Cloud KMS-Standorte

Innerhalb eines Projekts können Cloud Key Management Service-Ressourcen an einem von vielen Standorten erstellt werden. Diese stellen die geografischen Regionen dar, in denen eine Cloud KMS-Ressource gespeichert wird und auf die zugegriffen werden kann. Der Speicherort eines Schlüssels wirkt sich auf die Leistung von Anwendungen aus, in denen der Schlüssel verwendet wird. Einige Ressourcen wie Cloud HSM-Schlüssel sind nicht an jedem Standort verfügbar.

Das Schlüsselmaterial für Cloud KMS- und Cloud HSM-Schlüssel ist auf die ausgewählte Region beschränkt, wenn sie inaktiv ist oder gerade verwendet wird.

Standorttypen für Cloud KMS

Sie können Cloud KMS-, Cloud HSM- und Cloud EKM-Ressourcen an verschiedenen Standorten in Google Cloud erstellen, je nach Ihren Verfügbarkeitsanforderungen. Standorte werden regelmäßig hinzugefügt. Genauere Informationen zu den einzelnen Standorten finden Sie unter Standorte.

Weitere Informationen zur Auswahl des passenden Standorts

Regionale Standorte

Die Rechenzentren eines regionalen Standorts befinden sich an einem bestimmten geografischen Ort. Beispielsweise befindet sich eine in der Region us-central1 erstellte Ressource im Zentrum der USA.

Cloud KMS-Unterstützung ist für alle in der Tabelle aufgeführten regionalen Standorte verfügbar. Die folgende Tabelle zeigt die Cloud HSM- und Cloud EKM-Unterstützung für regionale Standorte:

Name der Region Beschreibung der Region Cloud HSM verfügbar Cloud EKM verfügbar
asia-east1 Taiwan Ja Ja
asia-east2 Hongkong Ja Ja
asia-northeast1 Tokio Ja Ja
asia-northeast2 Osaka Ja Ja
asia-northeast3 Seoul Ja Ja
asia-south1 Logo: Mumbai Ja Ja
asia-south2 Delhis Nein Nur über das Internet
asia-southeast1 Singapur Ja Ja
asia-southeast2 Jakarta Ja Ja
australia-southeast1 Sydney, Australien Ja Ja
australia-southeast2 Melbourne Ja Nur über das Internet
europe-central2 Warschau Ja Nur über das Internet
europe-north1 Finnland Ja Ja
europe-west1 Belgien Ja Ja
europe-west2 London (London) Ja Ja
europe-west3 Frankfurt Ja Ja
europe-west4 Niederlande Ja Ja
europe-west6 Zürich, USA Ja Ja
northamerica-northeast1 Montreal Ja Ja
northamerica-northeast2 Toronto Nein Nur über das Internet
us-central1 Iowa Ja Ja
us-east1 South Ja Ja
us-east4 Nord-Virginia Ja Ja
us-west1 Oregon Ja Ja
us-west2 Los Angeles, Kalifornien Ja Ja
us-west3 Salt Lake City Ja Ja
us-west4 Las Vegas Ja Ja
southamerica-east1 So Paulo Ja Ja
southamerica-west1 Santiago Nein Nur über das Internet

Dual-regionale Standorte

Die Rechenzentren von Dual-Region sind an zwei geografischen Standorten vertreten. Beispiel: Eine Ressource, die im dualen regionalen Standort nam4 erstellt wurde, bleibt in Rechenzentren im mittleren und östlichen USA.

