Cloud Key Management Service-Ressourcen können innerhalb eines Projekts an einem von vielen Standorten erstellt werden. Diese stellen die geografischen Regionen dar, in denen eine Cloud KMS-Ressource gespeichert ist und auf die zugegriffen werden kann. Der Standort eines Schlüssels wirkt sich auf die Leistung von Anwendungen aus, die den Schlüssel verwenden. Einige Ressourcen wie Cloud HSM-Schlüssel sind nicht überall verfügbar.
Schlüsselmaterial für Cloud KMS- und Cloud HSM-Schlüssel ist im Ruhezustand und während der Verwendung auf die ausgewählte Region beschränkt.
In den folgenden Tabellen sind die Standorte aufgeführt, die in verschiedenen Teilen der Welt in Cloud KMS verwendet werden können. Sie können diese Standorte nach Standorttyp, Cloud HSM-Unterstützung und Cloud EKM-Unterstützung filtern:
Nord- und Südamerika
Standortname | Standorttyp | Standortbeschreibung | Cloud HSM verfügbar | Cloud EKM verfügbar |
---|---|---|---|---|
ca |
Multiregional | Mehrere Regionen in Kanada | Nein | Ja |
nam3 |
Multiregional | Northern Virginia und South Carolina | Ja | Nur über das Internet |
nam4 |
Multiregional | Iowa, South Carolina und Oklahoma | Ja | Nur über das Internet |
nam6 |
Multiregional | Iowa und South Carolina | Ja | Nur über das Internet |
nam7 |
Multiregional | Iowa, Northern Virginia und Oklahoma | Ja | Nur über das Internet |
nam8 |
Multiregional | Los Angeles, Oregon und Salt Lake City | Ja | Nur über das Internet |
nam9 |
Multiregional | Northern Virginia und Iowa | Ja | Nur über das Internet |
nam10 |
Multiregional | Iowa, Salt Lake City und Oklahoma | Ja | Nur über das Internet |
nam11 |
Multiregional | Iowa, South Carolina und Oklahoma | Ja | Nur über das Internet |
nam12 |
Multiregional | Iowa, Northern Virginia, Oklahoma und Oregon | Ja | Nur über das Internet |
northamerica-northeast1 |
Region: | Montreal | Ja | Ja |
northamerica-northeast2 |
Region: | Toronto | Ja | Ja |
southamerica-east1 |
Region: | São Paulo | Ja | Ja |
southamerica-west1 |
Region: | Santiago | Ja | Ja |
us |
Multiregional | Mehrere Regionen in den USA | Ja | Nur über das Internet |
us-central1 |
Region: | Iowa | Ja | Ja |
us-east1 |
Region: | South Carolina | Ja | Ja |
us-east4 |
Region: | Northern Virginia | Ja | Ja |
us-east5 |
Region: | Columbus | Ja | Ja |
us-west1 |
Region: | Oregon | Ja | Ja |
us-west2 |
Region: | Los Angeles | Ja | Ja |
us-west3 |
Region: | Salt Lake City | Ja | Ja |
us-west4 |
Region: | Las Vegas | Ja | Ja |
us-south1 |
Region: | Dallas | Ja | Ja |
Europa, Naher Osten
und Afrika
Standortname | Standorttyp | Standortbeschreibung | Cloud HSM verfügbar | Cloud EKM verfügbar |
---|---|---|---|---|
africa-south1 |
Region: | Johannesburg | Ja | Ja |
eur3 |
Multiregional | Belgien und Niederlande | Ja | Nur über das Internet |
eur4 |
Multiregional | Finnland, Belgien und Niederlande | Ja | Nur über das Internet |
eur5 |
Multiregional | London, Belgien und Niederlande | Ja | Nur über das Internet |
eur6 |
Multiregional | Niederlande, Frankfurt und Zürich | Ja | Nur über das Internet |
europe |
Multiregional | Mehrere Regionen in der Europäischen Union1 | Ja | Nur über das Internet |
europe-central2 |
Region: | Warschau | Ja | Ja |
europe-north1 |
Region: | Finnland | Ja | Ja |
europe-southwest1 |
Region: | Madrid | Ja | Ja |
europe-west1 |
Region: | Belgien | Ja | Ja |
europe-west2 |
Region: | London | Ja | Ja |
europe-west3 |
Region: | Frankfurt | Ja | Ja |
europe-west4 |
Region: | Niederlande | Ja | Ja |
europe-west6 |
Region: | Zürich | Ja | Ja |
europe-west8 |
Region: | Mailand | Ja | Ja |
europe-west9 |
Region: | Paris | Ja | Ja |
europe-west10 |
Region: | Berlin | Ja | Ja |
europe-west12 |
Region: | Turin | Ja | Ja |
it |
Multiregional | Mehrere Regionen in Italien | Nein | Nur über das Internet |
me-central1 |
Region: | Doha | Ja | Ja |
me-central2 |
Region: | Dammam | Ja | Ja |
me-west1 |
Region: | Tel Aviv | Ja | Ja |
europe
erstellt wurden, werden nicht in den Rechenzentren europe-west2
(London) oder europe-west6
(Zürich) gespeichert.
