Em um projeto, os recursos do Cloud Key Management Service podem ser criados em um dos vários locais. Elas representam as regiões geográficas onde um recurso do Cloud KMS é armazenado e pode ser acessado. O local de uma chave afeta o desempenho dos aplicativos que usam a chave. Alguns recursos, como chaves do Cloud HSM, não estão disponíveis em todos os locais.
O material das chaves do Cloud KMS e do Cloud HSM é restrito à região selecionada em repouso e em uso.
As tabelas a seguir listam locais disponíveis para uso no Cloud KMS para diferentes partes do mundo. É possível filtrar esses locais por tipo de local, suporte ao Cloud HSM e suporte ao Cloud EKM:
Américas
| Nome do local | Tipo de local | Descrição do local | Cloud HSM disponível | Cloud EKM disponível |
|---|---|---|---|---|
nam3 |
Multirregião | Norte da Virgínia e Carolina do Sul | Sim | Apenas pela Internet |
nam4 |
Multirregião | Iowa, Carolina do Sul e Oklahoma | Sim | Apenas pela Internet |
nam6 |
Multirregião | Iowa e Carolina do Sul | Sim | Apenas pela Internet |
nam7 |
Multirregião | Iowa, Norte da Virgínia e Oklahoma | Sim | Apenas pela Internet |
nam8 |
Multirregião | Los Angeles, Oregon e Salt Lake City | Sim | Apenas pela Internet |
nam9 |
Multirregião | Norte da Virgínia e Iowa | Sim | Apenas pela Internet |
nam10 |
Multirregião | Iowa, Salt Lake City e Oklahoma | Sim | Apenas pela Internet |
nam11 |
Multirregião | Iowa, Carolina do Sul e Oklahoma | Sim | Apenas pela Internet |
nam12 |
Multirregião | Iowa, Virgínia do Norte, Oklahoma e Oregon | Sim | Apenas pela Internet |
northamerica-northeast1 |
Região: | Montreal | Sim | Sim |
northamerica-northeast2 |
Região: | Toronto | Sim | Sim |
southamerica-east1 |
Região: | São Paulo | Sim | Sim |
southamerica-west1 |
Região: | Santiago | Sim | Sim |
us |
Multirregião | Várias regiões nos Estados Unidos | Sim | Apenas pela Internet |
us-central1 |
Região: | Iowa | Sim | Sim |
us-east1 |
Região: | Carolina do Sul | Sim | Sim |
us-east4 |
Região: | Norte da Virgínia | Sim | Sim |
us-east5 |
Região: | Columbus | Sim | Sim |
us-west1 |
Região: | Oregon | Sim | Sim |
us-west2 |
Região: | Los Angeles | Sim | Sim |
us-west3 |
Região: | Salt Lake City | Sim | Sim |
us-west4 |
Região: | Las Vegas | Sim | Sim |
us-south1 |
Região: | Dallas | Sim | Sim |
Europa e Oriente Médio
| Nome do local | Tipo de local | Descrição do local | Cloud HSM disponível | Cloud EKM disponível |
|---|---|---|---|---|
eur3 |
Multirregião | Bélgica e Países Baixos | Sim | Apenas pela Internet |
eur4 |
Multirregião | Finlândia, Países Baixos e Bélgica | Sim | Apenas pela Internet |
eur5 |
Multirregião | Londres, Países Baixos e Bélgica | Sim | Apenas pela Internet |
eur6 |
Multirregião | Países Baixos, Frankfurt e Zurique | Sim | Apenas pela Internet |
europe |
Multirregião | Várias regiões na União Europeia1 | Sim | Apenas pela Internet |
europe-central2 |
Região: | Varsóvia | Sim | Sim |
europe-north1 |
Região: | Finlândia | Sim | Sim |
europe-west1 |
Região: | Bélgica | Sim | Sim |
europe-west2 |
Região: | Londres | Sim | Sim |
europe-west3 |
Região: | Frankfurt | Sim | Sim |
europe-west4 |
Região: | Países Baixos | Sim | Sim |
europe-west6 |
Região: | Zurique | Sim | Sim |
europe-west8 |
Região: | Milão | Sim | Sim |
europe-west9 |
Região: | Paris | Sim | Sim |
europe-southwest1 |
Região: | Madri | Sim | Sim |
me-west1 |
Região: | Tel Aviv | Sim | Sim |
europe não são
armazenados nos data centers europe-west2 (Londres) ou europe-west6
(Zurique).
Ásia-Pacífico
| Nome do local | Tipo de local | Descrição do local | Cloud HSM disponível | Cloud EKM disponível |
|---|---|---|---|---|
asia |
Multirregião | Várias regiões na Ásia | Sim | Apenas pela Internet |
asia1 |
Multirregião | Tóquio, Osaka e Seul | Sim | Apenas pela Internet |
in |
Multirregião | Várias regiões na Índia | Não | Apenas pela Internet |
asia-east1 |
Região: | Taiwan | Sim | Sim |
asia-east2 |
Região: | Hong Kong | Sim | Sim |
asia-northeast1 |
Região: | Tóquio | Sim | Sim |
asia-northeast2 |
Região: | Osaka | Sim | Sim |
asia-northeast3 |
Região: | Seul | Sim | Sim |
asia-south1 |
Região: | Mumbai | Sim | Sim |
asia-south2 |
Região: | Délhi | Sim | Sim |
asia-southeast1 |
Região: | Singapura | Sim | Sim |
asia-southeast2 |
Região: | Jacarta | Sim | Sim |
australia-southeast1 |
Região: | Sydney | Sim | Sim |
australia-southeast2 |
Região: | Melbourne | Sim | Sim |
Mundial
| Nome do local | Tipo de local | Descrição do local | Cloud HSM disponível | Cloud EKM disponível |
|---|---|---|---|---|
global |
global | Sim | Não | |
nam-eur-asia1 |
Multirregião | América do Norte, Europa e Ásia (Iowa, Oklahoma, Bélgica e Taiwan) |
Não | Não |
Tipos de locais do Cloud KMS
É possível criar recursos do Cloud KMS, do Cloud HSM e do Cloud EKM em diferentes tipos de locais no Google Cloud, dependendo dos requisitos de disponibilidade. Os locais são adicionados regularmente. Para informações específicas sobre cada local, consulte Locais.
