Località di Cloud KMS

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

All'interno di un progetto, le risorse di Cloud Key Management Service possono essere create in una delle tante località. Rappresentano le regioni in cui è archiviata una risorsa Cloud KMS e a cui è possibile accedere. La località di una chiave influisce sulle prestazioni delle applicazioni che utilizzano la chiave. Alcune risorse, come le chiavi Cloud HSM, non sono disponibili in tutte le località.

Il materiale della chiave per le chiavi Cloud KMS e Cloud HSM è limitato alla regione selezionata mentre è inattiva e in uso.

Le seguenti tabelle elencano le località disponibili per l'utilizzo in Cloud KMS per diverse parti del mondo. Puoi filtrare queste località per tipo di località, supporto Cloud HSM e supporto Cloud EKM:

Filtra per:

Americhe

Nome della sede Tipo di posizione Descrizione posizione Cloud HSM disponibile Cloud EKM disponibile
nam3 Più regioni. Virginia del Nord e Carolina del Sud Solo tramite Internet:
nam4 Più regioni. Iowa, Carolina del Sud e Oklahoma Solo tramite Internet:
nam6 Più regioni. Iowa e Carolina del Sud Solo tramite Internet:
nam7 Più regioni. Iowa, Virginia del Nord e Oklahoma Solo tramite Internet:
nam8 Più regioni. Los Angeles, Oregon e Salt Lake City Solo tramite Internet:
nam9 Più regioni. Virginia del Nord e Iowa Solo tramite Internet:
nam10 Più regioni. Iowa, Salt Lake City e Oklahoma Solo tramite Internet:
nam11 Più regioni. Iowa, Carolina del Sud e Oklahoma Solo tramite Internet:
nam12 Più regioni. Iowa, Virginia del Nord, Oklahoma e Oregon Solo tramite Internet:
northamerica-northeast1 Regione Montréal
northamerica-northeast2 Regione Toronto
southamerica-east1 Regione San Paolo
southamerica-west1 Regione Santiago
us Più regioni. Più regioni negli Stati Uniti Solo tramite Internet:
us-central1 Regione Iowa
us-east1 Regione Carolina del Sud
us-east4 Regione Virginia del Nord
us-east5 Regione Columbus
us-west1 Regione Oregon
us-west2 Regione Los Angeles
us-west3 Regione Salt Lake City
us-west4 Regione Las Vegas
us-south1 Regione Dallas

Europa e Medio Oriente

Nome della sede Tipo di posizione Descrizione posizione Cloud HSM disponibile Cloud EKM disponibile
eur3 Più regioni. Belgio e Paesi Bassi Solo tramite Internet:
eur4 Più regioni. Finlandia, Paesi Bassi e Belgio Solo tramite Internet:
eur5 Più regioni. Londra, Paesi Bassi e Belgio Solo tramite Internet:
eur6 Più regioni. Paesi Bassi, Francoforte e Zurigo Solo tramite Internet:
europe Più regioni. Più regioni nell'Unione Europea1 Solo tramite Internet:
europe-central2 Regione Varsavia
europe-north1 Regione Finlandia
europe-west1 Regione Belgio
europe-west2 Regione Londra
europe-west3 Regione Francoforte
europe-west4 Regione Paesi Bassi
europe-west6 Regione Zurigo
europe-west8 Regione Milano
europe-west9 Regione Parigi
europe-southwest1 Regione Madrid
me-west1 Regione Tel Aviv
1 Le risorse create nell'area geografica europe non vengono archiviate nei data center europe-west2 (Londra) o europe-west6 (Zürich).

Asia Pacifico

Nome della sede Tipo di posizione Descrizione posizione Cloud HSM disponibile Cloud EKM disponibile
asia Più regioni. Più regioni in Asia Solo tramite Internet:
asia1 Più regioni. Tokyo, Osaka e Seul Solo tramite Internet:
asia-east1 Regione Taiwan
asia-east2 Regione Hong Kong
asia-northeast1 Regione Tokyo
asia-northeast2 Regione Osaka
asia-northeast3 Regione Seul
asia-south1 Regione Mumbai
asia-south2 Regione Delhi
asia-southeast1 Regione Singapore
asia-southeast2 Regione Giacarta
australia-southeast1 Regione Sydney
australia-southeast2 Regione Melbourne

Tutto il mondo

Nome della sede Tipo di posizione Descrizione posizione Cloud HSM disponibile Cloud EKM disponibile
global Globale No
nam-eur-asia1 Più regioni. Nord America, Europa e Asia
(Iowa, Oklahoma, Belgio e Taiwan)
No No

Tipi di località per Cloud KMS

Puoi creare risorse Cloud KMS, Cloud HSM e Cloud EKM in diversi tipi di località in Google Cloud, a seconda dei requisiti di disponibilità. Le località vengono aggiunte regolarmente. Per informazioni specifiche su ciascuna sede, consulta la sezione Località.

Scopri di più sulla scelta del tipo di località migliore.

