Cloud KMS 位置

使用集合让一切井井有条 根据您的偏好保存内容并对其进行分类。

您可以在一个项目中的多个位置之一创建 Cloud Key Management Service 资源。这些资源代表地理区域,可在其中存储并访问 Cloud KMS 资源。密钥的位置会影响使用该密钥的应用的性能。某些资源(如 Cloud HSM 密钥)并非在所有位置都有提供。

Cloud KMS 和 Cloud HSM 密钥的密钥材料仅限于静态和使用中的选定区域。

下表列出了可在 Cloud KMS 中在全球各地使用的位置。您可以按位置类型、Cloud HSM 支持和 Cloud EKM 支持过滤这些位置:

过滤条件

美洲

地点名称 位置类型 地点描述 Cloud HSM 可用性 Cloud EKM 可用性
nam3 多区域 北弗吉尼亚和南卡罗来纳 仅通过互联网
nam4 多区域 爱荷华、南卡罗来纳和俄克拉荷马 仅通过互联网
nam6 多区域 爱荷华和南卡罗来纳 仅通过互联网
nam7 多区域 爱荷华、北弗吉尼亚和俄克拉荷马 仅通过互联网
nam8 多区域 洛杉矶、俄勒冈和盐湖城 仅通过互联网
nam9 多区域 北弗吉尼亚和爱荷华 仅通过互联网
nam10 多区域 爱荷华、盐湖城和俄克拉荷马 仅通过互联网
nam11 多区域 爱荷华、南卡罗来纳和俄克拉荷马 仅通过互联网
nam12 多区域 爱荷华、北弗吉尼亚、俄克拉荷马和俄勒冈 仅通过互联网
northamerica-northeast1 地区: 蒙特利尔
northamerica-northeast2 地区: 多伦多
southamerica-east1 地区: 圣保罗
southamerica-west1 地区: 圣地亚哥
us 多区域 美国的多个区域 仅通过互联网
us-central1 地区: 爱荷华
us-east1 地区: 南卡罗来纳
us-east4 地区: 北弗吉尼亚 Yes
us-east5 地区: 哥伦布
us-west1 地区: 俄勒冈
us-west2 地区: 洛杉矶
us-west3 地区: 盐湖城
us-west4 地区: 拉斯维加斯
us-south1 地区: 达拉斯

欧洲和中东

地点名称 位置类型 地点描述 Cloud HSM 可用性 Cloud EKM 可用性
eur3 多区域 比利时和荷兰 仅通过互联网
eur4 多区域 芬兰、荷兰和比利时 仅通过互联网
eur5 多区域 伦敦、荷兰和比利时 仅通过互联网
eur6 多区域 荷兰、法兰克福和苏黎世 仅通过互联网
europe 多区域 欧盟的多个区域1 仅通过互联网
europe-central2 地区: 华沙
europe-north1 地区: 芬兰
europe-west1 地区: 比利时
europe-west2 地区: 伦敦
europe-west3 地区: 法兰克福 Yes
europe-west4 地区: 荷兰
europe-west6 地区: 苏黎世
europe-west8 地区: 米兰
europe-west9 地区: 巴黎
europe-southwest1 Region 马德里
me-west1 地区: 特拉维夫
1europe 多区域中创建的资源未存储在 europe-west2(伦敦)或 europe-west6(苏黎世)数据中心中。

亚太地区

地点名称 Location type 地点描述 Cloud HSM 可用性 Cloud EKM 可用性
asia 多区域 亚洲的多个区域 仅通过互联网
asia1 多区域 东京、大阪和首尔 仅通过互联网
asia-east1 地区: 中国台湾
asia-east2 地区: 香港
asia-northeast1 地区: 东京
asia-northeast2 地区: 大阪
asia-northeast3 地区: 首尔
asia-south1 地区: 孟买
asia-south2 地区: 德里
asia-southeast1 地区: 新加坡
asia-southeast2 地区: 雅加达
australia-southeast1 地区: 悉尼
australia-southeast2 地区: 墨尔本

全球

地点名称 位置类型 地点描述 Cloud HSM 可用性 Cloud EKM 可用性
global 全球级
nam-eur-asia1 多区域 北美、欧洲和亚洲
(爱荷华、俄克拉荷马、比利时和台湾)