Asiatisch-pazifischer Raum
Standortname | Standorttyp | Standortbeschreibung | Cloud HSM verfügbar | Cloud EKM verfügbar |
---|---|---|---|---|
asia |
Multiregional | Mehrere Regionen in Asien | Ja | Nur über das Internet |
asia1 |
Multiregional | Tokio, Osaka und Seoul | Ja | Nur über das Internet |
in |
Multiregional | Mehrere Regionen in Indien | Ja | Ja |
asia-east1 |
Region: | Taiwan | Ja | Ja |
asia-east2 |
Region: | Hongkong | Ja | Ja |
asia-northeast1 |
Region: | Tokio | Ja | Ja |
asia-northeast2 |
Region: | Osaka | Ja | Ja |
asia-northeast3 |
Region: | Seoul | Ja | Ja |
asia-south1 |
Region: | Mumbai | Ja | Ja |
asia-south2 |
Region: | Delhi | Ja | Ja |
asia-southeast1 |
Region: | Singapur | Ja | Ja |
asia-southeast2 |
Region: | Jakarta | Ja | Ja |
au |
Multiregional | Mehrere Regionen in Australien | Nein | Ja |
australia-southeast1 |
Region: | Sydney | Ja | Ja |
australia-southeast2 |
Region: | Melbourne | Ja | Ja |
Weltweit
Standortname | Standorttyp | Standortbeschreibung | Cloud HSM verfügbar | Cloud EKM verfügbar |
---|---|---|---|---|
global |
global | Ja | Nein | |
nam-eur-asia1 |
Multiregional | Nordamerika, Europa und Asien (Iowa, Oklahoma, Belgien und Taiwan) |
Ja | Nein |
Arten von Standorten für Cloud KMS
Sie können Cloud KMS-, Cloud HSM- und Cloudekek-Ressourcen je nach Verfügbarkeitsanforderungen an verschiedenen Standorten in Google Cloud erstellen. Standorte werden regelmäßig hinzugefügt. Weitere Informationen zu den einzelnen Standorten finden Sie unter Standorte.
Weitere Informationen zur Auswahl des besten Standorttyps
Die folgenden Standorttypen sind für Cloud KMS verfügbar:
- Regionale Standorte: Die Rechenzentren eines regionalen Standorts befinden sich an einem bestimmten geografischen Ort. Eine in der Region
us-central1
erstellte Ressource befindet sich beispielsweise in den mittleren USA. - Multiregionale Standorte: Die Rechenzentren eines multiregionalen Standorts sind über ein großes geografisches Gebiet verteilt. Eine am multiregionalen Standort
europe
erstellte Ressource bleibt beispielsweise in mehreren Rechenzentren in der Europäischen Union bestehen. Sie können nicht auswählen, welche Rechenzentren innerhalb des multiregionalen Standorts Ihre Daten enthalten sollen. - Globaler Standort: Der Standort
global
ist ein spezieller multiregionaler Standort. Die Rechenzentren sind auf der ganzen Welt verteilt. Sie können nicht auswählen, welche Rechenzentren innerhalb des globalen multiregionalen Standorts Ihre Daten enthalten sollen.
Auswahl des besten Standorttyps
Erstellen Sie Ihre Anwendung in der Regel so, dass alle ihre Komponenten geografisch nahe beieinander und in der Nähe der Clients Ihrer Anwendung sind. Die Position Ihrer Schlüssel ist ein wichtiger Aspekt des Anwendungsdesigns. Nach der Erstellung kann ein Schlüssel nicht verschoben oder exportiert werden.
Wenn Sie einen multiregionalen Standort wie den multiregionalen Standort europe
verwenden, verbleiben Ressourcen in mehreren Rechenzentren, die über die multiregionale Region verteilt sind.
Das Erstellen und Aktualisieren von Schlüsseln an multiregionalen Standorten, einschließlich des Standorts global
, ist möglicherweise weniger effizient als die Verwendung eines Standorts in einer Region. Weitere Informationen finden Sie unter Standorte in mehreren Regionen lesen und schreiben.
