Cloud Key Management Service-Ressourcen können innerhalb eines Projekts an einem von vielen Standorten erstellt werden. Diese stellen die geografischen Regionen dar, in denen eine Cloud KMS-Ressource gespeichert ist und auf die zugegriffen werden kann. Der Standort eines Schlüssels wirkt sich auf die Leistung von Anwendungen aus, die den Schlüssel verwenden. Einige Ressourcen wie Cloud HSM-Schlüssel sind nicht überall verfügbar.
Schlüsselmaterial für Cloud KMS- und Cloud HSM-Schlüssel ist im Ruhezustand und während der Verwendung auf die ausgewählte Region beschränkt.
In den folgenden Tabellen sind die Standorte aufgeführt, die in verschiedenen Teilen der Welt in Cloud KMS verwendet werden können. Sie können diese Standorte filtern nach Standorttyp, Cloud HSM-Unterstützung und Cloud EKM-Unterstützung:
Nord- und Südamerika
| Standortname | Standorttyp | Standortbeschreibung | Cloud HSM verfügbar | Cloud EKM verfügbar |
|---|---|---|---|---|
ca |
Mehrere Regionen | Mehrere Regionen in Kanada | Nein | Ja |
nam3 |
Mehrere Regionen | Northern Virginia und South Carolina | Ja | Ja |
nam4 |
Mehrere Regionen | Iowa, South Carolina und Oklahoma | Ja | Ja |
nam6 |
Mehrere Regionen | Iowa und South Carolina | Ja | Ja |
nam7 |
Mehrere Regionen | Iowa, Northern Virginia und Oklahoma | Ja | Ja |
nam8 |
Mehrere Regionen | Los Angeles, Oregon und Salt Lake City | Ja | Ja |
nam9 |
Mehrere Regionen | Northern Virginia und Iowa | Ja | Ja |
nam10 |
Mehrere Regionen | Iowa, Salt Lake City und Oklahoma | Ja | Ja |
nam11 |
Mehrere Regionen | Iowa, South Carolina und Oklahoma | Ja | Ja |
nam12 |
Mehrere Regionen | Iowa, Northern Virginia, Oklahoma und Oregon | Ja | Ja |
northamerica-northeast1 |
Region: | Montreal | Ja | Ja |
northamerica-northeast2 |
Region: | Toronto | Ja | Ja |
southamerica-east1 |
Region: | São Paulo | Ja | Ja |
southamerica-west1 |
Region: | Santiago | Ja | Ja |
us |
Mehrere Regionen | Mehrere Regionen in den USA | Ja | Ja |
us-central1 |
Region: | Iowa | Ja | Ja |
us-east1 |
Region: | South Carolina | Ja | Ja |
us-east4 |
Region: | Northern Virginia | Ja | Ja |
us-east5 |
Region: | Columbus | Ja | Ja |
us-west1 |
Region: | Oregon | Ja | Ja |
us-west2 |
Region: | Los Angeles | Ja | Ja |
us-west3 |
Region: | Salt Lake City | Ja | Ja |
us-west4 |
Region: | Las Vegas | Ja | Ja |
us-south1 |
Region: | Dallas | Ja | Ja |
Asiatisch-pazifischer Raum
| Standortname | Standorttyp | Standortbeschreibung | Cloud HSM verfügbar | Cloud EKM verfügbar |
|---|---|---|---|---|
asia |
Mehrere Regionen | Mehrere Regionen in Asien | Ja | Ja |
asia1 |
Mehrere Regionen | Tokio, Osaka und Seoul | Ja | Ja |
asia-east1 |
Region: | Taiwan | Ja | Ja |
asia-east2 |
Region: | Hongkong | Ja | Ja |
asia-northeast1 |
Region: | Tokio | Ja | Ja |
asia-northeast2 |
Region: | Osaka | Ja | Ja |
asia-northeast3 |
Region: | Seoul | Ja | Ja |
asia-south1 |
Region: | Mumbai | Ja | Ja |
asia-south2 |
Region: | Delhi | Ja | Ja |
asia-southeast1 |
Region: | Singapur | Ja | Ja |
asia-southeast2 |
Region: | Jakarta | Ja | Ja |
au |
Mehrere Regionen | Mehrere Regionen in Australien | Nein | Ja |
australia-southeast1 |
Region: | Sydney | Ja | Ja |
australia-southeast2 |
Region: | Melbourne | Ja | Ja |
in |
Mehrere Regionen | Mehrere Regionen in Indien | Ja | Ja |
Europa, Naher Osten
und Afrika
| Standortname | Standorttyp | Standortbeschreibung | Cloud HSM verfügbar | Cloud EKM verfügbar |
|---|---|---|---|---|
africa-south1 |
Region: | Johannesburg | Ja | Ja |
eur3 |
Mehrere Regionen | Belgien und Niederlande | Ja | Ja |
eur4 |
Mehrere Regionen | Finnland, Niederlande und Belgien | Ja | Ja |
eur5 |
