Località Cloud KMS

All'interno di un progetto, le risorse di Cloud Key Management Service possono essere create in una delle numerose località. Rappresentano le aree geografiche in cui è archiviata una risorsa Cloud KMS ed è accessibile. La posizione di una chiave influisce sulle prestazioni delle applicazioni che utilizzano la chiave. Alcune risorse, ad esempio le chiavi Cloud HSM, non sono disponibili in tutte le località.

Il materiale delle chiavi per le chiavi Cloud KMS e Cloud HSM è limitato all'area geografica selezionata quando è a riposo e in uso.

Tipi di località per Cloud KMS

Puoi creare risorse Cloud KMS, Cloud HSM e Cloud EKM in diversi tipi di località in Google Cloud, a seconda dei requisiti di disponibilità. Le località vengono aggiunte regolarmente. Per informazioni specifiche su ogni luogo, consulta Località.

Scopri di più sulla scelta del tipo di località migliore.

Località regionali

I data center di una sede locale esistono in un'area geografica specifica. Ad esempio, una risorsa creata nell'area geografica us-central1 si trova negli Stati Uniti centrali.

Il supporto di Cloud KMS è disponibile per tutte le località a singola area geografica elencate nella tabella. Consulta la tabella seguente per il supporto di Cloud HSM e Cloud EKM per le località a livello di area geografica:

Nome regione Descrizione regione Cloud HSM disponibile Cloud EKM disponibile
asia-east1 Taiwan
asia-east2 Hong Kong
asia-northeast1 Tokyo
asia-northeast2 Osaka
asia-northeast3 Seul
asia-south1 Mumbai
asia-south2 Delhi
asia-southeast1 Singapore
asia-southeast2 Giacarta
australia-southeast1 Sydney
australia-southeast2 Melbourne
europe-central2 Varsavia
europe-north1 Finlandia
europe-west1 Belgio
europe-west2 Londra
europe-west3 Francoforte
europe-west4 Paesi Bassi
europe-west6 Zurigo
europe-west8 Milano Solo via Internet
europe-west9 Parigi No Solo via Internet
europe-southwest1 Madrid No Solo via Internet
northamerica-northeast1 Montréal
northamerica-northeast2 Toronto
us-central1 Iowa
us-east1 Carolina del Sud
us-east4 Virginia del Nord
us-east5 Columbus Solo via Internet
us-west1 Oregon
us-west2 Los Angeles
us-west3 Salt Lake City
us-west4 Las Vegas
us-south1 Dallas Solo via Internet
southamerica-east1 San Paolo
southamerica-west1 Santiago

Località a due aree geografiche

I data center di una località con due aree geografiche esistono in due aree geografiche specifiche. Ad esempio, una risorsa creata nella località con due aree geografiche nam4persiste nei data center negli Stati Uniti centrali e orientali.

Il supporto di Cloud KMS è disponibile per tutte le località a doppia area geografica elencate nella tabella. Consulta la tabella seguente per il supporto di Cloud HSM e Cloud EKM per località con due aree geografiche:

Nome doppia area geografica Descrizione della doppia area geografica (grassetto indica la terza replica) Cloud HSM disponibile Cloud EKM disponibile
asia1 Tokyo, Osaka e Seul No
eur4 Finlandia, Paesi Bassi e Belgio Solo via Internet
eur5 Londra, Paesi Bassi e Belgio Solo via Internet
nam4 Iowa, Carolina del Sud e Oklahoma Solo via Internet

Località a più aree geografiche

I data center di una località a più aree geografiche sono distribuiti su un'area geografica generale. Ad esempio, una risorsa creata in più aree geografiche europe persiste in più data center all'interno dell'Unione europea. Non è possibile prevedere o controllare esattamente quali data center sono selezionati o dove si trovano in più aree geografiche.

Il supporto di Cloud KMS è disponibile per tutte le località a più aree geografiche elencate nella tabella. Fai riferimento alla tabella seguente per il supporto di Cloud HSM e di Cloud EKM per località a più aree geografiche:

Nome per più aree geografiche Note Cloud HSM disponibile Cloud EKM disponibile
global No
asia Solo via Internet
asia1 Considerata due aree geografiche per Cloud Storage. Solo via Internet
eur3 Solo via Internet
eur5 Considerata due aree geografiche per Cloud Storage. Solo via Internet
eur6 No Solo via Internet
europe Data center all'interno degli stati membri dell'Unione europea1 Solo via Internet
nam-eur-asia1 Nord America, Europa1 e Asia No No
nam3 Solo via Internet
nam6 Solo via Internet
nam7 No Solo via Internet
nam8 No Solo via Internet
nam9 Solo via Internet
nam10 No Solo via Internet
nam11 No Solo via Internet
nam12 No Solo via Internet
us Solo via Internet
1 Le risorse create nell'area geografica europe non vengono archiviate nei data center europe-west2 (Londra) o europe-west6 (Zurigo).

