Ubicaciones de Cloud KMS

Organízate con las colecciones Guarda y clasifica el contenido según tus preferencias.

Dentro de un proyecto, los recursos de Cloud Key Management Service se pueden crear en una de muchas ubicaciones. Estas representan las regiones geográficas en las que se almacena un recurso de Cloud KMS y se puede acceder a él. La ubicación de una clave afecta el rendimiento de las aplicaciones que usan la clave. Algunos recursos, como las claves de Cloud HSM, no están disponibles en todas las ubicaciones.

El material de las claves de Cloud KMS y Cloud HSM se limita a la región seleccionada mientras está en reposo y en uso.

Tipos de ubicaciones para Cloud KMS

Puedes crear recursos de Cloud KMS, Cloud HSM y Cloud EKM en diferentes tipos de ubicaciones en Google Cloud, según tus requisitos de disponibilidad. Las ubicaciones se agregan periódicamente. Para obtener información específica sobre cada ubicación, consulta Ubicaciones.

Puedes obtener más información acerca de cómo elegir el mejor tipo de ubicación.

Ubicaciones regionales

Los centros de datos de una ubicación regional existen en un lugar geográfico específico. Por ejemplo, un recurso creado en la región us-central1 se encuentra en el centro de Estados Unidos.

La asistencia de Cloud KMS está disponible para todas las ubicaciones regionales que aparecen en la tabla. Consulta la siguiente tabla para obtener información sobre la compatibilidad de Cloud HSM y Cloud EKM con ubicaciones regionales:

Nombre de región Descripción de la región Cloud HSM disponible Cloud EKM disponible
asia-east1 Taiwán
asia-east2 Hong Kong
asia-northeast1 Tokio
asia-northeast2 Osaka
asia-northeast3 Seúl
asia-south1 Bombay
asia-south2 Delhi No Solo a través de Internet
asia-southeast1 Singapur
asia-southeast2 Yakarta
australia-southeast1 Sídney
australia-southeast2 Melbourne Solo a través de Internet
europe-central2 Varsovia Solo a través de Internet
europe-north1 Finlandia
europe-west1 Bélgica
europe-west2 Londres
europe-west3 Fráncfort
europe-west4 Países Bajos
europe-west6 Zúrich
northamerica-northeast1 Montreal
northamerica-northeast2 Toronto No Solo a través de Internet
us-central1 Iowa
us-east1 Carolina del Sur
us-east4 Virginia del Norte
us-west1 Oregón
us-west2 Los Ángeles
us-west3 Salt Lake City
us-west4 Las Vegas
southamerica-east1 San Pablo
southamerica-west1 Santiago No Solo a través de Internet

Ubicaciones birregionales

Los centros de datos de una ubicación birregional existen en dos lugares geográficos específicos. Por ejemplo, un recurso creado en la ubicación birregional nam4 se conserva en centros de datos tanto en el centro como en el este de Estados Unidos.

La asistencia de Cloud KMS está disponible para todas las ubicaciones birregionales enumeradas en la tabla. Consulta la siguiente tabla para obtener información sobre la compatibilidad de Cloud HSM y Cloud EKM con ubicaciones birregionales:

Nombre de la región doble Descripción de la región doble (negrita indica la tercera réplica) Cloud HSM disponible Cloud EKM disponible
asia1 Tokio, Osaka y Seúl No
eur4 Finlandia, los Países Bajos y Bélgica Solo a través de Internet
eur5 Londres, Países Bajos y Bélgica Solo a través de Internet
nam4 Iowa, Carolina del Sur y Oklahoma Solo a través de Internet

Ubicaciones multirregionales

Los centros de datos de una ubicación multirregional están distribuidos en un área geográfica general. Por ejemplo, un recurso creado en la multirregión europe persiste en varios centros de datos dentro de la Unión Europea. No es posible predecir o controlar con exactitud qué centros de datos están seleccionados o dónde se encuentran dentro de la multirregión.

La asistencia de Cloud KMS está disponible para todas las ubicaciones multirregionales que se indican en la tabla. Consulta la siguiente tabla para obtener información sobre la compatibilidad de Cloud HSM y Cloud EKM con ubicaciones multirregionales:

Nombre de la multirregión Notas Cloud HSM disponible Cloud EKM disponible
global No
asia Solo a través de Internet
asia1 Se considera birregional para Cloud Storage. Solo a través de Internet
eur3 Solo a través de Internet
eur5 Se considera birregional para Cloud Storage. Solo a través de Internet
eur6 No Solo a través de Internet
europe Centros de datos dentro de los Estados miembros de la Unión Europea1 Solo a través de Internet
nam-eur-asia1 Norteamérica, Europa1 y Asia No Solo a través de Internet
nam3 Solo a través de Internet
nam6 Solo a través de Internet
nam7 No Solo a través de Internet
nam8 No Solo a través de Internet
nam9 Solo a través de Internet
nam10 No Solo a través de Internet
nam11 No Solo a través de Internet
nam12 No Solo a través de Internet
us Solo a través de Internet
1 Los recursos creados en la multirregión europe no se almacenan en los centros de datos de europe-west2 (Londres) ni de europe-west6 (Zúrich).

