プロジェクト内では、Cloud Key Management Service のリソースは、多数あるロケーションの 1 つに作成できます。このロケーションは、Cloud KMS リソースが保存されアクセスされる地理的な場所を表しています。ある鍵のロケーションは、その鍵を使用するアプリケーションのパフォーマンスに影響を与えます。Cloud HSM 鍵など一部のリソースは、すべてのロケーションで利用できるわけではありません。
Cloud KMS 鍵と Cloud HSM 鍵の鍵マテリアルは、保存時と使用中に選択したリージョンに固定されます。
Cloud KMS のロケーションの種類
Cloud KMS、Cloud HSM、Cloud EKM のリソースは、可用性の要件に応じて、Google Cloud のさまざまなロケーションの種類に作成できます。ロケーションは定期的に追加されます。各ロケーションの具体的な情報については、ロケーションをご覧ください。
詳細については、最適なロケーションの種類を選ぶをご覧ください。
リージョンのロケーション
リージョン ロケーションのデータセンターは、地理的に具体的な場所に配置されます。たとえば、us-central1
リージョンで作成されるリソースは、米国中部に配置されます。
Cloud KMS リソースは、次のリージョンのロケーションに作成できます。
リージョン名 | リージョンの説明 | Cloud HSM を利用可能 | Cloud EKM を利用可能 |
---|---|---|---|
asia-east1 |
台湾 | ○ | ○ |
asia-east2 |
香港 | ○ | ○ |
asia-northeast1 |
東京 | ○ | ○ |
asia-northeast2 |
大阪 | ○ | ○ |
asia-northeast3 |
ソウル | ○ | ○ |
asia-south1 |
ムンバイ | ○ | ○ |
asia-southeast1 |
シンガポール | ○ | ○ |
asia-southeast2 |
ジャカルタ | ○ | ○ |
australia-southeast1 |
シドニー | ○ | ○ |
europe-north1 |
フィンランド | ○ | ○ |
europe-west1 |
ベルギー | ○ | ○ |
europe-west2 |
ロンドン | ○ | ○ |
europe-west3 |
フランクフルト | ○ | ○ |
europe-west4 |
オランダ | ○ | ○ |
europe-west6 |
チューリッヒ | ○ | ○ |
northamerica-northeast1 |
モントリオール | ○ | ○ |
us-central1 |
アイオワ | ○ | ○ |
us-east1 |
サウスカロライナ | ○ | ○ |
us-east4 |
北バージニア | ○ | ○ |
us-west1 |
オレゴン | ○ | ○ |
us-west2 |
ロサンゼルス | ○ | ○ |
us-west3 |
ソルトレイクシティ | ○ | ○ |
us-west4 |
ラスベガス | ○ | ○ |
southamerica-east1 |
サンパウロ | ○ | ○ |
デュアルリージョン ロケーション
デュアルリージョン ロケーションのデータセンターは、地理的に具体的な 2 か所に存在します。たとえば、nam4
デュアルリージョン ロケーションで作成されたリソースは、米国中部と東部の両方のデータセンターに存続します。
Cloud KMS リソースは、次のデュアルリージョンのロケーションに作成できます。
デュアルリージョン名 | デュアルリージョンの説明(太字は 3 番目のレプリカを示します) | Cloud HSM を利用可能 | Cloud EKM を利用可能 | |
---|---|---|---|---|
asia1 |
東京、大阪、ソウル | × | ○ | |
eur4 |
フィンランド、オランダ、ベルギー | × | ○ | |
eur5 |
ロンドン、オランダ、ベルギー | ○ | ○ | |
nam4 |
アイオワ、サウス カロライナ、オクラホマ | × | ○ |
マルチリージョンのロケーション
マルチリージョン ロケーションのデータセンターは、地理的エリア全体に分散しています。たとえば、europe
マルチリージョンで作成されたリソースは、ヨーロッパ全体の複数のデータセンターに存在します。どのデータセンターが選択されているか、マルチリージョン内のどこに位置しているかを正確に予測および制御することはできません。
Cloud KMS リソースは、次のマルチリージョンのロケーションに作成できます。
マルチリージョン名 | Cloud HSM を利用可能 | Cloud EKM を利用可能 |
---|---|---|
global |
○ | × |
asia |
○ | ○ |
europe |
○ | ○ |
us |
○ | ○ |
グローバル ロケーション
global
