Località di Cloud KMS

All'interno di un progetto, le risorse di Cloud Key Management Service possono essere create in una delle numerose località. Rappresentano le regioni geografiche in cui è archiviata una risorsa Cloud KMS ed è accessibile. La posizione di una chiave influisce sulle prestazioni delle applicazioni che la utilizzano. Alcune risorse, come le chiavi Cloud HSM, non sono disponibili in ogni località.

Il materiale delle chiavi Cloud KMS e Cloud HSM è limitato alla regione selezionata quando at-rest e in uso.

Le seguenti tabelle elencano le località disponibili per l'utilizzo in Cloud KMS in diverse parti del mondo. Puoi filtrare queste località per tipo di località, supporto per Cloud HSM e supporto per Cloud EKM:

Americhe

Nome della sede	Tipo di posizione	Descrizione località	Cloud HSM disponibile	Cloud EKM disponibile
`ca`	Più regioni	Più regioni in Canada	No	Sì
`nam3`	Più regioni	Virginia del Nord e Carolina del Sud	Sì	Solo via internet
`nam4`	Più regioni	Iowa, Carolina del Sud e Oklahoma	Sì	Solo via internet
`nam6`	Più regioni	Iowa e Carolina del Sud	Sì	Solo via internet
`nam7`	Più regioni	Iowa, Virginia del Nord e Oklahoma	Sì	Solo via internet
`nam8`	Più regioni	Los Angeles, Oregon e Salt Lake City	Sì	Solo via internet
`nam9`	Più regioni	Virginia del Nord e Iowa	Sì	Solo via internet
`nam10`	Più regioni	Iowa, Salt Lake City e Oklahoma	Sì	Solo via internet
`nam11`	Più regioni	Iowa, Carolina del Sud e Oklahoma	Sì	Solo via internet
`nam12`	Più regioni	Iowa, Virginia del Nord, Oklahoma e Oregon	Sì	Solo via internet
`northamerica-northeast1`	Regione	Montréal	Sì	Sì
`northamerica-northeast2`	Regione	Toronto	Sì	Sì
`southamerica-east1`	Regione	San Paolo	Sì	Sì
`southamerica-west1`	Regione	Santiago	Sì	Sì
`us`	Più regioni	Più regioni negli Stati Uniti	Sì	Solo via internet
`us-central1`	Regione	Iowa	Sì	Sì
`us-east1`	Regione	Carolina del Sud	Sì	Sì
`us-east4`	Regione	Virginia del Nord	Sì	Sì
`us-east5`	Regione	Columbus	Sì	Sì
`us-west1`	Regione	Oregon	Sì	Sì
`us-west2`	Regione	Los Angeles	Sì	Sì
`us-west3`	Regione	Salt Lake City	Sì	Sì
`us-west4`	Regione	Las Vegas	Sì	Sì
`us-south1`	Regione	Dallas	Sì	Sì

Europa, Medio Oriente
e Africa

Nome della sede	Tipo di posizione	Descrizione località	Cloud HSM disponibile	Cloud EKM disponibile
`africa-south1`	Regione	Johannesburg	No	Sì
`eur3`	Più regioni	Belgio e Paesi Bassi	Sì	Solo via internet
`eur4`	Più regioni	Finlandia, Paesi Bassi e Belgio	Sì	Solo via internet
`eur5`	Più regioni	Londra, Paesi Bassi e Belgio	Sì	Solo via internet
`eur6`	Più regioni	Paesi Bassi, Francoforte e Zurigo	Sì	Solo via internet
`europe`	Più regioni	Più regioni nell'Unione Europea¹	Sì	Solo via internet
`europe-central2`	Regione	Varsavia	Sì	Sì
`europe-north1`	Regione	Finlandia	Sì	Sì
`europe-southwest1`	Regione	Madrid	Sì	Sì
`europe-west1`	Regione	Belgio	Sì	Sì
`europe-west2`	Regione	Londra	Sì	Sì
`europe-west3`	Regione	Francoforte	Sì	Sì
`europe-west4`	Regione	Paesi Bassi	Sì	Sì
`europe-west6`	Regione	Zurigo	Sì	Sì
`europe-west8`	Regione	Milano	Sì	Sì
`europe-west9`	Regione	Parigi	Sì	Sì
`europe-west10`	Regione	Berlino	Sì	Sì
`europe-west12`	Regione	Torino	Sì	Sì
`it`	Più regioni	Più regioni in Italia	No	Solo via internet
`me-central1`	Regione	Doha	Sì	Sì
`me-central2`	Regione	Dammam	Sì	Sì
`me-west1`	Regione	Tel Aviv	Sì	Sì

