Locais do Cloud KMS

Em um projeto, os recursos do Cloud Key Management Service podem ser criados em um dos vários locais. Elas representam as regiões geográficas onde um recurso do Cloud KMS é armazenado e pode ser acessado. O local de uma chave afeta o desempenho dos aplicativos que usam a chave. Alguns recursos, como chaves do Cloud HSM, não estão disponíveis em todos os locais.

O material das chaves do Cloud KMS e do Cloud HSM é restrito à região selecionada em repouso e em uso.

As tabelas a seguir listam os locais disponíveis para uso no Cloud KMS em diferentes partes do mundo. É possível filtrar esses locais por tipo de local, suporte do Cloud HSM e do Cloud EKM:

Filtrar por:

Américas

Nome do local Tipo de local Descrição do local Cloud HSM disponível Cloud EKM disponível
ca Multirregional Várias regiões no Canadá Não Sim
nam3 Multirregional Norte da Virgínia e Carolina do Sul Sim Somente Internet
nam4 Multirregional Iowa, Carolina do Sul e Oklahoma Sim Somente Internet
nam6 Multirregional Iowa e Carolina do Sul Sim Somente Internet
nam7 Multirregional Iowa, Norte da Virgínia e Oklahoma Sim Somente Internet
nam8 Multirregional Los Angeles, Oregon e Salt Lake City Sim Somente Internet
nam9 Multirregional Norte da Virgínia e Iowa Sim Somente Internet
nam10 Multirregional Iowa, Salt Lake City e Oklahoma Sim Somente Internet
nam11 Multirregional Iowa, Carolina do Sul e Oklahoma Sim Somente Internet
nam12 Multirregional Iowa, Virgínia do Norte, Oklahoma e Oregon Sim Somente Internet
northamerica-northeast1 Região: Montreal Sim Sim
northamerica-northeast2 Região: Toronto Sim Sim
southamerica-east1 Região: São Paulo Sim Sim
southamerica-west1 Região: Santiago Sim Sim
us Multirregional Várias regiões nos Estados Unidos Sim Somente Internet
us-central1 Região: Iowa Sim Sim
us-east1 Região: Carolina do Sul Sim Sim
us-east4 Região: Norte da Virgínia Sim Sim
us-east5 Região: Columbus Sim Sim
us-west1 Região: Oregon Sim Sim
us-west2 Região: Los Angeles Sim Sim
us-west3 Região: Salt Lake City Sim Sim
us-west4 Região: Las Vegas Sim Sim
us-south1 Região: Dallas Sim Sim

Europa e Oriente Médio

Nome do local Tipo de local Descrição do local Cloud HSM disponível Cloud EKM disponível
africa-south1 Região: Johannesburgo Não Sim
eur3 Multirregional Bélgica e Países Baixos Sim Somente Internet
eur4 Multirregional Finlândia, Países Baixos e Bélgica Sim Somente Internet
eur5 Multirregional Londres, Países Baixos e Bélgica Sim Somente Internet
eur6 Multirregional Países Baixos, Frankfurt e Zurique Sim Somente Internet
europe Multirregional Várias regiões na União Europeia1 Sim Somente Internet
europe-central2 Região: Varsóvia Sim Sim
europe-north1 Região: Finlândia Sim Sim
europe-southwest1 Região: Madri Sim Sim
europe-west1 Região: Bélgica Sim Sim
europe-west2 Região: Londres Sim Sim
europe-west3 Região: Frankfurt Sim Sim
europe-west4 Região: Países Baixos Sim Sim
europe-west6 Região: Zurique Sim Sim
europe-west8 Região: Milão Sim Sim
europe-west9 Região: Paris Sim Sim
europe-west10 Região: Berlim Sim Sim
europe-west12 Região: Turim Sim Sim
it Multirregional Várias regiões na Itália Não Somente Internet
me-central1 Região: Doha Sim Sim
me-central2 Região: Damã Sim Sim
me-west1 Região: Tel Aviv Sim Sim
1 Recursos criados na multirregião europe não são armazenados nos data centers europe-west2 (Londres) ou europe-west6 (Zurique).

Ásia-Pacífico

Nome do local Tipo de local Descrição do local Cloud HSM disponível Cloud EKM disponível
asia Multirregional Várias regiões na Ásia Sim Somente Internet
asia1 Multirregional Tóquio, Osaka e Seul Sim Somente Internet
in Multirregional Várias regiões na Índia Sim Sim
asia-east1 Região: Taiwan Sim Sim
asia-east2 Região: Hong Kong Sim Sim
asia-northeast1 Região: Tóquio Sim Sim
asia-northeast2 Região: Osaka Sim Sim
asia-northeast3 Região: Seul Sim Sim
asia-south1 Região: Mumbai Sim Sim
asia-south2 Região: Délhi Sim Sim
asia-southeast1 Região: Singapura Sim Sim
asia-southeast2 Região: Jacarta Sim Sim
au Multirregional Várias regiões na Austrália Não Sim
australia-southeast1 Região: Sydney Sim Sim
australia-southeast2 Região: Melbourne Sim Sim

Mundial

Nome do local Tipo de local Descrição do local Cloud HSM disponível Cloud EKM disponível
global global Sim Não
nam-eur-asia1 Multirregional América do Norte, Europa e Ásia
(Iowa, Oklahoma, Bélgica e Taiwan)
Sim Não

Tipos de locais do Cloud KMS

É possível criar recursos do Cloud KMS, do Cloud HSM e do Cloud EKM em diferentes tipos de locais no Google Cloud, dependendo dos requisitos de disponibilidade. Os locais são adicionados regularmente. Para informações específicas sobre cada local, consulte Locais.