Cloud KMS 的位置类型

您可以在 Google Cloud 中不同类型的位置创建 Cloud KMS、Cloud HSM 和 Cloud EKM 资源,具体取决于您的可用性要求。位置会定期添加。如需了解每个位置的具体信息,请参阅位置

您可以详细了解如何选择最佳位置类型

Cloud KMS 支持以下位置类型:

  • 区域位置:区域位置的数据中心位于特定的地理位置。例如,在 us-central1 区域中创建的资源位于美国中部。
  • 多区域位置:多区域位置的数据中心分布在较大的地理区域中。例如,在 europe 多区域中创建的资源会保留在欧盟的多个数据中心内。您无法选择多区域位置的数据中心包含您的数据。
  • 全球位置global 位置是一个特殊的多区域位置。其数据中心遍布世界各地。您不能选择全球多区域中的哪些数据中心将包含您的数据。

选择最佳类型的位置

通常,应用的设计应使其所有组件在地理位置上彼此靠近,并靠近应用的客户端。密钥的位置是应用设计的一个重要方面。密钥一经创建便无法移动或导出。

使用多区域位置(如 europe 多区域)时,资源会分布在多个区域的多个数据中心。在多区域位置(包括 global 位置)创建和更新密钥可能效率低于使用单区域位置。如需了解详情,请参阅读取和写入多区域位置

如果满足以下所有条件,请使用 global 位置:

  • 应用的组件遍布全球。
  • 您的读取或写入频率较低,但经常使用其他加密操作。
  • 您的密钥没有地理位置驻留要求。
  • 您未使用外部密钥。

对于客户管理的加密密钥 (CMEK) 集成,您必须使用与集成相关的其他资源所在的位置。某些 CMEK 集成不支持 global 位置。如需详细了解 CMEK 集成,请参阅客户管理的加密密钥 (CMEK)

Cloud EKM 资源依赖于 Google Cloud 与在 Google Cloud 以外的外部密钥管理服务之间的连接。对于 Cloud External Key Manager 资源,请选择地理位置尽可能接近通过外部密钥管理服务存储密钥的位置。

Cloud HSM 依赖于位置的数据中心内物理硬件的可用性。对于 Cloud HSM 资源,请选择支持 Cloud HSM 的位置。

Cloud HSM 资源具有特定于位置的配额。Cloud KMS 配额是全球性的。

多区域位置有各自的配额,与单区域位置的配额无关。例如,要在 eur5 多区域创建 Cloud HSM 资源,您必须在 eur5 中拥有 HSM 配额,即使您在参与 eur5 的单区域(如 europe-west2)中已有配额。

读取和写入多区域位置

在多区域位置(包括 global 位置)读取和写入资源或关联的元数据可能会比从单个区域读取数据或向其中写入数据的速度慢。

  • 创建或读取密钥版本时,存储密钥材料的数据中心始终需要达成共识。对单区域读写操作通常比对多区域位置执行效率更高。
  • 当您执行加密操作(例如加密或解密数据)时,无需取得共识。对于加密操作,多区域位置的性能与单区域位置类似。
  • 如果将密钥存储在其保护或验证的数据附近的地理位置,加密操作通常会更高效。

每个应用在性能和可用性之间的权衡具有唯一性。多区域位置(包括 global)最适合处理读取密集型的工作负载。

确定可用区域

您可以使用 Google Cloud CLI 或 Cloud Key Management Service API 获取可用区域的列表。

gcloud

gcloud kms locations list

在命令的输出中,HSM_AVAILABLE 列指示该位置是否支持 Cloud HSM。 EKM_AVAILABLE 列指示营业地点是否支持 Cloud External Key Manager。请注意,通过 VPC 密钥的 EKM 目前仅在区域位置可用。

API

使用 Locations.getLocations.list 方法。

这两种方法的响应都包含与位置功能相关的布尔值字段:

  • 如果某个位置支持 Cloud HSM 密钥,则 hsmAvailabletrue

  • 如果某个位置支持 Cloud EKM 密钥,则 ekmAvailabletrue注意:通过 VPC 密钥的 EKM 目前仅在区域位置可用。

后续步骤