La località globale

La località global è un'area geografica speciale. I suoi data center sono sparsi in tutto il mondo. Non è possibile prevedere o controllare esattamente quali data center sono selezionati o dove si trovano.

Scegliere il tipo di località migliore

Come regola, progetta la tua applicazione in modo che tutti i componenti siano geograficamente vicini e vicini ai client dell'applicazione. La posizione dei token è un aspetto importante nella progettazione della tua applicazione. Dopo la creazione, non è possibile spostare o esportare una chiave.

Quando utilizzi una località con più aree geografiche, ad esempio più aree geografiche europe, le risorse rimangono in più data center distribuiti su più aree geografiche. La creazione e l'aggiornamento delle chiavi in località a più aree geografiche, inclusa la località di global, potrebbero essere meno efficienti rispetto all'uso di una località a singola area geografica. Per ulteriori informazioni, consulta la sezione Leggere e scrivere in località con più aree geografiche.

Utilizza la località global se si verificano tutte le seguenti condizioni:

  • I componenti della tua applicazione sono distribuiti a livello globale
  • Disponi di letture o scritture non frequenti, ma utilizzi spesso altre operazioni crittografiche
  • Le chiavi non hanno requisiti di localizzazione geografica

Per le integrazioni delle chiavi di crittografia gestite dal cliente (CMEK), devi utilizzare la stessa posizione esatta delle altre risorse correlate all'integrazione. Alcune integrazioni CMEK non supportano la località global.

Per scoprire di più sulle integrazioni CMEK, consulta la sezione pertinente Crittografia dei dati inattivi.

Le località a doppia area geografica sono supportate solo con risorse Cloud Storage, che utilizzano anche una località a doppia area geografica.

Le risorse di Cloud EKM si basano sulla connettività tra Google Cloud e un servizio di gestione delle chiavi esterno all'esterno di Google Cloud. Per le risorse di Cloud Key Manager, seleziona una località geograficamente il più vicino possibile alla località in cui sono archiviate le chiavi nel servizio di gestione delle chiavi esterno.

Cloud HSM dipende dalla disponibilità di hardware fisico in un data center di una località. Per le risorse Cloud HSM, seleziona una località che supporti Cloud HSM.

Le risorse Cloud HSM hanno quote specifiche della località. Le quote di Cloud KMS sono globali.

Le località con due o più aree geografiche hanno quote separate, indipendenti dalle quote per le località a singola area geografica. Ad esempio, per creare risorse Cloud HSM nella doppia area geografica eur5, devi disporre della quota HSM in eur5, anche se hai già una quota nelle singole aree geografiche che partecipano a eur5, ad esempio europe-west2.

Lettura e scrittura in località con più aree geografiche

La lettura e la scrittura di risorse o metadati associati in località con due o più aree geografiche, inclusa la località global, può essere più lenta rispetto alla lettura o alla scrittura da una singola area geografica.

  • Quando crei o leggi versioni della chiave, è sempre necessario un consenso tra i data center che archiviano il materiale della chiave. Le operazioni di lettura e scrittura in una singola area geografica sono spesso più efficienti di quelle in una località con due o più aree geografiche.
  • Quando si eseguono operazioni crittografiche, ad esempio durante la crittografia o la decriptazione dei dati, non è necessario un consenso. Per le operazioni crittografiche, le località con due o più aree geografiche hanno un rendimento simile a quelle di una singola area geografica.
  • Quando archivi le chiavi in una posizione geografica o in posizioni geograficamente vicine ai dati che proteggono o convalidano, di solito le operazioni crittografiche sono più efficienti.

I compromessi tra prestazioni e disponibilità sono specifici di ogni applicazione. Le località a più aree geografiche, incluse quelle a doppia area geografica o global, sono più adatte ai carichi di lavoro di lettura più gravosi.

Determinazione delle aree geografiche disponibili

Puoi utilizzare l'interfaccia a riga di comando di Google Cloud o l'API Cloud Key Management Service per ottenere un elenco delle aree geografiche disponibili.

gcloud

gcloud kms locations list

Nell'output del comando, la colonna HSM_AVAILABLE indica se la località supporta Cloud HSM. La colonna EKM_AVAILABLE indica se la località supporta Cloud External Key Manager. Nota: al momento, EKM tramite chiavi VPC è disponibile solo in località regionali.

API

Utilizza i metodi Locations.get e Locations.list.

Le risposte di entrambi i metodi includono campi booleani correlati alle funzionalità di una posizione:

  • Se una località supporta le chiavi Cloud HSM, hsmAvailable è true.

  • Se una località supporta le chiavi Cloud EKM, ekmAvailable è true. Nota: le chiavi EKM tramite VPC sono attualmente disponibili solo in località a livello di area geografica.

Passaggi successivi