Cloud KMS 위치

프로젝트 내에서 Cloud Key Management Service 리소스를 여러 위치 중 하나에서 만들 수 있습니다. Cloud KMS 리소스가 저장되고 액세스될 수 있는 지리적 리전을 나타냅니다. 키의 위치는 키를 사용하는 애플리케이션의 성능에 영향을 미칩니다. Cloud HSM 키와 같은 일부 리소스는 모든 위치에서 사용할 수 없습니다.

Cloud KMS 및 Cloud HSM 키의 키 자료는 휴지 상태 및 사용 중에 선택한 리전으로 제한됩니다.

Cloud KMS의 위치 유형

Cloud KMS, Cloud HSM, Cloud EKM 리소스는 가용성 요구사항에 따라 Google Cloud의 다양한 위치에 만들 수 있습니다. 위치는 정기적으로 추가됩니다. 각 위치에 대한 자세한 내용은 위치를 참조하세요.

최적의 위치 유형 선택에 대해 자세히 알아보세요.

리전 위치

리전 위치의 데이터 센터는 특정 지리적 리전에 존재합니다. 예를 들어 us-central1 리전에 생성된 리소스는 미국 중부에 있습니다.

다음과 같은 리전 위치에서 Cloud KMS 리소스를 만들 수 있습니다.

리전 이름 리전 설명 Cloud HSM 사용 가능 Cloud EKM 사용 가능
asia-east1 타이완
asia-east2 홍콩
asia-northeast1 도쿄
asia-northeast2 오사카
asia-northeast3 서울
asia-south1 뭄바이
asia-southeast1 싱가포르
asia-southeast2 자카르타
australia-southeast1 시드니
europe-north1 핀란드
europe-west1 벨기에
europe-west2 런던
europe-west3 프랑크푸르트
europe-west4 네덜란드
europe-west6 취리히
northamerica-northeast1 몬트리올
us-central1 아이오와
us-east1 사우스캐롤라이나
us-east4 북 버지니아
us-west1 오리건
us-west2 로스앤젤레스
us-west3 솔트레이크시티
us-west4 라스베이거스
southamerica-east1 상파울루

이중 리전 위치

이중 리전 위치의 데이터 센터는 두 개의 특정 지리적 위치에 있습니다. 예를 들어 nam4 이중 리전 위치에서 생성된 리소스는 미국 중부 및 동부의 데이터 센터에서 유지됩니다.

다음과 같은 이중 리전 위치에서 Cloud KMS 리소스를 만들 수 있습니다.

이중 리전 이름 이중 리전 설명(bold는 세 번째 복제본을 나타냅니다.) Cloud HSM 사용 가능 Cloud EKM 사용 가능
asia1 도쿄, 오사카, 서울 아니요
eur4 핀란드, 네덜란드, 벨기에 아니요
nam4 아이오와, 사우스캐롤라이나, 오클라호마 아니요

다중 리전 위치

멀티 리전 위치의 데이터 센터는 일반적인 지리적 영역에 분산되어 있습니다. 예를 들어 europe 멀티 리전에서 생성된 리소스는 유럽 전역에 분산된 여러 데이터 센터에 유지됩니다. 어떤 데이터 센터가 선택되는지 또는 멀티 리전 내 데이터 센터의 위치를 정확히 예측하거나 제어할 수 없습니다.

다음과 같은 멀티 리전 위치에서 Cloud KMS 리소스를 만들 수 있습니다.

멀티 리전 이름 Cloud HSM 사용 가능 Cloud EKM 사용 가능
global 아니요
asia
europe
us

전역 위치

global 위치는 특수한 멀티 리전입니다. 데이터 센터는 전 세계에 퍼져 있습니다. 어떤 데이터 센터가 선택되는지 또는 데이터 센터의 위치를 정확히 예측하거나 제어할 수 없습니다.

최적의 위치 유형 선택

원칙적으로 애플리케이션의 모든 구성요소가 서로 지리적으로 그리고 애플리케이션의 클라이언트 근처에 있도록 애플리케이션을 설계합니다. 키 위치는 애플리케이션 설계의 중요한 부분입니다. 키를 만든 후에는 키를 이동하거나 내보낼 수 없습니다.

europe 멀티 리전과 같은 멀티 리전 위치를 사용하면 리소스가 멀티 리전에 분산된 여러 데이터 센터에 유지됩니다. global 위치를 비롯한 멀티 리전 위치에서 키 생성 및 업데이트하면 단일 리전 위치를 사용하는 것보다 효율적이지 않을 수 있습니다. 자세한 내용은 멀티 리전 위치에서 읽기 및 쓰기를 참조하세요.

