Ubicaciones de Cloud KMS

Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Dentro de un proyecto, los recursos de Cloud Key Management Service se pueden crear en una de varias ubicaciones. Estas representan las regiones geográficas en las que se almacena un recurso de Cloud KMS y se puede acceder a él. La ubicación de una clave afecta el rendimiento de las aplicaciones que la usan. Algunos recursos, como las claves de Cloud HSM, no están disponibles en todas las ubicaciones.

El material de clave para las claves de Cloud KMS y Cloud HSM se limita a la región seleccionada mientras está en reposo y en uso.

En las siguientes tablas, se enumeran las ubicaciones disponibles para usar en Cloud KMS en diferentes partes del mundo. Puedes filtrar estas ubicaciones por tipo de ubicación, asistencia de Cloud HSM y compatibilidad con Cloud EKM:

Filtrar por:

América

Nombre de la ubicación Tipo de ubicación Descripción de la ubicación Cloud HSM disponible Cloud EKM disponible
nam3 Multirregión Virginia del Norte y Carolina del Sur Solo a través de Internet
nam4 Multirregión Iowa, Carolina del Sur y Oklahoma Solo a través de Internet
nam6 Multirregión Iowa y Carolina del Sur Solo a través de Internet
nam7 Multirregión Iowa, Virginia del Norte y Oklahoma Solo a través de Internet
nam8 Multirregión Los Ángeles, Oregón y Salt Lake City Solo a través de Internet
nam9 Multirregión Iowa y Virginia del Norte Solo a través de Internet
nam10 Multirregión Iowa, Salt Lake City y Oklahoma Solo a través de Internet
nam11 Multirregión Iowa, Carolina del Sur y Oklahoma Solo a través de Internet
nam12 Multirregión Iowa, Virginia del Norte, Oklahoma y Oregón Solo a través de Internet
northamerica-northeast1 Región Montreal
northamerica-northeast2 Región Toronto
southamerica-east1 Región São Paulo
southamerica-west1 Región Santiago
us Multirregión Varias regiones en los Estados Unidos Solo a través de Internet
us-central1 Región Iowa
us-east1 Región Carolina del Sur
us-east4 Región Virginia del Norte
us-east5 Región Columbus
us-west1 Región Oregón
us-west2 Región Los Ángeles
us-west3 Región Salt Lake City
us-west4 Región Las Vegas
us-south1 Región Dallas

Europa y Oriente Medio

Nombre de la ubicación Tipo de ubicación Descripción de la ubicación Cloud HSM disponible Cloud EKM disponible
eur3 Multirregión Bélgica y Países Bajos Solo a través de Internet
eur4 Multirregión Finlandia, Bélgica y los Países Bajos Solo a través de Internet
eur5 Multirregión Londres, Países Bajos y Bélgica Solo a través de Internet
eur6 Multirregión Países Bajos, Fráncfort y Zúrich Solo a través de Internet
europe Multirregión Varias regiones de la Unión Europea1 Solo a través de Internet
europe-central2 Región Varsovia
europe-north1 Región Finlandia
europe-west1 Región Bélgica
europe-west2 Región Londres
europe-west3 Región Fráncfort
europe-west4 Región Países Bajos
europe-west6 Región Zúrich
europe-west8 Región Milán
europe-west9 Región París
europe-southwest1 Región Madrid
me-west1 Región Tel Aviv
1 Los recursos creados en la multirregión europe no se almacenan en los centros de datos europe-west2 (Londres) o europe-west6 (Zúrich).

Asia-Pacífico

Nombre de la ubicación Tipo de ubicación Descripción de la ubicación Cloud HSM disponible Cloud EKM disponible
asia Multirregión Varias regiones en Asia Solo a través de Internet
asia1 Multirregión Tokio, Osaka y Seúl Solo a través de Internet
in Multirregión Varias regiones en India No Solo a través de Internet
asia-east1 Región Taiwán
asia-east2 Región Hong Kong
asia-northeast1 Región Tokio
asia-northeast2 Región Osaka
asia-northeast3 Región Seúl
asia-south1 Región Bombay
asia-south2 Región Delhi
asia-southeast1 Región Singapur
asia-southeast2 Región Yakarta
australia-southeast1 Región Sídney
australia-southeast2 Región Melbourne

En todo el mundo

Nombre de la ubicación Tipo de ubicación Descripción de la ubicación Cloud HSM disponible Cloud EKM disponible
global global No
nam-eur-asia1 Multirregión Norteamérica, Europa y Asia
(Iowa, Oklahoma, Bélgica y Taiwán)		 No No

Tipos de ubicaciones para Cloud KMS

Puedes crear recursos de Cloud KMS, Cloud HSM y Cloud EKM en diferentes tipos de ubicaciones en Google Cloud, según tus requisitos de disponibilidad. Las ubicaciones se agregan de forma habitual. Para obtener información específica sobre cada ubicación, consulta Ubicaciones.

Puedes obtener más información para elegir el mejor tipo de ubicación.

