Esta página foi traduzida pela API Cloud Translation.

Locais do Cloud KMS

Em um projeto, os recursos do Cloud Key Management Service podem ser criados em vários locais. Representam as regiões geográficas em que um recurso do Cloud KMS está armazenado e pode ser acessado. O local de uma chave afeta o desempenho dos aplicativos que a utilizam. Alguns recursos, como as chaves do Cloud HSM, não estão disponíveis em todos os locais.

O material de chave para as chaves do Cloud KMS e do Cloud HSM é limitado à região selecionada enquanto está em repouso e em uso.

Tipos de locais do Cloud KMS

É possível criar recursos do Cloud KMS, do Cloud HSM e do Cloud EKM em tipos diferentes de locais no Google Cloud, dependendo dos seus requisitos de disponibilidade. Os locais são adicionados regularmente. Para informações específicas sobre cada local, consulte Locais.

Saiba mais sobre como escolher o melhor tipo de local.

Locais regionais

Os data centers de um local regional existem em um lugar geográfico específico. Por exemplo, um recurso criado na região us-central1 está localizado na região central dos Estados Unidos.

O suporte do Cloud KMS está disponível para todos os locais regionais listados na tabela. Consulte a tabela a seguir para ver o suporte do Cloud HSM e do Cloud EKM para locais regionais:

Nome da região	Descrição da região	Cloud HSM disponível	EKM disponível no Cloud
`asia-east1`	Taiwan.	Sim	Sim
`asia-east2`	Hong kong	Sim	Sim
`asia-northeast1`	Tóquio	Sim	Sim
`asia-northeast2`	Osaka	Sim	Sim
`asia-northeast3`	Seul	Sim	Sim
`asia-south1`	Mumbai	Sim	Sim
`asia-south2`	Délhi	Não	Apenas pela Internet
`asia-southeast1`	Cingapura	Sim	Sim
`asia-southeast2`	Jacarta	Sim	Sim
`australia-southeast1`	Sydney	Sim	Sim
`australia-southeast2`	Melbourne	Sim	Apenas pela Internet
`europe-central2`	Varsóvia	Sim	Apenas pela Internet
`europe-north1`	Finlândia	Sim	Sim
`europe-west1`	Bélgica	Sim	Sim
`europe-west2`	Londres	Sim	Sim
`europe-west3`	Frankfurt	Sim	Sim
`europe-west4`	Holanda	Sim	Sim
`europe-west6`	Zurique	Sim	Sim
`northamerica-northeast1`	Montreal	Sim	Sim
`northamerica-northeast2`	Toronto	Não	Apenas pela Internet
`us-central1`	Iowa	Sim	Sim
`us-east1`	Carolina do Sul	Sim	Sim
`us-east4`	Norte da Virgínia	Sim	Sim
`us-west1`	Oregon	Sim	Sim
`us-west2`	Los angeles	Sim	Sim
`us-west3`	Salt Lake city	Sim	Sim
`us-west4`	Las vegas	Sim	Sim
`southamerica-east1`	São Paulo	Sim	Sim
`southamerica-west1`	Santiago	Não	Apenas pela Internet

Locais birregionais

Há data centers birregionais em dois locais geográficos específicos. Por exemplo, um recurso criado no local birregional nam4 permanece em data centers nos estados central e leste dos Estados Unidos.

O suporte do Cloud KMS está disponível para todos os locais birregionais listados na tabela. Consulte a tabela a seguir para saber mais sobre o suporte do Cloud HSM e do Cloud EKM para locais birregionais:

Nome do local birregional	Descrição birregional (negrito indica a terceira réplica)	Cloud HSM disponível	EKM disponível no Cloud
`asia1`	Tóquio, Osaka e Seul	Sim	Não
`eur4`	Finlândia, Holanda e Bélgica	Sim	Apenas pela Internet
`eur5`	Londres, Países Baixos e Bélgica	Sim	Apenas pela Internet
`nam4`	Iowa, Carolina do Sul e Oklahoma	Sim	Apenas pela Internet

Observação: as regiões birregionais incluem uma terceira região (negrito na tabela acima) para replicação de dados e durabilidade. Para asia1, Seul não é uma região de veiculação, mas retém os dados do cliente temporariamente para garantir a consistência dos dados. Em asia1, as chaves do Cloud KMS são veiculadas apenas em regiões do Japão.

Locais multirregionais

Um data center multirregional é distribuído em uma área geográfica geral. Por exemplo, um recurso criado na multirregião europe permanece em vários data centers na União Europeia. Não é possível prever ou controlar exatamente quais data centers são selecionados ou onde eles estão localizados na multirregião.

