Cloud KMS-Standorte

Cloud Key Management Service-Ressourcen können innerhalb eines Projekts an einem von vielen Standorten erstellt werden. Diese stellen die geografischen Regionen dar, in denen eine Cloud KMS-Ressource gespeichert ist und auf die zugegriffen werden kann. Der Standort eines Schlüssels wirkt sich auf die Leistung von Anwendungen aus, die den Schlüssel verwenden. Einige Ressourcen wie Cloud HSM-Schlüssel sind nicht überall verfügbar.

Schlüsselmaterial für Cloud KMS- und Cloud HSM-Schlüssel ist im Ruhezustand und während der Verwendung auf die ausgewählte Region beschränkt.

Arten von Standorten für Cloud KMS

Sie können Cloud KMS-, Cloud HSM- und Cloudekek-Ressourcen je nach Verfügbarkeitsanforderungen an verschiedenen Standorten in Google Cloud erstellen. Standorte werden regelmäßig hinzugefügt. Weitere Informationen zu den einzelnen Standorten finden Sie unter Standorte.

Weitere Informationen zur Auswahl des besten Standorttyps

Regionale Standorte

Die Rechenzentren eines regionalen Standorts befinden sich an einem bestimmten geografischen Ort. Eine in der Region us-central1 erstellte Ressource befindet sich beispielsweise in den zentralen USA.

Cloud KMS-Ressourcen können an den folgenden regionalen Standorten erstellt werden:

Name der Region Beschreibung der Region Cloud HSM verfügbar Cloud EKM verfügbar
asia-east1 Taiwan Ja Ja
asia-east2 Hongkong Ja Ja
asia-northeast1 Tokio Ja Ja
asia-northeast2 Osaka Ja Ja
asia-northeast3 Seoul Ja Ja
asia-south1 Mumbai Ja Ja
asia-southeast1 Singapur Ja Ja
asia-southeast2 Jakarta Ja Ja
australia-southeast1 Sydney Ja Ja
europe-north1 Finnland Ja Ja
europe-west1 Belgien Ja Ja
europe-west2 London Ja Ja
europe-west3 Frankfurt Ja Ja
europe-west4 Niederlande Ja Ja
europe-west6 Zürich Ja Ja
northamerica-northeast1 Montreal Ja Ja
us-central1 Iowa Ja Ja
us-east1 South Carolina Ja Ja
us-east4 Northern Virginia Ja Ja
us-west1 Oregon Ja Ja
us-west2 Los Angeles Ja Ja
us-west3 Salt Lake City Ja Ja
us-west4 Las Vegas Ja Ja
southamerica-east1 São Paulo Ja Ja

Dual-regionale Standorte

Die Rechenzentren eines dual-regionalen Standorts befinden sich an zwei bestimmten geografischen Orten. Eine Ressource, die am dual-regionalen Standort nam4 erstellt wurde, verbleibt beispielsweise in Rechenzentren im Zentrum und im Osten der USA.

Cloud KMS-Ressourcen können an den folgenden dual-regionalen Standorten erstellt werden:

Name der Dual-Region Beschreibung der Dual-Region (fett gibt das dritte Replikat an) Cloud HSM verfügbar Cloud EKM verfügbar
asia1 Tokio, Osaka und Seoul Nein Ja
eur4 Finnland, Niederlande und Belgien Nein Ja
nam4 Iowa, South Carolina und Oklahoma Nein Ja

Multiregionale Standorte

Die Rechenzentren eines multiregionalen Standorts sind über ein allgemeines geografisches Gebiet verteilt. Eine Ressource, die am multiregionalen Standort europe erstellt wurde, verbleibt beispielsweise in mehreren Rechenzentren in Europa. Es lässt sich nicht genau vorhersagen oder steuern, welche Rechenzentren ausgewählt werden oder wo diese sich innerhalb des multiregionalen Standorts befinden.

Cloud KMS-Ressourcen können an den folgenden multiregionalen Standorten erstellt werden:

Name des multiregionalen Standorts Cloud HSM verfügbar Cloud EKM verfügbar
global Ja Nein
asia Ja Ja
europe Ja Ja
us Ja Ja

Weltweiter Standort

Der Standort global ist ein spezieller Multi-Standort. Seine Rechenzentren sind über die ganze Welt verteilt. Es lässt sich nicht genau vorhersagen oder steuern, welche Rechenzentren ausgewählt werden oder wo diese sich befinden.

Auswahl des besten Standorttyps

Erstellen Sie Ihre Anwendung in der Regel so, dass alle ihre Komponenten geografisch nahe beieinander und in der Nähe der Clients Ihrer Anwendung sind. Die Position Ihrer Schlüssel ist ein wichtiger Aspekt des Anwendungsdesigns. Nach der Erstellung kann ein Schlüssel nicht verschoben oder exportiert werden.