다음 사항이 모두 해당되는 경우 global 위치를 사용합니다.

  • 애플리케이션의 구성요소가 전역에 배포됩니다.
  • 읽기 또는 쓰기가 빈번하지 않지만 다른 암호화 작업을 자주 사용합니다.
  • HSM에 키를 저장할 필요가 없습니다.
  • 키에 지리적 보존 요구사항이 없습니다.

고객 관리 암호화 키(CMEK) 통합의 경우 통합과 관련된 다른 리소스와 정확히 동일한 위치를 사용해야 합니다. 일부 CMEK 통합은 global 위치를 지원하지 않습니다.

CMEK 통합에 대한 자세한 내용은 저장 데이터 암호화 섹션을 참조하세요.

이중 리전 위치는 이중 리전 위치를 사용하는 Cloud Storage 리소스에서만 사용할 수 있습니다.

Cloud EKM 리소스는 Google Cloud와 Google Cloud 외부의 외부 키 관리 서비스 간의 연결을 사용합니다. Cloud 외부 키 관리자 리소스의 경우, 키가 외부 키 관리 서비스에 저장되는 위치에 최대한 가깝게 지리적으로 위치를 선택합니다.

Cloud HSM은 위치의 데이터 센터에 있는 물리적 하드웨어의 가용성에 따라 다릅니다. Cloud HSM 리소스의 경우 Cloud HSM을 지원하는 위치를 선택합니다.

Cloud HSM 리소스에는 위치별 할당량이 있습니다. Cloud KMS 할당량은 전역적입니다.

이중 리전 및 멀티 리전 위치에는 단일 리전 위치의 할당량과 관계없이 별도의 할당량이 있습니다. 예를 들어 Cloud HSM 리소스를 nam4 이중 리전에서 생성하려면 us-central1과 같이 nam4에 이미 참여하고 있는 단일 지역에 할당량이 있는 경우에도 nam4에 HSM 할당량이 있어야 합니다.

멀티 리전 위치에서 읽기 및 쓰기

global 위치를 비롯하여 이중 리전 또는 멀티 리전 위치에서 리소스 또는 연결된 메타데이터 읽기 및 쓰기는 단일 리전에서 읽거나 쓰는 것보다 속도가 느릴 수 있습니다.

  • 키 버전을 만들거나 읽을 때 항상 키 자료를 저장하는 데이터 센터 간에 합의가 필요합니다. 단일 리전의 읽기 및 쓰기는 이중 리전 또는 멀티 리전 위치의 읽기 및 쓰기보다 더 효율적입니다.
  • 데이터를 암호화하거나 복호화할 때처럼 암호화 작업을 수행 할 때는 합의가 필요하지 않습니다. 암호화 작업의 경우 이중 리전 및 멀티 리전 위치는 단일 리전 위치와 유사하게 작동합니다.
  • 보호하거나 검증하는 데이터 근처의 지리적 위치에 키를 저장하면 일반적으로 암호화 작업이 더 효율적입니다.

성능과 가용성 간의 절충안은 각 애플리케이션마다 다릅니다. 이중 리전 또는 global을 포함한 멀티 리전 위치는 읽기가 많은 워크로드에 가장 적합합니다.

사용 가능한 리전 확인

Cloud SDK 또는 Cloud Key Management Service API를 사용하여 사용 가능한 리전 목록을 가져올 수 있습니다.

gcloud

gcloud kms locations list

명령어의 출력에서 HSM_AVAILABLE 열은 위치가 Cloud HSM을 지원하는지 여부를 나타냅니다.

API

Locations.get 메서드와 Locations.list 메서드를 사용합니다.

이 두 메서드의 응답에는 위치의 기능과 관련된 부울 필드가 포함됩니다.

  • 위치에서 Cloud HSM 키가 지원되는 경우 hsmAvailabletrue입니다.

  • 위치에서 Cloud EKM 키가 지원되는 경우 ekmAvailabletrue입니다.

다음 단계