¹ Le risorse create nella località multiregionale europe non vengono archiviate nei data center europe-west2 (Londra) o europe-west6 (Zürich).

Asia Pacifico

Nome della sede	Tipo di posizione	Descrizione località	Cloud HSM disponibile	Cloud EKM disponibile
`asia`	Più regioni	Più regioni in Asia	Sì	Solo via internet
`asia1`	Più regioni	Tokyo, Osaka e Seul	Sì	Solo via internet
`in`	Più regioni	Più regioni in India	Sì	Sì
`asia-east1`	Regione	Taiwan	Sì	Sì
`asia-east2`	Regione	Hong Kong	Sì	Sì
`asia-northeast1`	Regione	Tokyo	Sì	Sì
`asia-northeast2`	Regione	Osaka	Sì	Sì
`asia-northeast3`	Regione	Seul	Sì	Sì
`asia-south1`	Regione	Mumbai	Sì	Sì
`asia-south2`	Regione	Delhi	Sì	Sì
`asia-southeast1`	Regione	Singapore	Sì	Sì
`asia-southeast2`	Regione	Giacarta	Sì	Sì
`au`	Più regioni	Più regioni in Australia	No	Sì
`australia-southeast1`	Regione	Sydney	Sì	Sì
`australia-southeast2`	Regione	Melbourne	Sì	Sì

Tutto il mondo

Nome della sede	Tipo di posizione	Descrizione località	Cloud HSM disponibile	Cloud EKM disponibile
`global`	globale		Sì	No
`nam-eur-asia1`	Più regioni	Nord America, Europa e Asia (Iowa, Oklahoma, Belgio e Taiwan)	Sì	No

Tipi di località per Cloud KMS

Puoi creare risorse Cloud KMS, Cloud HSM e Cloud EKM in diversi tipi di località in Google Cloud, a seconda dei tuoi requisiti di disponibilità. Le località vengono aggiunte regolarmente. Per informazioni specifiche su ogni posizione, consulta la sezione Località.

Scopri di più sulla scelta del tipo di località migliore.

Per Cloud KMS sono disponibili i seguenti tipi di località:

Località regionali: i data center di una località regionale si trovano in una località geografica specifica. Ad esempio, una risorsa creata nella regione us-central1 si trova negli Stati Uniti centrali.
Località a più regioni: i data center di una località con più regioni sono distribuiti in un'area geografica di grandi dimensioni. Ad esempio, una risorsa creata nella località multiregionale europe persiste in più data center all'interno dell'Unione Europea. Non puoi scegliere in quali data center all'interno della multiregione saranno contenuti i tuoi dati.
La località globale: la località global è una località multiregionale speciale. I suoi data center sono sparsi in tutto il mondo. Non puoi scegliere quali data center all'interno della multiregione globale conterrà i tuoi dati.

Scelta del tipo di località migliore

Come regola generale, progetta l'applicazione in modo che tutti i suoi componenti siano vicini all'area geografica e ai client dell'applicazione. La posizione delle chiavi è un aspetto importante del design della tua applicazione. Dopo la creazione, una chiave non può essere spostata o esportata.