Cloud KMS prevede i seguenti tipi di località:

  • Località regionali: i data center di una località geografica si trovano in una località geografica specifica. Ad esempio, una risorsa creata nell'area geografica us-central1 si trova negli Stati Uniti centrali.
  • Località a più aree geografiche: i data center di una località con più aree geografiche sono distribuiti su una vasta area geografica. Ad esempio, una risorsa creata nell'area geografica europe continua a esistere in più data center all'interno dell'Unione europea. Non puoi scegliere quali data center all'interno di più aree geografiche conterranno i tuoi dati.
  • La località globale: la località global è un'area multiregionale speciale. I suoi data center sono sparsi in tutto il mondo. Non puoi scegliere quali data center all'interno dell'area geografica globale conterranno i tuoi dati.

Scegliere il tipo migliore di località

Come regola, progetta la tua applicazione in modo che tutti i suoi componenti siano geograficamente vicini tra loro e vicino ai client della tua applicazione. La posizione delle chiavi è un aspetto importante della progettazione della tua applicazione. Dopo la creazione, non è possibile spostare o esportare una chiave.

Quando utilizzi una località a più aree geografiche, ad esempio europe, vengono applicate risorse in più data center sparsi in più aree geografiche. La creazione e l'aggiornamento delle chiavi in località con più aree geografiche, inclusa l'area geografica global, potrebbe essere meno efficiente rispetto all'uso di una località a singola area geografica. Per ulteriori informazioni, consulta la sezione Leggi e scrivi in località con più regioni.

Utilizza la località global se si verificano tutte le seguenti condizioni:

  • I componenti dell'applicazione sono distribuiti a livello globale.
  • Le letture o le scritture non sono frequenti, ma utilizzi spesso altre operazioni di crittografia.
  • Le chiavi non hanno requisiti di localizzazione geografica.
  • Non utilizzi chiavi esterne.

Per le integrazioni delle chiavi di crittografia gestite dal cliente (CMEK), devi utilizzare la stessa località esatta delle altre risorse correlate all'integrazione. Alcune integrazioni CMEK non supportano la località global. Per saperne di più sulle integrazioni CMEK, consulta Chiavi di crittografia gestite dal cliente (CMEK).

Le risorse di Cloud EKM si basano sulla connettività tra Google Cloud e un servizio di gestione delle chiavi esterno, al di fuori di Google Cloud. Per le risorse di Cloud External Key Manager, seleziona una località geograficamente il più vicino possibile alla località in cui sono memorizzate le chiavi sul servizio di gestione delle chiavi esterno.

Cloud HSM dipende dalla disponibilità di hardware fisico nei data center di una località. Per le risorse Cloud HSM, seleziona una località che supporti Cloud HSM.

Le risorse Cloud HSM hanno quote specifiche per la località. Le quote di Cloud KMS sono globali.

Le località a più aree geografiche hanno quote separate, indipendentemente dalle quote per le località a singola area geografica. Ad esempio, per creare risorse Cloud HSM nella località a più regioni eur5, devi avere una quota HSM in eur5, anche se disponi già di quota nelle singole regioni che partecipano a eur5, ad esempio europe-west2.

Lettura e scrittura in località con più regioni

La lettura e la scrittura di risorse o metadati associati in località con più regioni, inclusa la località global, possono essere più lente rispetto a quelle da una singola regione.

  • Quando crei o leggi versioni della chiave, è necessario un consenso tra i data center in cui è archiviato il materiale della chiave. Le operazioni di lettura e scrittura in una singola regione sono spesso più efficienti di quelle in una località a più aree geografiche.
  • Quando esegui operazioni di crittografia, ad esempio per criptare o decriptare i dati, non è necessario raggiungere un consenso. Per le operazioni di crittografia, le località con più aree geografiche hanno un rendimento simile a quello di singole aree geografiche.
  • Quando archivi le chiavi in una o più località geografiche vicine ai dati che proteggono o convalidano, le operazioni di crittografia sono generalmente più efficienti.

I compromessi tra prestazioni e disponibilità sono diversi per ogni applicazione. Le località a più aree geografiche, tra cui global, sono più adatte a carichi di lavoro di lettura ad alta intensità.

Determinazione delle regioni disponibili

Puoi utilizzare Google Cloud CLI o l'API Cloud Key Management Service per ottenere un elenco delle aree geografiche disponibili.

gcloud

gcloud kms locations list

Nell'output del comando, la colonna HSM_AVAILABLE indica se la località supporta Cloud HSM. La colonna EKM_AVAILABLE indica se la località supporta Cloud External Key Manager. Tieni presente che le chiavi EKM tramite VPC sono attualmente disponibili solo nelle località a livello di regione.

API

Utilizza i metodi Locations.get e Locations.list.

Le risposte di entrambi i metodi includono campi booleani correlati alle funzionalità di una sede:

  • Se una località supporta le chiavi Cloud HSM, hsmAvailable è true.

  • Se una località supporta le chiavi Cloud EKM, ekmAvailable è true. Tieni presente che le chiavi EKM tramite VPC sono attualmente disponibili solo in località regionali.

Passaggi successivi