ロケーションは、特別なマルチリージョンです。データセンターは世界中に広がっています。選択したデータセンターや配置する場所を正確に予測または制御することはできません。
最適なロケーションのタイプの選択
原則として、すべてのコンポーネントが地理的に近く、アプリケーションのクライアントの近くに存在するようにアプリケーションを設計します。鍵の場所はアプリケーションの設計の重要な側面です。作成後、鍵を移動したりエクスポートしたりできません。
europe
マルチリージョンなどのマルチリージョンのロケーションを使用する場合、リソースはマルチリージョンに分散している複数のデータセンターに保持されます。global
ロケーションを含むマルチリージョンのロケーションにキーを作成および更新すると、単一のリージョンのロケーションを使用するよりも効率が下がる可能性があります。詳細については、マルチリージョン ロケーションの読み取りと書き込みをご覧ください。
次のすべてに該当する場合は、global
ロケーションを使用します。
- アプリケーションのコンポーネントがグローバルに分散している
- 読み取りまたは書き込みの頻度が低いが、他の暗号オペレーションを頻繁に使用している
- 鍵に地域別の要件がない
顧客管理の暗号鍵(CMEK)統合では、統合に関連するその他のリソースと同じロケーションを使用する必要があります。一部の CMEK 統合では、global
ロケーションはサポートされていません。
CMEK 統合の詳細については、保存時の暗号化の関連セクションをご覧ください。
デュアルリージョンのロケーションは、同じくデュアルリージョンのロケーションを使用する Cloud Storage リソースでの使用でのみサポートされます。
Cloud EKM リソースは、Google Cloud と Google Cloud 以外の外部の鍵管理サービスとの間の接続性に依存します。Cloud External Key Manager のリソースの場合は、外部の鍵管理サービスで鍵が格納されているロケーションに可能な限り近いロケーションを選択します。
Cloud HSM は、ロケーションのデータセンターにある物理的なハードウェアの可用性に依存します。Cloud HSM リソースの場合は、Cloud HSM がサポートされるロケーションを選択します。
Cloud HSM リソースには、ロケーション固有の割り当てがあります。Cloud KMS の割り当てはグローバルです。
デュアルリージョンとマルチリージョンのロケーションには、シングル リージョンのロケーションの割り当てとは独立した、別の割り当てがあります。たとえば、Cloud HSM リソースを nam4
デュアルリージョンに作成する場合、us-central1
など、nam4
に参加している単一リージョンにすでに割り当てている場合でも、nam4
に HSM を割り当てる必要があります。
マルチリージョン ロケーションの読み取りと書き込み
global
ロケーションを含むデュアルリージョンまたはマルチリージョンのリソースや関連メタデータの読み取りと書き込みは、シングル リージョンから読み書きするよりも処理速度が遅くなることがあります。
- 鍵バージョンを作成または読み込む場合、鍵マテリアルを格納するデータセンター間で常に合意が必要です。シングル リージョンの読み取りと書き込みは、多くの場合デュアルリージョンまたはマルチリージョンのロケーションよりも効率的です。
- データの暗号化や復号などの暗号オペレーションを実行する場合、合意は不要です。暗号オペレーションでは、デュアルリージョンとマルチリージョンのロケーションは、シングル リージョンのロケーションと同じ様に機能します。
- 保護や検証をするデータに地理的に近いロケーションに鍵を保存すると、通常は暗号オペレーションがより効率的になります。
パフォーマンスと可用性のトレードオフは、アプリケーションごとに異なります。デュアルリージョンや global
などのマルチリージョンのロケーションは、読み取り負荷の高いワークロードに適しています。
利用可能なリージョンの確認
利用可能なリージョンの一覧は、Cloud SDK または Cloud Key Management Service API を使用して取得できます。
gcloud
gcloud kms locations list
このコマンドの出力の HSM_AVAILABLE
列で、ロケーションで Cloud HSM がサポートされているかどうかがわかります。
API
Locations.get
メソッドと Locations.list
メソッドを使用します。methods.
どちらのメソッドからのレスポンスにも、ロケーションの機能に関連するブール値フィールドがあります。
ロケーションで Cloud EKM 鍵がサポートされている場合、
hsmAvailable
はtrue
です。ロケーションで Cloud EKM 鍵がサポートされている場合、
ekmAvailable
はtrue
です。
次のステップ
- Google Cloud の地域とリージョンについての詳細をご覧ください。
- Cloud のロケーションの一覧をご覧ください。