Verwenden Sie den Standort global
, wenn alle folgenden Bedingungen erfüllt sind:
- Die Komponenten Ihrer Anwendung sind global verteilt.
- Sie haben selten Lese- oder Schreibvorgänge, verwenden aber häufig andere kryptografische Vorgänge.
- Für Ihre Schlüssel gelten keine Anforderungen an den geografischen Standort.
- Sie verwenden keine externen Schlüssel.
Für Integrationen von vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) müssen Sie denselben Speicherort wie bei anderen Ressourcen im Zusammenhang mit der Integration verwenden. Einige CMEK-Integrationen unterstützen den Standort global
nicht. Weitere Informationen zu CMEK-Integrationen finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK).
Für Cloud EKM-Ressourcen ist eine Verbindung zwischen Google Cloud und einem externen Schlüsselverwaltungsdienst außerhalb von Google Cloud erforderlich. Wählen Sie für Cloud External Key Manager-Ressourcen einen Standort so nahe wie möglich an dem, wo Schlüssel im externen Schlüsselverwaltungsdienst gespeichert sind.
Cloud HSM hängt von der Verfügbarkeit der physischen Hardware in den Rechenzentren eines Standorts ab. Wählen Sie für Cloud HSM-Ressourcen einen Standort aus, der Cloud HSM unterstützt.
Für Cloud HSM-Ressourcen gelten standortspezifische quotas. Cloud KMS-Kontingente sind global.
Für multiregionale Standorte gelten separate Kontingente, die unabhängig von den Kontingenten für Standorte mit einer Region sind. Zum Erstellen von Cloud HSM-Ressourcen am multiregionalen Standort eur5
benötigen Sie beispielsweise ein HSM-Kontingent in eur5
, auch wenn Sie bereits ein Kontingent in den einzelnen Regionen haben, die Teil von eur5
sind (z. B. europe-west2
).
Lese- und Schreibzugriff auf multiregionale Standorte
Das Lesen und Schreiben von Ressourcen oder zugehörigen Metadaten an multiregionalen Standorten, einschließlich des Standorts global
, kann länger dauern als das Lesen oder Schreiben aus einer einzelnen Region.
- Wenn Sie Schlüsselversionen erstellen oder auslesen, muss zwischen den Rechenzentren, die das Schlüsselmaterial speichern, immer Übereinstimmung herrschen. Lese- und Schreibvorgänge in einer einzelnen Region sind häufig effizienter als solche an einem multiregionalen Standort.
- Wenn Sie kryptografische Vorgänge ausführen, z. B. beim Verschlüsseln oder Entschlüsseln von Daten, ist keine Übereinstimmung erforderlich. Bei kryptografischen Vorgängen haben multiregionale Standorte eine ähnliche Leistung wie Standorte mit einer einzelnen Region.
- Kryptografische Vorgänge sind in der Regel effizienter, wenn Sie Ihre Schlüssel an einem oder mehreren geografischen Standorten in der Nähe der davon geschützten oder validierten Daten speichern.
Jede Anwendung hat ihren eigenen Trade-Off zwischen Leistung und Verfügbarkeit. Standorte mit mehreren Regionen, einschließlich global
, eignen sich am besten für leseintensive Arbeitslasten.
Verfügbare Regionen identifizieren
Sie können die Google Cloud CLI oder die Cloud Key Management Service API verwenden, um eine Liste der verfügbaren Regionen abzurufen.
gcloud
gcloud kms locations list
In der Ausgabe des Befehls gibt die Spalte HSM_AVAILABLE
an, ob der Standort Cloud HSM unterstützt. Die Spalte EKM_AVAILABLE
gibt an, ob der Standort Cloud External Key Manager unterstützt. Hinweis: EKM-über-VPC-Schlüssel sind derzeit nur an regionalen Standorten verfügbar.
API
Verwenden Sie die Methoden Locations.get
und Locations.list
.
Die Antworten dieser beiden Methoden enthalten boolesche Felder, die sich auf die Funktionen eines Standorts beziehen:
Wenn ein Standort Cloud HSM-Schlüssel unterstützt, ist
hsmAvailable
true
.Wenn ein Standort cloud-ekmodische Schlüssel unterstützt, ist
ekmAvailable
true
. Hinweis: EKM-über-VPC-Schlüssel sind derzeit nur an regionalen Standorten verfügbar.
Nächste Schritte
- Weitere Informationen zu Geografie und Regionen in Google Cloud
- Vollständige Liste der Cloud-Standorte