Cloud KMS-Unterstützung ist für alle dual-regionalen Standorte verfügbar, die in der Tabelle aufgeführt sind. In der folgenden Tabelle finden Sie Informationen zur Cloud HSM- und Cloud EKM-Unterstützung für dual-regionale Standorte:

Name der Dual-Region Beschreibung der Dual-Region (fett zeigt das dritte Replikat) Cloud HSM verfügbar Cloud EKM verfügbar
asia1 Tokio, Osaka und Seoul Ja Nein
eur4 Finnland, Niederlande und Belgien Ja Nur über das Internet
eur5 London, Niederlande und Belgien Ja Nur über das Internet
nam4 Iowa, South Carolina und Oklahoma Ja Nur über das Internet

Multiregionale Standorte

Die Rechenzentren eines multiregionalen Standorts sind über einen allgemeinen geografischen Bereich verteilt. Eine in der Multiregion europe erstellte Ressource bleibt beispielsweise in mehreren Rechenzentren innerhalb der Europäischen Union bestehen. Es ist nicht möglich, genau vorherzusagen oder zu steuern, welche Rechenzentren ausgewählt sind oder wo sie sich innerhalb der Multiregion befinden.

Cloud KMS-Unterstützung ist für alle multiregionalen Standorte verfügbar, die in der Tabelle aufgeführt sind. In der folgenden Tabelle finden Sie die Cloud HSM- und Cloud EKM-Unterstützung für multiregionale Standorte:

Name des multiregionalen Standorts Hinweise Cloud HSM verfügbar Cloud EKM verfügbar
global Ja Nein
asia Ja Nur über das Internet
asia1 Wird als dual-regional für Cloud Storage betrachtet. Ja Nur über das Internet
eur3 Ja Nur über das Internet
eur5 Wird als dual-regional für Cloud Storage betrachtet. Ja Nur über das Internet
eur6 Nein Nur über das Internet
europe Rechenzentren in Mitgliedsstaaten der Europäischen Union1 Ja Nur über das Internet
nam-eur-asia1 Nordamerika, Europa1 und Asien Nein Nur über das Internet
nam3 Ja Nur über das Internet
nam6 Ja Nur über das Internet
nam7 Nein Nur über das Internet
nam8 Nein Nur über das Internet
nam9 Ja Nur über das Internet
nam10 Nein Nur über das Internet
nam11 Nein Nur über das Internet
nam12 Nein Nur über das Internet
us Ja Nur über das Internet
1 Ressourcen, die in der Multiregion europe erstellt werden, werden nicht in den Rechenzentren europe-west2 (London) oder europe-west6 (Zürich) gespeichert.

Der globale Standort

Der Standort global ist eine spezielle Multiregion. Die Rechenzentren sind über die ganze Welt verteilt. Es ist nicht möglich, genau vorherzusagen oder zu steuern, welche Rechenzentren ausgewählt sind oder wo sie sich befinden.

Den besten Standorttyp auswählen

In der Regel sollten Sie Ihre Anwendung so gestalten, dass alle Komponenten geografisch nahe beieinander und in der Nähe der Clients Ihrer Anwendung sind. Die Position der Schlüssel ist ein wichtiger Aspekt des Anwendungsdesigns. Ein Schlüssel kann nach dem Erstellen nicht verschoben oder exportiert werden.

Bei der Verwendung eines multiregionalen Standorts wie der Multiregion europe bleiben Ressourcen in mehreren Rechenzentren bestehen, die über die Multiregion verteilt sind. Das Erstellen und Aktualisieren von Schlüsseln an multiregionalen Standorten, einschließlich des Standorts global, ist möglicherweise weniger effizient als die Verwendung eines Standorts mit einer einzigen Region. Weitere Informationen finden Sie unter Multiregionale Standorte lesen und schreiben.

Verwenden Sie den Standort global, wenn Folgendes zutrifft:

  • Die Komponenten deiner Anwendung werden weltweit verteilt
  • Sie haben selten Lese- oder Schreibvorgänge, verwenden jedoch häufig andere kryptografische Vorgänge.
  • Für Ihre Schlüssel gelten keine geografischen Anforderungen

Bei CMEK-Integrationen (Customer-Managed Encryption Keys, vom Kunden verwaltete Verschlüsselungsschlüssel) müssen Sie denselben Speicherort wie andere Ressourcen verwenden, die mit der Integration zusammenhängen. Einige CMEK-Integrationen unterstützen den Standort global nicht.

