gcloud

gcloud kms locations list

このコマンドの出力の HSM_AVAILABLE 列で、ロケーションで Cloud HSM がサポートされているかどうかがわかります。EKM_AVAILABLE 列で、そのロケーションが Cloud External Key Manager をサポートしているかどうかがわかります。 : 現在、VPC 鍵による EKM はリージョンのロケーションでのみ使用できます。

API

Locations.get メソッドと Locations.list メソッドを使用します。methods.

どちらのメソッドからのレスポンスにも、ロケーションの機能に関連するブール値フィールドがあります。

  • ロケーションで Cloud EKM 鍵がサポートされている場合、hsmAvailabletrue です。

  • ロケーションで Cloud EKM 鍵がサポートされている場合、ekmAvailabletrue です。 : 現在、VPC 鍵による EKM はリージョンのロケーションでのみ使用できます。

次のステップ