Saiba mais sobre como escolher o melhor tipo de local.
Os seguintes tipos de local estão disponíveis para o Cloud KMS:
- Locais regionais: os data centers de um local regional estão em uma localização geográfica específica. Por exemplo, um recurso criado na
região
us-central1está localizado na região central dos Estados Unidos. - Locais multirregionais: os data centers de um local multirregional estão distribuídos por uma grande área geográfica. Por exemplo, um recurso criado
na multirregião
europepersiste em vários data centers na União Europeia. Não é possível escolher quais data centers na multirregião conterão seus dados. - O local global: o local de
globalé uma multirregião especial. Os data centers estão espalhados por todo o mundo. Não é possível escolher quais data centers na multirregião global conterão seus dados.
Como escolher o melhor tipo de local
Como regra, projete seu aplicativo para que todos os seus componentes estejam geograficamente próximos uns dos outros e próximos aos clientes do seu aplicativo. O local das chaves é um aspecto importante do design do aplicativo. Após a criação, uma chave não pode ser movida ou exportada.
Ao usar um local multirregional, como a multirregião europe, os recursos permanecem em vários data centers espalhados pela multirregião.
Criar e atualizar chaves em locais multirregionais, incluindo o local global, pode ser menos eficiente do que usar um local único. Para mais informações, consulte Como ler e gravar em locais multirregionais.
Use o local global se todas as condições a seguir forem verdadeiras:
- Os componentes do aplicativo são distribuídos globalmente.
- Você tem leituras ou gravações pouco frequentes, mas usa outras operações criptográficas com frequência.
- Suas chaves não têm requisitos de residência geográfica.
- Você não está usando chaves externas.
Para integrações de chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês), é necessário usar o mesmo local que outros recursos relacionados à integração. Algumas integrações de CMEK não são compatíveis
com o local global. Para mais informações sobre integrações de CMEK, consulte
Chaves de criptografia gerenciadas pelo cliente (CMEK).
Os recursos do Cloud EKM dependem da conectividade entre o Google Cloud e um serviço de gerenciamento de chaves externo, fora do Google Cloud. Para recursos do Cloud External Key Manager, selecione um local geograficamente mais próximo possível do local onde as chaves são armazenadas no serviço de gerenciamento de chave externo.
O Cloud HSM depende da disponibilidade de hardware físico nos data centers de um local. Para recursos do Cloud HSM, selecione um local compatível com o Cloud HSM.
Os recursos do Cloud HSM têm cotas específicas do local. As cotas do Cloud KMS são globais.
Os locais multirregionais têm cotas separadas, independentemente das cotas de locais de região única. Por exemplo, para criar recursos do Cloud HSM
na multirregião eur5, é preciso ter uma cota do HSM em eur5, mesmo que
já tenha cota nas regiões únicas que participam de eur5, como
europe-west2.
Como ler e gravar em locais multirregionais
A leitura e gravação de recursos ou metadados associados em locais multirregionais, incluindo o local global, podem ser mais lentas do que ler ou gravar de uma única região.
- Quando você cria ou lê versões de chave, o consenso é sempre exigido entre os data centers que armazenam o material da chave. As leituras e gravações em uma única região geralmente são mais eficientes do que as de um local multirregional.
- Quando você realiza operações criptográficas, como ao criptografar ou descriptografar dados, o consenso não é necessário. Para operações criptográficas, os locais multirregionais são semelhantes aos de região única.
- Quando você armazena as chaves em um local ou local geograficamente próximo aos dados que eles protegem ou validam, as operações criptográficas geralmente são mais eficientes.
As vantagens e desvantagens entre desempenho e disponibilidade são exclusivas para cada aplicativo. Locais multirregionais, incluindo global, são mais adequados para
cargas de trabalho de leitura pesada.
Como determinar as regiões disponíveis
É possível usar a Google Cloud CLI ou a API Cloud Key Management Service para ver uma lista de regiões disponíveis.
gcloud
gcloud kms locations list
Na saída do comando, a coluna HSM_AVAILABLE indica se o local é compatível com o Cloud HSM. A coluna EKM_AVAILABLE indica se o local é compatível com o gerenciador de chaves externas do Cloud. Observação: no momento, o EKM via chaves VPC
está disponível apenas em locais regionais.
API
Use os métodos Locations.get e Locations.list.
As respostas dos dois métodos incluem campos booleanos relacionados aos recursos de um local:
Se um local for compatível com chaves do Cloud HSM,
hsmAvailableserátrue.Se um local for compatível com chaves do Cloud EKM,
ekmAvailableserátrue. Observação: o EKM via chaves VPC está disponível apenas em locais regionais.
A seguir
- Saiba mais sobre Geografia e regiões no Google Cloud.
- Veja a lista completa de locais na nuvem.