Wenn Sie einen multiregionalen Standort wie den multiregionalen Standort europe verwenden, verbleiben Ressourcen in mehreren Rechenzentren, die über die multiregionale Region verteilt sind. Das Erstellen und Aktualisieren von Schlüsseln an multiregionalen Standorten, einschließlich des Standorts global, ist möglicherweise weniger effizient als die Verwendung eines Standorts mit nur einer Region. Weitere Informationen finden Sie unter Standorte in mehreren Regionen lesen und schreiben.

Verwenden Sie den Standort global, wenn alle folgenden Bedingungen erfüllt sind:

  • Die Komponenten Ihrer Anwendung sind weltweit verteilt
  • Sie haben selten Lese- oder Schreibvorgänge, verwenden aber häufig andere kryptografische Vorgänge
  • Sie müssen Ihren Schlüssel nicht in einem HSM speichern
  • Für Ihre Schlüssel gelten keine geografischen Anforderungen an Datenhoheit.

Für CMEK-Integrationen (Customer-Managed Encryption Keys) müssen Sie denselben Speicherort wie für andere Ressourcen im Zusammenhang mit der Integration verwenden. Einige CMEK-Integrationen unterstützen den Standort global nicht.

Weitere Informationen zu CMEK-Integrationen finden Sie im entsprechenden Abschnitt des Artikels Verschlüsselung inaktiver Daten.

Dual-regionale Standorte werden nur zur Verwendung mit Cloud Storage-Ressourcen unterstützt, die ebenfalls einen dual-regionalen Standort verwenden.

Für Cloud EKM-Ressourcen ist eine Verbindung zwischen Google Cloud und einem externen Schlüsselverwaltungsdienst außerhalb von Google Cloud erforderlich. Wählen Sie für Cloud External Key Manager-Ressourcen einen Standort so nahe wie möglich an dem, wo Schlüssel im externen Schlüsselverwaltungsdienst gespeichert sind.

Cloud HSM hängt von der Verfügbarkeit der physischen Hardware in den Rechenzentren eines Standorts ab. Wählen Sie für Cloud HSM-Ressourcen einen Standort aus, der Cloud HSM unterstützt.

Cloud HSM-Ressourcen haben standortspezifische Kontingente. Cloud KMS-Kontingente sind global.

Für dual- und multiregionale Standorte gelten separate Kontingente, unabhängig von den Kontingenten für einzelne Regionen. Wenn Sie beispielsweise Cloud HSM-Ressourcen am dual-regionalen Standort nam4 erstellen möchten, brauchen Sie ein HSM-Kontingent in nam4, auch wenn Sie bereits über Kontingente in den einzelnen, an nam4 teilnehmenden Regionen verfügen, z. B. us-central1.

Lese- und Schreibzugriff auf multiregionale Standorte

Das Lesen von und Schreiben in von Ressourcen oder zugehöriger Metadaten an dual-regionalen oder multi-regionalen Standorten, einschließlich des Standorts global, kann langsamer sein als das Lesen von oder Schreiben in einer einzelnen Region.

  • Wenn Sie Schlüsselversionen erstellen oder auslesen, muss zwischen den Rechenzentren, die das Schlüsselmaterial speichern, immer Übereinstimmung herrschen. Lese- und Schreibvorgänge in einer einzelnen Region sind oft effizienter als Lese- und Schreibvorgänge an einem dual- oder multiregionalen Standort.
  • Wenn Sie kryptografische Vorgänge ausführen, z. B. beim Verschlüsseln oder Entschlüsseln von Daten, ist keine Übereinstimmung erforderlich. Bei kryptografischen Vorgängen verhalten sich dual- und multiregionale Standorte ähnlich wie Standorte mit nur einer Region.
  • Kryptografische Vorgänge sind in der Regel effizienter, wenn Sie Ihre Schlüssel an einem oder mehreren geografischen Standorten in der Nähe der davon geschützten oder validierten Daten speichern.

Jede Anwendung hat ihren eigenen Trade-Off zwischen Leistung und Verfügbarkeit. Multiregionale Standorte, einschließlich dualer Regionen oder global, eignen sich am besten für Arbeitslasten mit vielen Lesevorgängen.

Verfügbare Regionen identifizieren

Mit dem Cloud SDK oder der Cloud Key Management Service API können Sie eine Liste der verfügbaren Regionen abrufen.

gcloud

gcloud kms locations list

In der Ausgabe des Befehls gibt die Spalte HSM_AVAILABLE an, ob der Standort Cloud HSM unterstützt.

API

Verwenden Sie die Methoden Locations.get und Locations.list.

Die Antworten dieser beiden Methoden enthalten boolesche Felder, die sich auf die Funktionen eines Standorts beziehen:

  • Wenn ein Standort Cloud HSM-Schlüssel unterstützt, ist hsmAvailable true.

  • Wenn ein Standort cloud-ekmodische Schlüssel unterstützt, ist ekmAvailable true.

Nächste Schritte