Mehrere Regionen | London, Niederlande und Belgien | Ja | Ja |
eur6 |
Mehrere Regionen | Niederlande, Frankfurt und Zürich | Ja | Ja |
eur7 |
Mehrere Regionen | London, Frankfurt und Berlin | Nein | Ja |
eur8 |
Mehrere Regionen | Zürich, Frankfurt und Berlin | Nein | Ja |
europe |
Mehrere Regionen | Mehrere Regionen in der Europäischen Union1 | Ja | Ja |
europe-central2 |
Region: | Warschau | Ja | Ja |
europe-north1 |
Region: | Finnland | Ja | Ja |
europe-southwest1 |
Region: | Madrid | Ja | Ja |
europe-west1 |
Region: | Belgien | Ja | Ja |
europe-west2 |
Region: | London | Ja | Ja |
europe-west3 |
Region: | Frankfurt | Ja | Ja |
europe-west4 |
Region: | Niederlande | Ja | Ja |
europe-west6 |
Region: | Zürich | Ja | Ja |
europe-west8 |
Region: | Mailand | Ja | Ja |
europe-west9 |
Region: | Paris | Ja | Ja |
europe-west10 |
Region: | Berlin | Ja | Ja |
europe-west12 |
Region: | Turin | Ja | Ja |
de |
Mehrere Regionen | Mehrere Regionen in Deutschland | Nein | Ja |
it |
Mehrere Regionen | Mehrere Regionen in Italien | Nein | Ja |
me-central1 |
Region: | Doha | Ja | Ja |
me-central2 |
Region: | Dammam | Ja | Ja |
me-west1 |
Region: | Tel Aviv | Ja | Ja |
europe erstellt werden, werden nicht in den Rechenzentren europe-west2 (London) oder europe-west6 (Zürich) gespeichert.
Weltweit
| Standortname | Standorttyp | Standortbeschreibung | Cloud HSM verfügbar | Cloud EKM verfügbar |
|---|---|---|---|---|
global |
global | Ja | Nein | |
nam-eur-asia1 |
Mehrere Regionen | Nordamerika, Europa und Asien (Iowa, Oklahoma, Belgien und Taiwan) |
Ja | Nein |
Arten von Standorten für Cloud KMS
Sie können Cloud KMS-, Cloud HSM- und Cloudekek-Ressourcen je nach Verfügbarkeitsanforderungen an verschiedenen Standorten in Google Cloud erstellen. Standorte werden regelmäßig hinzugefügt. Weitere Informationen zu den einzelnen Standorten finden Sie unter Standorte.
Weitere Informationen zur Auswahl des besten Standorttyps
Für Cloud KMS sind die folgenden Standorttypen verfügbar:
- Regionale Standorte: Die Rechenzentren eines regionalen Standorts befinden sich an einem
einem bestimmten geografischen Ort. Eine in der Region
us-central1erstellte Ressource befindet sich beispielsweise in den zentralen USA. - Multiregionale Standorte: Die Rechenzentren eines multiregionalen Standorts sind über ein großes geografisches Gebiet verteilt. Beispiel: Eine Ressource, die
in der Multiregion
europewird in mehreren Rechenzentren innerhalb der der Europäischen Union. Sie können nicht auswählen, welche Rechenzentren Multiregion enthält Ihre Daten. - Globaler Standort: Der Standort
globalist ein spezieller multiregionaler Standort. Die Rechenzentren sind über die ganze Welt verteilt. Sie können nicht Wählen Sie aus, welche Rechenzentren in der globalen Multiregion Ihre Daten Daten.
Auswahl des besten Standorttyps
Erstellen Sie Ihre Anwendung in der Regel so, dass alle ihre Komponenten geografisch nahe beieinander und in der Nähe der Clients Ihrer Anwendung sind. Die Position Ihrer Schlüssel ist ein wichtiger Aspekt des Anwendungsdesigns. Nach der Erstellung kann ein Schlüssel nicht verschoben oder exportiert werden.
Wenn Sie einen multiregionalen Standort wie den multiregionalen Standort europe verwenden, verbleiben Ressourcen in mehreren Rechenzentren, die über die multiregionale Region verteilt sind.
Das Erstellen und Aktualisieren von Schlüsseln an multiregionalen Standorten, einschließlich des Standorts global, ist möglicherweise weniger effizient als die Verwendung eines Standorts mit nur einer Region. Weitere Informationen finden Sie unter Standorte in mehreren Regionen lesen und schreiben.