Weitere Informationen zu CMEK-Integrationen finden Sie im entsprechenden Abschnitt von Verschlüsselung inaktiver Daten.

Dual-regionale Standorte werden nur für die Verwendung mit Cloud Storage-Ressourcen unterstützt, die auch einen dual-regionalen Standort verwenden.

Cloud EKM-Ressourcen nutzen die Konnektivität zwischen Google Cloud und einem externen Schlüsselverwaltungsdienst außerhalb von Google Cloud. Wählen Sie für Cloud External Key Manager-Ressourcen einen Speicherort aus, der geografisch möglichst nahe am Standort liegt, an dem Schlüssel im externen Schlüsselverwaltungsdienst gespeichert sind.

Cloud HSM hängt von der Verfügbarkeit von physischer Hardware in den Rechenzentren eines Standorts ab. Wählen Sie für Cloud HSM-Ressourcen einen Standort aus, der Cloud HSM unterstützt.

Cloud HSM-Ressourcen haben standortspezifische Kontingente. Cloud KMS-Kontingente sind global.

Für Dual- und multiregionale Standorte gelten unabhängig von den Kontingenten für Standorte mit einer Region separate Kontingente. Wenn Sie beispielsweise Cloud HSM-Ressourcen in der Dual-Region eur5 erstellen möchten, benötigen Sie ein HSM-Kontingent in eur5, auch wenn Sie bereits ein Kontingent in den einzelnen Regionen haben, die in eur5 teilnehmen, z. B. europe-west2.

Daten aus multiregionalen Standorten lesen und schreiben

Das Lesen und Schreiben von Ressourcen oder zugehörigen Metadaten an dual- oder multiregionalen Standorten, einschließlich des Standorts global, kann langsamer sein als das Lesen oder Schreiben aus einer einzelnen Region.

  • Wenn Sie Schlüsselversionen erstellen oder lesen, ist unter den Rechenzentren, die das Schlüsselmaterial speichern, immer ein Konsens erforderlich. Lese- und Schreibvorgänge in eine einzelne Region sind häufig effizienter als solche an einem dual- oder multiregionalen Standort.
  • Wenn Sie kryptografische Vorgänge ausführen, z. B. beim Verschlüsseln oder Entschlüsseln von Daten, ist kein Konsens erforderlich. Bei kryptografischen Vorgängen bieten dual- und multiregionale Standorte ähnliche Standorte wie einzelne Regionen.
  • Wenn Sie Ihre Schlüssel an einem Standort oder an Standorten speichern, die sich in der Nähe der Daten befinden, die sie schützen oder validieren, sind kryptografische Vorgänge in der Regel effizienter.

Die Kompromisse zwischen Leistung und Verfügbarkeit sind für jede Anwendung individuell. Multiregionale Standorte, einschließlich Dual-Region oder global, eignen sich am besten für leselastige Arbeitslasten.

Verfügbare Regionen ermitteln

Sie können die Google Cloud-Befehlszeile oder die Cloud Key Management Service API verwenden, um eine Liste der verfügbaren Regionen abzurufen.

gcloud

gcloud kms locations list

In der Ausgabe des Befehls gibt die Spalte HSM_AVAILABLE an, ob der Standort Cloud HSM unterstützt. In der Spalte EKM_AVAILABLE ist angegeben, ob für den Standort Cloud External Key Manager unterstützt wird. Hinweis: EKM über VPC-Schlüssel ist derzeit nur an regionalen Standorten verfügbar.

API

Verwenden Sie die Methoden Locations.get und Locations.list.

Die Antworten von beiden Methoden enthalten boolesche Felder, die sich auf die Funktionen eines Standorts beziehen:

  • Wenn ein Standort Cloud HSM-Schlüssel unterstützt, ist hsmAvailable true.

  • Wenn ein Standort Cloud EKM-Schlüssel unterstützt, ist ekmAvailable true. Hinweis: EKM über VPC-Schlüssel ist derzeit nur an regionalen Standorten verfügbar.

Nächste Schritte