Los siguientes tipos de ubicación están disponibles para Cloud KMS:

  • Ubicaciones regionales: los centros de datos de una ubicación regional existen en un lugar geográfico específico. Por ejemplo, un recurso creado en la región us-central1 se encuentra en el centro de Estados Unidos.
  • Ubicaciones multirregionales: los centros de datos de una ubicación multirregional se distribuyen en un área geográfica grande. Por ejemplo, un recurso creado en la multirregión europe persiste en varios centros de datos dentro de la Unión Europea. No puedes elegir qué centros de datos contendrán tus datos en la multirregión.
  • La ubicación global: La ubicación global es una multirregión especial. Sus centros de datos están dispersos en todo el mundo. No puedes elegir qué centros de datos dentro de la multirregión global contendrán tus datos.

Elige el mejor tipo de ubicación

Como regla general, diseña tu aplicación de modo que todos sus componentes se encuentren geográficamente cerca entre sí y cerca de los clientes de tu aplicación. La ubicación de tus claves es un aspecto importante del diseño de tu aplicación. Después de la creación, no se puede mover ni exportar una clave.

Cuando se usa una ubicación multirregional, como la multirregión europe, los recursos persisten en múltiples centros de datos distribuidos en toda la multirregión. Crear y actualizar claves en ubicaciones multirregionales, incluida la ubicación global, puede ser menos eficiente que usar una ubicación de una sola región. Para obtener más información, consulta Lee en y escribe hacia ubicaciones multirregionales.

Usa la ubicación global si se cumplen todas estas condiciones:

  • Los componentes de tu aplicación se distribuyen globalmente.
  • Tienes lecturas o escrituras poco frecuentes, pero usa otras operaciones criptográficas con frecuencia.
  • Tus claves no tienen requisitos de residencia geográfica.
  • No estás usando claves externas.

Para las integraciones de claves de encriptación administradas por el cliente (CMEK), debes usar la misma ubicación exacta que otros recursos relacionados con la integración. Algunas integraciones de CMEK no son compatibles con la ubicación global. Para obtener más información sobre las integraciones de CMEK, consulta Claves de encriptación administradas por el cliente (CMEK).

Los recursos de Cloud EKM dependen de la conectividad entre Google Cloud y un servicio de administración de claves externas, fuera de Google Cloud. Para los recursos de Cloud External Key Manager, selecciona una ubicación lo más cercana posible a la ubicación en la que se almacenan las claves en el servicio de administración de claves externas.

Cloud HSM depende de la disponibilidad de hardware físico en los centros de datos de una ubicación. Para los recursos de Cloud HSM, selecciona una ubicación que admita Cloud HSM.

Los recursos de Cloud HSM tienen cuotas específicas de la ubicación. Las cuotas de Cloud KMS son globales.

Las ubicaciones multirregionales tienen cuotas independientes, independientes de las cuotas para ubicaciones individuales. Por ejemplo, para crear recursos de Cloud HSM en la multirregión eur5, debes tener una cuota de HSM en eur5, incluso si ya tienes una cuota en las regiones únicas que participan en eur5, como europe-west2.

Leer en y escribe hacia ubicaciones multirregionales

Leer o escribir recursos o metadatos asociados en ubicaciones multirregionales, incluida la ubicación global, puede ser más lento que leer o escribir desde una sola región.

  • Cuando creas o lees versiones de claves, siempre se requiere consenso entre los centros de datos que almacenan el material de claves. Las operaciones de lectura y escritura en una sola región suelen ser más eficientes que en una ubicación multirregional.
  • Cuando realizas operaciones criptográficas, como cuando se encriptan o desencriptan datos, no se necesita consenso. Para las operaciones criptográficas, las ubicaciones multirregionales tienen un rendimiento similar a las ubicaciones regionales.
  • Cuando almacenas tus claves en ubicaciones geográficamente cercanas a los datos que protegen o validan, las operaciones criptográficas suelen ser más eficientes.

Las compensaciones entre el rendimiento y la disponibilidad son exclusivas de cada aplicación. Las ubicaciones multirregionales, incluida global, son más adecuadas para cargas de trabajo con alto contenido de lectura.

Determina regiones disponibles

Puedes usar Google Cloud CLI o la API de Cloud Key Management Service para obtener una lista de las regiones disponibles.

gcloud

gcloud kms locations list

En la salida del comando, la columna HSM_AVAILABLE indica si la ubicación es compatible con Cloud HSM. La columna EKM_AVAILABLE indica si la ubicación es compatible con Cloud External Key Manager. Ten en cuenta que, en la actualidad, EKM a través de las claves de VPC solo está disponible en ubicaciones regionales.

API

Usa los métodos Locations.get y Locations.list.

Las respuestas de ambos métodos incluyen campos booleanos relacionados con las capacidades de una ubicación:

  • Si una ubicación admite claves de Cloud HSM, hsmAvailable es true.

  • Si una ubicación admite claves de Cloud EKM, ekmAvailable es true. Ten en cuenta que, en la actualidad, EKM a través de las claves de VPC solo está disponible en ubicaciones regionales.

¿Qué sigue?