Quando utilizzi una località con più regioni, ad esempio europe in più regioni, le risorse rimangono invariate in più data center distribuiti nell'area multiregionale. La creazione e l'aggiornamento delle chiavi in località con più regioni, inclusa la località global, potrebbe essere meno efficiente rispetto all'utilizzo di una località a una singola regione. Per ulteriori informazioni, consulta Lettura e scrittura in località in più regioni.

Utilizza la posizione global se tutte le seguenti condizioni sono vere:

I componenti della tua applicazione sono distribuiti a livello globale.
Le operazioni di lettura o scrittura non sono frequenti, ma vengono utilizzate di frequente altre operazioni crittografiche.
Le chiavi non hanno requisiti di residenza geografica.
Non stai utilizzando chiavi esterne.

Per le integrazioni con chiavi di crittografia gestite dal cliente (CMEK), devi utilizzare la stessa posizione esatta delle altre risorse relative all'integrazione. Alcune integrazioni CMEK non supportano la località global. Per saperne di più sulle integrazioni CMEK, consulta Chiavi di crittografia gestite dal cliente (CMEK).

Le risorse Cloud EKM si basano sulla connettività tra Google Cloud e un Key Management Service esterno, al di fuori di Google Cloud. Per le risorse di Cloud External Key Manager, seleziona una località geograficamente il più vicina possibile a quella in cui sono archiviate le chiavi nel Key Management Service esterno.

Cloud HSM dipende dalla disponibilità di hardware fisico nei data center di una località. Per le risorse Cloud HSM, seleziona una località che supporti Cloud HSM.

Le risorse di Cloud HSM hanno quotas specifiche per la località. Le quote di Cloud KMS sono globali.

Le località a più regioni hanno quote separate, indipendenti dalle quote per le località di una singola regione. Ad esempio, per creare risorse Cloud HSM nella località multiregionale eur5, devi avere la quota HSM in eur5, anche se hai già quota nelle singole regioni che partecipano a eur5, ad esempio europe-west2.

Lettura e scrittura in località di più regioni

Le risorse di lettura e scrittura o i metadati associati in località multiregionali, inclusa la località global, potrebbero essere più lenti della lettura o della scrittura da una singola regione.

Quando crei o leggi versioni delle chiavi, è sempre richiesto il consenso tra i data center in cui è archiviato il materiale della chiave. Le letture e le scritture in una singola regione sono spesso più efficienti di quelle in una località a più regioni.
Quando esegui operazioni crittografiche, ad esempio durante la crittografia o la decrittografia dei dati, il consenso non è necessario. Per le operazioni crittografiche, le località multiregionali si comportano in modo simile a quelle di una singola regione.
Quando archivi le chiavi in una o più località geograficamente vicine ai dati che proteggono o convalidano, le operazioni crittografiche sono in genere più efficienti.

I compromessi tra prestazioni e disponibilità sono specifici per ciascuna applicazione. Le località in più regioni, tra cui global, sono più adatte per carichi di lavoro ad alta intensità di lettura.

Determinazione delle regioni disponibili

Puoi utilizzare Google Cloud CLI o l'API Cloud Key Management Service per ottenere un elenco delle regioni disponibili.

gcloud

gcloud kms locations list

Nell'output del comando, la colonna HSM_AVAILABLE indica se la località supporta Cloud HSM. La colonna EKM_AVAILABLE indica se la località supporta Cloud External Key Manager. Nota che le chiavi EKM tramite VPC sono attualmente disponibili solo in località regionali.

API

Utilizza i metodi Locations.get e Locations.list.

Le risposte di entrambi i metodi includono campi booleani relativi alle funzionalità di una località:

Se una località supporta le chiavi Cloud HSM, hsmAvailable è true.
Se una località supporta le chiavi Cloud EKM, ekmAvailable è true. Nota che le chiavi EKM tramite VPC sono attualmente disponibili solo in località a livello di regione.

Passaggi successivi

Scopri di più su aree geografiche e regioni in Google Cloud.
Consulta l'elenco completo delle località Cloud.