Cloud KMS 위치

프로젝트 내에서 Cloud Key Management Service 리소스를 여러 위치 중 하나에서 만들 수 있습니다. Cloud KMS 리소스가 저장되고 액세스될 수 있는 지리적 리전을 나타냅니다. 키의 위치는 키를 사용하는 애플리케이션의 성능에 영향을 미칩니다. Cloud HSM 키와 같은 일부 리소스는 모든 위치에서 사용할 수 없습니다.

Cloud KMS 및 Cloud HSM 키의 키 자료는 휴지 상태 및 사용 중에 선택한 리전으로 제한됩니다.

다음 표에서는 전 세계 서로 다른 지역의 Cloud KMS에서 사용할 수 있는 위치를 보여줍니다. 위치 유형, Cloud HSM 지원, Cloud EKM 지원에 따라 이러한 위치를 필터링할 수 있습니다.

필터링 기준:

미주

위치 이름 위치 유형 위치 설명 Cloud HSM 사용 가능 Cloud EKM 사용 가능
nam3 멀티 리전 북 버지니아, 사우스캐롤라이나 인터넷 사용 시만 해당
nam4 멀티 리전 아이오와, 사우스캐롤라이나, 오클라호마 인터넷 사용 시만 해당
nam6 멀티 리전 아이오와 및 사우스캐롤라이나 인터넷 사용 시만 해당
nam7 멀티 리전 아이오와, 북 버지니아, 오클라호마 인터넷 사용 시만 해당
nam8 멀티 리전 로스앤젤레스, 오리건, 솔트레이크시티 인터넷 사용 시만 해당
nam9 멀티 리전 북 버지니아, 아이오와 인터넷 사용 시만 해당
nam10 멀티 리전 아이오와, 솔트레이크시티, 오클라호마 인터넷 사용 시만 해당
nam11 멀티 리전 아이오와, 사우스캐롤라이나, 오클라호마 인터넷 사용 시만 해당
nam12 멀티 리전 아이오와, 북 버지니아, 오클라호마, 오리건 인터넷 사용 시만 해당
northamerica-northeast1 리전 몬트리올
northamerica-northeast2 리전 토론토
southamerica-east1 리전 상파울루
southamerica-west1 리전 산티아고
us 멀티 리전 미국의 여러 리전 인터넷 사용 시만 해당
us-central1 리전 아이오와
us-east1 리전 사우스캐롤라이나
us-east4 리전 북 버지니아
us-east5 리전 콜럼버스
us-west1 리전 오리건
us-west2 리전 로스앤젤레스
us-west3 리전 솔트레이크시티
us-west4 리전 라스베이거스
us-south1 리전 댈러스

유럽 및 중동

위치 이름 위치 유형 위치 설명 Cloud HSM 사용 가능 Cloud EKM 사용 가능
eur3 멀티 리전 벨기에 및 네덜란드 인터넷 사용 시만 해당
eur4 멀티 리전 핀란드, 네덜란드, 벨기에 인터넷 사용 시만 해당
eur5 멀티 리전 런던, 네덜란드, 벨기에 인터넷 사용 시만 해당
eur6 멀티 리전 네덜란드, 프랑크푸르트, 취리히 인터넷 사용 시만 해당
europe 멀티 리전 유럽 연합의 여러 리전1 인터넷 사용 시만 해당
europe-central2 리전 바르샤바
europe-north1 리전 핀란드
europe-southwest1 리전 마드리드
europe-west1 리전 벨기에
europe-west2 리전 런던
europe-west3 리전 프랑크푸르트
europe-west4 리전 네덜란드
europe-west6 리전 취리히
europe-west8 리전 밀라노
europe-west9 리전 파리
europe-west10 리전 베를린 아니요 아니요
europe-west12 리전 토리노 아니요
me-central1 리전 도하
me-central2 리전 담맘
me-west1 리전 텔아비브
1 europe 멀티 리전에서 생성된 리소스는 europe-west2(런던) 또는 europe-west6(취리히) 데이터 센터에 저장되지 않습니다.

아시아 태평양

위치 이름 위치 유형 위치 설명 Cloud HSM 사용 가능 Cloud EKM 사용 가능
asia 멀티 리전 아시아의 멀티 리전 인터넷 사용 시만 해당
asia1 멀티 리전 도쿄, 오사카, 서울 인터넷 사용 시만 해당
in 멀티 리전 인도의 여러 리전 아니요 인터넷 사용 시만 해당
asia-east1 리전 타이완
asia-east2 리전 홍콩
asia-northeast1 리전 도쿄
asia-northeast2 리전 오사카
asia-northeast3 리전 서울
asia-south1 리전 뭄바이
asia-south2 리전 델리
asia-southeast1 리전 싱가포르
asia-southeast2 리전 자카르타
australia-southeast1 리전 시드니
australia-southeast2 리전 멜버른

전 세계

위치 이름 위치 유형 위치 설명 Cloud HSM 사용 가능 Cloud EKM 사용 가능
global 전역 아니요
nam-eur-asia1 멀티 리전 북미, 유럽, 아시아
(아이오와/오클라호마/벨기에/타이완)
아니요 아니요

Cloud KMS의 위치 유형

Cloud KMS, Cloud HSM, Cloud EKM 리소스는 가용성 요구사항에 따라 Google Cloud의 다양한 위치에 만들 수 있습니다. 위치는 정기적으로 추가됩니다. 각 위치에 대한 자세한 내용은 위치를 참조하세요.

최적의 위치 유형 선택에 대해 자세히 알아보세요.

Cloud KMS에서 사용할 수 있는 위치 유형은 다음과 같습니다.