La ubicación global

La ubicación global es una multirregión especial. Sus centros de datos están distribuidos en todo el mundo. No es posible predecir o controlar con exactitud qué centros de datos están seleccionados o dónde se encuentran.

Elegir el mejor tipo de ubicación

Como regla general, diseña tu aplicación para que todos sus componentes estén geográficamente cerca y cerca de los clientes de tu aplicación. La ubicación de las claves es un aspecto importante del diseño de la aplicación. Después de la creación, una clave no se puede mover ni exportar.

Cuando se usa una ubicación multirregional, como la multirregión europe, los recursos persisten en varios centros de datos distribuidos en toda la multirregión. Crear y actualizar claves en ubicaciones multirregionales, incluida la ubicación de global, puede ser menos eficaz que usar una ubicación de una sola región. Para obtener más información, consulta Cómo leer y escribir en ubicaciones multirregionales.

Usa la ubicación de global si se cumplen todas las condiciones que figuran a continuación:

  • Los componentes de tu aplicación se distribuyen de manera global
  • Tienes lecturas o escrituras poco frecuentes, pero usas otras operaciones criptográficas con frecuencia
  • Tus claves no tienen requisitos de residencia geográfica

Para las integraciones de claves de encriptación administradas por el cliente (CMEK), debes usar la misma ubicación exacta que otros recursos relacionados con la integración. Algunas integraciones de CMEK no admiten la ubicación global.

Para obtener más información sobre las integraciones de CMEK, consulta la sección relevante Encriptación en reposo.

Las ubicaciones birregionales solo se admiten para usar con recursos de Cloud Storage que también usan una ubicación birregional.

Los recursos de Cloud EKM dependen de la conectividad entre Google Cloud y un servicio de administración de claves externo, fuera de Google Cloud. Para los recursos de Cloud External Key Manager, selecciona una ubicación geográfica lo más cercana posible a la ubicación en la que se almacenan las claves en el servicio de administración de claves externo.

Cloud HSM depende de la disponibilidad del hardware físico en los centros de datos de una ubicación. Para los recursos de Cloud HSM, selecciona una ubicación que admita Cloud HSM.

Los recursos de Cloud HSM tienen cuotas específicas de la ubicación. Las cuotas de Cloud KMS son globales.

Las ubicaciones birregionales y multirregionales tienen cuotas independientes, independientes de las cuotas para las ubicaciones de una sola región. Por ejemplo, para crear recursos de Cloud HSM en la región doble eur5, debes tener una cuota de HSM en eur5, incluso si ya tienes una cuota en las regiones individuales que participan en eur5, como europe-west2.

Lee y escribe ubicaciones de varias regiones y escribe en ellas

La lectura y escritura de recursos o metadatos asociados en ubicaciones birregionales o multirregionales, incluida la ubicación global, puede ser más lenta que la lectura o escritura desde una sola región.

  • Cuando creas o lees versiones de claves, siempre se requiere consenso entre los centros de datos que almacenan el material de las claves. Las operaciones de lectura y escritura en una sola región suelen ser más eficientes que las que se realizan en una ubicación birregional o multirregional.
  • Cuando realizas operaciones criptográficas, como la encriptación o la desencriptación de datos, no se requiere consenso. En las operaciones criptográficas, las ubicaciones birregionales y multirregionales tienen un rendimiento similar al de las ubicaciones de una sola región.
  • Cuando almacenas tus claves en una ubicación o ubicaciones geográficamente cercanas a los datos que protegen o validan, las operaciones criptográficas suelen ser más eficientes.

Las compensaciones entre el rendimiento y la disponibilidad son únicas para cada aplicación. Las ubicaciones multirregionales, incluidas las birregionales o global, son más adecuadas para cargas de trabajo con alto contenido de lectura.

Determina regiones disponibles

Puedes usar la CLI de Google Cloud o la API de Cloud Key Management Service para obtener una lista de las regiones disponibles.

gcloud

gcloud kms locations list

En la salida del comando, la columna HSM_AVAILABLE indica si la ubicación admite Cloud HSM. En la columna EKM_AVAILABLE, se indica si la ubicación admite Cloud External Key Manager. Ten en cuenta que EKM mediante claves de VPC solo está disponible por el momento en ubicaciones regionales.

API

Usa los métodos Locations.get y Locations.list.

Las respuestas de ambos métodos incluyen campos booleanos relacionados con las capacidades de una ubicación:

  • Si una ubicación admite claves de Cloud HSM, hsmAvailable es true.

  • Si una ubicación admite claves de Cloud EKM, ekmAvailable es true. Ten en cuenta que EKM mediante claves de VPC solo está disponible por el momento en ubicaciones regionales.

Próximos pasos