Cloud KMS のロケーション

プロジェクト内では、Cloud Key Management Service のリソースは、多数あるロケーションの 1 つに作成できます。このロケーションは、Cloud KMS リソースが保存されアクセスされる地理的な場所を表しています。ある鍵のロケーションは、その鍵を使用するアプリケーションのパフォーマンスに影響を与えます。Cloud HSM 鍵など一部のリソースは、すべてのロケーションで利用できるわけではありません。

Cloud KMS 鍵と Cloud HSM 鍵の鍵マテリアルは、保存時と使用中に選択したリージョンに固定されます。

Cloud KMS のロケーションの種類

Cloud KMS、Cloud HSM、Cloud EKM のリソースは、可用性の要件に応じて、Google Cloud のさまざまなロケーションの種類に作成できます。ロケーションは定期的に追加されます。各ロケーションの具体的な情報については、ロケーションをご覧ください。

詳細については、最適なロケーションの種類を選ぶをご覧ください。

リージョンのロケーション

リージョン ロケーションのデータセンターは、地理的に具体的な場所に配置されます。たとえば、us-central1 リージョンで作成されるリソースは、米国中部に配置されます。

Cloud KMS リソースは、次のリージョンのロケーションに作成できます。

リージョン名 リージョンの説明 Cloud HSM を利用可能 Cloud EKM を利用可能
asia-east1 台湾
asia-east2 香港
asia-northeast1 東京
asia-northeast2 大阪
asia-northeast3 ソウル
asia-south1 ムンバイ
asia-southeast1 シンガポール
asia-southeast2 ジャカルタ
australia-southeast1 シドニー
europe-north1 フィンランド
europe-west1 ベルギー
europe-west2 ロンドン
europe-west3 フランクフルト
europe-west4 オランダ
europe-west6 チューリッヒ
northamerica-northeast1 モントリオール
us-central1 アイオワ
us-east1 サウスカロライナ
us-east4 北バージニア
us-west1 オレゴン
us-west2 ロサンゼルス
us-west3 ソルトレイクシティ
us-west4 ラスベガス
southamerica-east1 サンパウロ

デュアルリージョン ロケーション

デュアルリージョン ロケーションのデータセンターは、地理的に具体的な 2 か所に存在します。たとえば、nam4 デュアルリージョン ロケーションで作成されたリソースは、米国中部と東部の両方のデータセンターに存続します。

Cloud KMS リソースは、次のデュアルリージョンのロケーションに作成できます。

デュアルリージョン名 デュアルリージョンの説明(太字は 3 番目のレプリカを示します) Cloud HSM を利用可能 Cloud EKM を利用可能
asia1 東京、大阪、ソウル ×
eur4 フィンランド、オランダ、ベルギー ×
eur5 ロンドン、オランダ、ベルギー
nam4 アイオワ、サウス カロライナ、オクラホマ ×

マルチリージョンのロケーション

マルチリージョン ロケーションのデータセンターは、地理的エリア全体に分散しています。たとえば、europe マルチリージョンで作成されたリソースは、ヨーロッパ全体の複数のデータセンターに存在します。どのデータセンターが選択されているか、マルチリージョン内のどこに位置しているかを正確に予測および制御することはできません。

Cloud KMS リソースは、次のマルチリージョンのロケーションに作成できます。

マルチリージョン名 Cloud HSM を利用可能 Cloud EKM を利用可能
global ×
asia
europe
us

グローバル ロケーション

global ロケーションは、特別なマルチリージョンです。データセンターは世界中に広がっています。選択したデータセンターや配置する場所を正確に予測または制御することはできません。