  • 리전 위치: 리전 위치의 데이터 센터는 특정 지리적 위치에 존재합니다. 예를 들어 us-central1 리전에 생성된 리소스는 미국 중부에 있습니다.
  • 멀티 리전 위치: 멀티 리전 위치의 데이터 센터는 광범위한 지리적 영역에 분산되어 있습니다. 예를 들어 europe 멀티 리전에서 생성된 리소스는 유럽 연합 내의 여러 데이터 센터에 유지됩니다. 데이터를 포함할 멀티 리전 내의 데이터 센터를 선택할 수 없습니다.
  • 전역 위치: global 위치는 특수한 멀티 리전입니다. 데이터 센터는 전 세계에 퍼져 있습니다. 데이터를 포함할 전 세계 멀티 리전 내의 데이터 센터를 선택할 수 없습니다.

최적의 위치 유형 선택

원칙적으로 애플리케이션의 모든 구성요소가 서로 지리적으로 그리고 애플리케이션의 클라이언트 근처에 있도록 애플리케이션을 설계합니다. 키 위치는 애플리케이션 설계의 중요한 부분입니다. 키를 만든 후에는 키를 이동하거나 내보낼 수 없습니다.

europe 멀티 리전과 같은 멀티 리전 위치를 사용하면 리소스가 멀티 리전에 분산된 여러 데이터 센터에 유지됩니다. global 위치를 비롯한 멀티 리전 위치에서 키 생성 및 업데이트하면 단일 리전 위치를 사용하는 것보다 효율적이지 않을 수 있습니다. 자세한 내용은 멀티 리전 위치에서 읽기 및 쓰기를 참조하세요.

다음 사항이 모두 해당되는 경우 global 위치를 사용합니다.

  • 애플리케이션의 구성요소가 전역에 배포됩니다.
  • 읽기 또는 쓰기가 빈번하지 않지만 다른 암호화 작업을 자주 사용합니다.
  • 키에 지리적 보존 요구사항이 없습니다.
  • 외부 키를 사용하지 않습니다.

고객 관리 암호화 키(CMEK) 통합의 경우 통합과 관련된 다른 리소스와 정확히 동일한 위치를 사용해야 합니다. 일부 CMEK 통합은 global 위치를 지원하지 않습니다. CMEK 통합에 대한 자세한 내용은 고객 관리 암호화 키(CMEK)를 참조하세요.

Cloud EKM 리소스는 Google Cloud와 Google Cloud 외부의 외부 키 관리 서비스 간의 연결을 사용합니다. Cloud 외부 키 관리자 리소스의 경우, 키가 외부 키 관리 서비스에 저장되는 위치에 최대한 가깝게 지리적으로 위치를 선택합니다.

Cloud HSM은 위치의 데이터 센터에 있는 물리적 하드웨어의 가용성에 따라 다릅니다. Cloud HSM 리소스의 경우 Cloud HSM을 지원하는 위치를 선택합니다.

Cloud HSM 리소스에는 위치별 할당량이 있습니다. Cloud KMS 할당량은 전역적입니다.

멀티 리전 위치에는 단일 리전 위치의 할당량과 관계없이 별도의 할당량이 있습니다. 예를 들어 Cloud HSM 리소스를 eur5 멀티 리전에서 생성하려면 europe-west2과 같이 eur5에 이미 참여하고 있는 단일 지역에 할당량이 있는 경우에도 eur5에 HSM 할당량이 있어야 합니다.

멀티 리전 위치에서 읽기 및 쓰기

global 위치를 비롯하여 멀티 리전 위치에서 리소스 또는 연결된 메타데이터 읽기 및 쓰기는 단일 리전에서 읽거나 쓰는 것보다 속도가 느릴 수 있습니다.

  • 키 버전을 만들거나 읽을 때 항상 키 자료를 저장하는 데이터 센터 간에 합의가 필요합니다. 단일 리전의 읽기 및 쓰기는 멀티 리전 위치의 읽기 및 쓰기보다 더 효율적입니다.
  • 데이터를 암호화하거나 복호화할 때처럼 암호화 작업을 수행 할 때는 합의가 필요하지 않습니다. 암호화 작업의 경우 멀티 리전 위치는 단일 리전 위치와 유사하게 작동합니다.
  • 보호하거나 검증하는 데이터 근처의 지리적 위치에 키를 저장하면 일반적으로 암호화 작업이 더 효율적입니다.

성능과 가용성 간의 절충안은 각 애플리케이션마다 다릅니다. global을 포함한 멀티 리전 위치는 읽기가 많은 워크로드에 가장 적합합니다.

사용 가능한 리전 확인

Google Cloud CLI 또는 Cloud Key Management Service API를 사용하여 사용 가능한 리전 목록을 가져올 수 있습니다.

gcloud

gcloud kms locations list

명령어의 출력에서 HSM_AVAILABLE 열은 위치가 Cloud HSM을 지원하는지 여부를 나타냅니다. EKM_AVAILABLE 열은 위치에서 Cloud 외부 키 관리자를 지원하는지 여부를 나타냅니다. 참고: 현재 VPC 키를 통한 EKM은 리전별 위치에서만 사용할 수 있습니다.

API

Locations.get 메서드와 Locations.list 메서드를 사용합니다.

이 두 메서드의 응답에는 위치의 기능과 관련된 부울 필드가 포함됩니다.

  • 위치에서 Cloud HSM 키가 지원되는 경우 hsmAvailabletrue입니다.

  • 위치에서 Cloud EKM 키가 지원되는 경우 ekmAvailabletrue입니다. 참고: 현재 VPC 키를 통한 EKM은 리전별 위치에서만 사용할 수 있습니다.

다음 단계