Saiba mais sobre como escolher o melhor tipo de local.

Os seguintes tipos de local estão disponíveis para o Cloud KMS:

  • Locais regionais: os data centers de um local regional estão em uma localização geográfica específica. Por exemplo, um recurso criado na região us-central1 está localizado na região central dos Estados Unidos.
  • Locais multirregionais: os data centers de um local multirregional estão distribuídos por uma grande área geográfica. Por exemplo, um recurso criado na multirregião europe persiste em vários data centers na União Europeia. Não é possível escolher quais data centers na multirregião conterão seus dados.
  • Local global: global é uma multirregião especial. Seus data centers estão espalhados por todo o mundo. Não é possível escolher quais data centers na multirregião global conterão seus dados.

Como escolher o melhor tipo de local

Como regra, projete seu aplicativo para que todos os seus componentes estejam geograficamente próximos uns dos outros e próximos aos clientes do seu aplicativo. O local das chaves é um aspecto importante do design do aplicativo. Após a criação, uma chave não pode ser movida ou exportada.

Ao usar um local multirregional, como a multirregião europe, os recursos permanecem em vários data centers espalhados pela multirregião. Criar e atualizar chaves em locais multirregionais, incluindo o local global, pode ser menos eficiente do que usar um local de região única. Para mais informações, consulte Como ler e gravar em locais multirregionais.

Use o local global se todas as condições a seguir forem verdadeiras:

  • Os componentes do seu aplicativo são distribuídos globalmente.
  • Você tem leituras ou gravações não frequentes, mas usa outras operações criptográficas com frequência.
  • Suas chaves não têm requisitos de residência geográfica.
  • Você não está usando chaves externas.

Para integrações de chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês), é necessário usar o mesmo local exato de outros recursos relacionados à integração. Algumas integrações de CMEK não são compatíveis com o local global. Para mais informações sobre integrações de CMEK, consulte Chaves de criptografia gerenciadas pelo cliente (CMEK).

Os recursos do Cloud EKM dependem da conectividade entre o Google Cloud e um serviço de gerenciamento de chaves externo, fora do Google Cloud. Para recursos do Cloud External Key Manager, selecione um local geograficamente mais próximo possível do local onde as chaves são armazenadas no serviço de gerenciamento de chave externo.

O Cloud HSM depende da disponibilidade de hardware físico nos data centers de um local. Para recursos do Cloud HSM, selecione um local compatível com o Cloud HSM.

Os recursos do Cloud HSM têm quotas específicas de local. As cotas do Cloud KMS são globais.

Locais multirregionais têm cotas separadas, independentemente das cotas para locais de região única. Por exemplo, para criar recursos do Cloud HSM na multirregião eur5, é necessário ter uma cota de HSM em eur5, mesmo que você já tenha cota nas regiões únicas que participam de eur5, como europe-west2.

Como ler e gravar em locais multirregionais

A leitura e gravação de recursos ou metadados associados em locais multirregionais, incluindo o local global, pode ser mais lento do que a leitura ou gravação de uma única região.

  • Quando você cria ou lê versões de chave, o consenso é sempre exigido entre os data centers que armazenam o material da chave. Leituras e gravações em uma única região costumam ser mais eficientes do que em um local multirregional.
  • Quando você realiza operações criptográficas, como ao criptografar ou descriptografar dados, o consenso não é necessário. Para operações criptográficas, os locais multirregionais têm desempenho semelhante aos locais de região única.
  • Quando você armazena as chaves em um local ou local geograficamente próximo aos dados que eles protegem ou validam, as operações criptográficas geralmente são mais eficientes.

As vantagens e desvantagens entre desempenho e disponibilidade são exclusivas para cada aplicativo. Locais multirregionais, incluindo global, são mais adequados para cargas de trabalho com muita leitura.

Como determinar as regiões disponíveis

Use a Google Cloud CLI ou a API Cloud Key Management Service para acessar uma lista de regiões disponíveis.

gcloud

gcloud kms locations list

Na saída do comando, a coluna HSM_AVAILABLE indica se o local é compatível com o Cloud HSM. A coluna EKM_AVAILABLE indica se o local é compatível com o gerenciador de chaves externas do Cloud. Observação: no momento, o EKM via chaves VPC está disponível apenas em locais regionais.

API

Use os métodos Locations.get e Locations.list.

As respostas dos dois métodos incluem campos booleanos relacionados aos recursos de um local:

  • Se um local for compatível com chaves do Cloud HSM, hsmAvailable será true.

  • Se um local for compatível com chaves do Cloud EKM, ekmAvailable será true. Observação: no momento, o EKM via chaves VPC está disponível apenas em locais regionais.

A seguir