最適なロケーションのタイプの選択

原則として、すべてのコンポーネントが地理的に近く、アプリケーションのクライアントの近くに存在するようにアプリケーションを設計します。鍵の場所はアプリケーションの設計の重要な側面です。作成後、鍵を移動したりエクスポートしたりできません。

europe マルチリージョンなどのマルチリージョンのロケーションを使用する場合、リソースはマルチリージョンに分散している複数のデータセンターに保持されます。global ロケーションを含むマルチリージョンのロケーションにキーを作成および更新すると、単一のリージョンのロケーションを使用するよりも効率が下がる可能性があります。詳細については、マルチリージョン ロケーションの読み取りと書き込みをご覧ください。

次のすべてに該当する場合は、global ロケーションを使用します。

  • アプリケーションのコンポーネントがグローバルに分散している
  • 読み取りまたは書き込みの頻度が低いが、他の暗号オペレーションを頻繁に使用している
  • 鍵に地域別の要件がない

顧客管理の暗号鍵(CMEK)統合では、統合に関連するその他のリソースと同じロケーションを使用する必要があります。一部の CMEK 統合では、global ロケーションはサポートされていません。

CMEK 統合の詳細については、保存時の暗号化の関連セクションをご覧ください。

デュアルリージョンのロケーションは、同じくデュアルリージョンのロケーションを使用する Cloud Storage リソースでの使用でのみサポートされます。

Cloud EKM リソースは、Google Cloud と Google Cloud 以外の外部の鍵管理サービスとの間の接続性に依存します。Cloud External Key Manager のリソースの場合は、外部の鍵管理サービスで鍵が格納されているロケーションに可能な限り近いロケーションを選択します。

Cloud HSM は、ロケーションのデータセンターにある物理的なハードウェアの可用性に依存します。Cloud HSM リソースの場合は、Cloud HSM がサポートされるロケーションを選択します。

Cloud HSM リソースには、ロケーション固有の割り当てがあります。Cloud KMS の割り当てはグローバルです。

デュアルリージョンとマルチリージョンのロケーションには、シングル リージョンのロケーションの割り当てとは独立した、別の割り当てがあります。たとえば、Cloud HSM リソースを nam4 デュアルリージョンに作成する場合、us-central1 など、nam4 に参加している単一リージョンにすでに割り当てている場合でも、nam4 に HSM を割り当てる必要があります。

マルチリージョン ロケーションの読み取りと書き込み

global ロケーションを含むデュアルリージョンまたはマルチリージョンのリソースや関連メタデータの読み取りと書き込みは、シングル リージョンから読み書きするよりも処理速度が遅くなることがあります。

  • 鍵バージョンを作成または読み込む場合、鍵マテリアルを格納するデータセンター間で常に合意が必要です。シングル リージョンの読み取りと書き込みは、多くの場合デュアルリージョンまたはマルチリージョンのロケーションよりも効率的です。
  • データの暗号化や復号などの暗号オペレーションを実行する場合、合意は不要です。暗号オペレーションでは、デュアルリージョンとマルチリージョンのロケーションは、シングル リージョンのロケーションと同じ様に機能します。
  • 保護や検証をするデータに地理的に近いロケーションに鍵を保存すると、通常は暗号オペレーションがより効率的になります。

パフォーマンスと可用性のトレードオフは、アプリケーションごとに異なります。デュアルリージョンや global などのマルチリージョンのロケーションは、読み取り負荷の高いワークロードに適しています。

利用可能なリージョンの確認

利用可能なリージョンの一覧は、Cloud SDK または Cloud Key Management Service API を使用して取得できます。

gcloud

gcloud kms locations list

このコマンドの出力の HSM_AVAILABLE 列で、ロケーションで Cloud HSM がサポートされているかどうかがわかります。

API

Locations.get メソッドと Locations.list メソッドを使用します。methods.

どちらのメソッドからのレスポンスにも、ロケーションの機能に関連するブール値フィールドがあります。

  • ロケーションで Cloud EKM 鍵がサポートされている場合、hsmAvailabletrue です。

  • ロケーションで Cloud EKM 鍵がサポートされている場合、ekmAvailabletrue です。

次のステップ