O suporte do Cloud KMS está disponível para todos os locais multirregionais listados na tabela. Consulte a tabela a seguir para suporte do Cloud HSM e do Cloud EKM para locais multirregionais:

Nome multirregional	Notas	Cloud HSM disponível	EKM disponível no Cloud
`global`		Sim	Não
`asia`		Sim	Apenas pela Internet
`asia1`	Considerado birregional para o Cloud Storage.	Sim	Apenas pela Internet
`eur3`		Sim	Apenas pela Internet
`eur5`	Considerado birregional para o Cloud Storage.	Sim	Apenas pela Internet
`eur6`		Não	Apenas pela Internet
`europe`	Data centers dentro dos estados membros da União Europeia¹	Sim	Apenas pela Internet
`nam-eur-asia1`	América do Norte, Europa¹ e sia	Não	Apenas pela Internet
`nam3`		Sim	Apenas pela Internet
`nam6`		Sim	Apenas pela Internet
`nam7`		Não	Apenas pela Internet
`nam8`		Não	Apenas pela Internet
`nam9`		Sim	Apenas pela Internet
`nam10`		Não	Apenas pela Internet
`nam11`		Não	Apenas pela Internet
`nam12`		Não	Apenas pela Internet
`us`		Sim	Apenas pela Internet

¹ Os recursos criados na multirregião europe não são armazenados nos data centers europe-west2 (Londres) ou europe-west6 (Zurique).

O local global

O local global é uma multirregião especial. Os data centers da empresa estão espalhados por todo o mundo. Não é possível prever ou controlar exatamente quais data centers estão selecionados ou onde estão localizados.

Escolher o melhor tipo de local

Como regra, projete seu aplicativo para que todos os componentes estejam geograficamente próximos e próximos dos clientes do aplicativo. A localização das chaves é um aspecto importante do design do seu aplicativo. Após a criação, não é possível mover ou exportar uma chave.

Ao usar um local multirregional, como a multirregião europe, os recursos persistem em vários data centers espalhados pela multirregião. Criar e atualizar chaves em locais multirregionais, incluindo o local global, pode ser menos eficiente do que usar um local de uma única região. Para mais informações, consulte Como ler e gravar em locais multirregionais.

Use o local global se todas as condições a seguir forem verdadeiras:

Os componentes do seu aplicativo são distribuídos globalmente
Você tem leituras ou gravações pouco frequentes, mas usa outras operações criptográficas com frequência
Suas chaves não têm requisitos de residência geográfica

Para integrações de chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês), use o mesmo local exato de outros recursos relacionados à integração. Algumas integrações de CMEK não são compatíveis com o local global.

Para mais informações sobre integrações de CMEK, consulte a seção relevante de Criptografia em repouso.

Locais birregionais são compatíveis apenas com recursos do Cloud Storage, que também usam um local birregional.

Os recursos do Cloud EKM dependem da conectividade entre o Google Cloud e um serviço de gerenciamento de chaves externo, fora do Google Cloud. Para recursos do Cloud External Key Manager, selecione um local geograficamente o mais próximo possível do local onde as chaves são armazenadas no serviço de gerenciamento de chaves externo.

O Cloud HSM depende da disponibilidade de hardware físico em data centers em um local. Para recursos do Cloud HSM, selecione um local compatível com o Cloud HSM.

Os recursos do Cloud HSM têm cotas específicas do local. As cotas do Cloud KMS são globais.

Os locais birregionais e multirregionais têm cotas separadas, independentemente das cotas para locais de uma única região. Por exemplo, para criar recursos do Cloud HSM na região dupla eur5, é preciso ter uma cota do HSM em eur5, mesmo que você já tenha cota nas regiões únicas que participam do eur5, como europe-west2.

Como ler e gravar em locais multirregionais

A leitura e a gravação de recursos ou metadados associados em locais birregionais ou multirregionais, incluindo o local global, podem ser mais lentas do que a leitura ou gravação de uma única região.

Ao criar ou ler versões de chave, o consenso é sempre necessário entre os data centers que armazenam o material. As leituras e gravações em uma única região costumam ser mais eficientes do que aquelas em um local birregional ou multirregional.
Ao realizar operações criptográficas, como ao criptografar ou descriptografar dados, o consenso não é necessário. Para operações criptográficas, os locais birregionais e multirregionais têm desempenho semelhante aos de uma única região.
Normalmente, as operações criptográficas são mais eficientes quando você armazena as chaves em um local próximo aos dados que elas protegem ou validam.

A escolha entre desempenho e disponibilidade é exclusiva para cada aplicativo. Locais multirregionais, incluindo birregional ou global, são mais adequados para cargas de trabalho com muita leitura.

Como determinar as regiões disponíveis

É possível usar a CLI do Google Cloud ou a API Cloud Key Management Service para ver uma lista das regiões disponíveis.

gcloud

gcloud kms locations list

Na saída do comando, a coluna HSM_AVAILABLE indica se o local é compatível com o Cloud HSM. A coluna EKM_AVAILABLE indica se o local é compatível com o gerenciador de chaves externas do Cloud. Observação: no momento, o EKM via chaves VPC está disponível apenas em locais regionais.

API

Use os métodos Locations.get e Locations.list.

As respostas desses dois métodos incluem campos booleanos relacionados aos recursos de um local:

Se um local for compatível com chaves do Cloud HSM, hsmAvailable será true.
Se um local for compatível com chaves do Cloud EKM, ekmAvailable será true. Observação: no momento, o EKM via chaves de VPC está disponível apenas em locais regionais.

Próximas etapas

Saiba mais sobre Geografia e regiões no Google Cloud.
Veja a lista completa de locais do Cloud.