Verwenden Sie den Standort global, wenn alle folgenden Bedingungen erfüllt sind:
- Die Komponenten Ihrer Anwendung sind global verteilt.
- Sie haben selten Lese- oder Schreibvorgänge, verwenden aber häufig andere kryptografische Vorgänge.
- Für Ihre Schlüssel gelten keine Anforderungen an den geografischen Standort.
- Sie verwenden keine externen Schlüssel.
Für CMEK-Integrationen (Customer-Managed Encryption Keys) müssen Sie denselben Speicherort wie für andere Ressourcen im Zusammenhang mit der Integration verwenden. Einige CMEK-Integrationen unterstützen den Standort global nicht. Weitere Informationen zu CMEK-Integrationen finden Sie unter
Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK):
Für Cloud EKM-Ressourcen ist eine Verbindung zwischen Google Cloud und einem externen Schlüsselverwaltungsdienst außerhalb von Google Cloud erforderlich. Wählen Sie für Cloud External Key Manager-Ressourcen einen Standort so nahe wie möglich an dem, wo Schlüssel im externen Schlüsselverwaltungsdienst gespeichert sind.
Cloud HSM hängt von der Verfügbarkeit der physischen Hardware in den Rechenzentren eines Standorts ab. Wählen Sie für Cloud HSM-Ressourcen einen Standort aus, der Cloud HSM unterstützt.
Cloud HSM-Ressourcen haben standortspezifische Kontingente. Cloud KMS-Kontingente sind global.
Für Standorte mit mehreren Regionen gelten separate Kontingente, unabhängig von den Kontingenten für einzelne Regionen. Wenn Sie beispielsweise Cloud HSM-Ressourcen am mehrregionalen Standort eur5 erstellen möchten, brauchen Sie ein HSM-Kontingent in eur5, auch wenn Sie bereits über Kontingente in den einzelnen, an eur5 teilnehmenden Regionen verfügen, z. B. europe-west2.
Lese- und Schreibzugriff auf multiregionale Standorte
Das Lesen von und Schreiben in von Ressourcen oder zugehöriger Metadaten an multiregionalen Standorten, einschließlich des Standorts global, kann langsamer sein als das Lesen von oder Schreiben in einer einzelnen Region.
- Wenn Sie Schlüsselversionen erstellen oder auslesen, muss zwischen den Rechenzentren, die das Schlüsselmaterial speichern, immer Übereinstimmung herrschen. Lese- und Schreibzugriffe in einer einzelnen Region sind oft effizienter als solche zu einem multiregionalen Standort.
- Wenn Sie kryptografische Vorgänge ausführen, z. B. beim Verschlüsseln oder Entschlüsseln von Daten, ist keine Übereinstimmung erforderlich. Bei kryptografischen Vorgängen Multiregionale Standorte schneiden ähnlich wie Standorte mit einer Region ab.
- Kryptografische Vorgänge sind in der Regel effizienter, wenn Sie Ihre Schlüssel an einem oder mehreren geografischen Standorten in der Nähe der davon geschützten oder validierten Daten speichern.
Jede Anwendung hat ihren eigenen Trade-Off zwischen Leistung und Verfügbarkeit. Multiregionale Standorte, einschließlich global, eignen sich am besten für Arbeitslasten mit vielen Lesezugriffen.
Verfügbare Regionen identifizieren
Mit der Google Cloud CLI oder Cloud Key Management Service API können Sie eine Liste der verfügbaren Regionen abrufen.
gcloud
gcloud kms locations list
In der Ausgabe des Befehls gibt die Spalte HSM_AVAILABLE an, ob der Standort Cloud HSM unterstützt. Die Spalte EKM_AVAILABLE gibt an, ob der Standort Cloud External Key Manager unterstützt. Hinweis: EKM über VPC-Schlüssel ist derzeit nur an regionalen Standorten verfügbar.
API
Verwenden Sie die Methoden Locations.get und Locations.list.
Die Antworten dieser beiden Methoden enthalten boolesche Felder, die sich auf die Funktionen eines Standorts beziehen:
Wenn ein Standort Cloud HSM-Schlüssel unterstützt, ist
hsmAvailabletrue.Wenn ein Standort cloud-ekmodische Schlüssel unterstützt, ist
ekmAvailabletrue. Hinweis: EKM-über-VPC-Schlüssel sind derzeit nur in regionalen Standorten.
Nächste Schritte
- Weitere Informationen über Geografie und Regionen in Google Cloud
- Eine vollständige Liste der Cloud-Standorte finden Sie hier.