מיקומים של Cloud KMS

בתוך פרויקט, אפשר ליצור משאבים של Cloud Key Management Service באחד מתוך הרבה מיקומים. הם מייצגים את האזורים הגיאוגרפיים שבהם מאוחסן משאב Cloud KMS ושאפשר לגשת אליו. המיקום של המפתח משפיע על הביצועים של אפליקציות שמשתמשות במפתח.

חומר המפתח של מפתחות Cloud KMS ו-Cloud HSM מוגבל לאזור שנבחר בזמן שהוא במנוחה ובשימוש.

התמיכה ברמות הגנה שונות משתנה בהתאם לאזור:

  • SOFTWARE: אפשר ליצור מפתחות תוכנה בכל המיקומים של Cloud KMS.
  • HSM: אפשר ליצור מפתחות Cloud HSM מרובי-דיירים ברוב המיקומים ב-Cloud KMS. כדי לראות את המיקומים שבהם אפשר ליצור מפתחות Cloud HSM עם דיירים מרובים, בוחרים באפשרות Supports multi-tenant HSM (תמיכה ב-HSM עם דיירים מרובים) במסנן HSM support (תמיכה ב-HSM).
  • HSM_SINGLE_TENANT: אפשר ליצור מפתחות Cloud HSM של דייר יחיד במיקומים נבחרים ב-Cloud KMS. כדי לראות את המיקומים שבהם אפשר ליצור מפתחות Cloud HSM עם דייר יחיד, בוחרים באפשרות Supports single-tenant HSM (תמיכה ב-HSM עם דייר יחיד) במסנן HSM support (תמיכה ב-HSM).
  • EXTERNAL: אפשר ליצור מפתחות Cloud EKM ברוב המיקומים של Cloud KMS, אם יש גישה ל-EKM דרך האינטרנט. כדי לראות מיקומים שבהם אפשר ליצור מפתחות Cloud EKM באינטרנט, בוחרים באפשרות EKM by internet (EKM באינטרנט) במסנן EKM support (תמיכה ב-EKM).
  • EXTERNAL_VPC: אפשר ליצור מפתחות Cloud EKM שניתן לגשת אליהם ב-EKM דרך VPC ברוב המיקומים של Cloud KMS. כדי לראות את המיקומים שבהם אפשר ליצור מפתחות Cloud EKM דרך VPC, בוחרים באפשרות EKM by VPC (EKM דרך VPC) במסנן EKM support (תמיכה ב-EKM).

בטבלאות הבאות מפורטים המיקומים שזמינים לשימוש ב-Cloud KMS בחלקים שונים בעולם. אפשר לסנן את המיקומים האלה לפי סוג המיקום, תמיכה ב-Cloud HSM ותמיכה ב-Cloud EKM:

סינון לפי:

אמריקה

שם המיקום סוג מיקום תיאור המיקום ‫Cloud HSM זמין Cloud EKM זמין
ca במספר אזורים כל האזורים בקנדה רק חשבונות עם מספר אתרי מכירה כן
nam3 במספר אזורים צפון וירג'יניה ודרום קרוליינה רק חשבונות עם מספר אתרי מכירה כן
nam4 במספר אזורים איווה, דרום קרוליינה ואוקלהומה רק חשבונות עם מספר אתרי מכירה כן
nam6 במספר אזורים איווה ודרום קרוליינה רק חשבונות עם מספר אתרי מכירה כן
nam7 במספר אזורים איווה, צפון וירג'יניה ואוקלהומה רק חשבונות עם מספר אתרי מכירה כן
nam8 במספר אזורים לוס אנג'לס, אורגון וסולט לייק סיטי רק חשבונות עם מספר אתרי מכירה כן
nam9 במספר אזורים צפון וירג'יניה ואיווה רק חשבונות עם מספר אתרי מכירה כן
nam10 במספר אזורים איווה, סולט לייק סיטי ואוקלהומה רק חשבונות עם מספר אתרי מכירה כן
nam11 במספר אזורים איווה, דרום קרוליינה ואוקלהומה רק חשבונות עם מספר אתרי מכירה כן
nam12 במספר אזורים איווה, צפון וירג'יניה, אוקלהומה ואורגון רק חשבונות עם מספר אתרי מכירה כן
northamerica-northeast1 אזור מונטריאול רק חשבונות עם מספר אתרי מכירה כן
northamerica-northeast2 אזור טורונטו רק חשבונות עם מספר אתרי מכירה כן
northamerica-south1 אזור מקסיקו רק חשבונות עם מספר אתרי מכירה לא
southamerica-east1 אזור סאו פאולו רק חשבונות עם מספר אתרי מכירה כן
southamerica-west1 אזור סנטיאגו רק חשבונות עם מספר אתרי מכירה כן
us במספר אזורים מספר אזורים בארצות הברית רק חשבונות עם מספר אתרי מכירה כן
us-central1 אזור איווה כן כן
us-east1 אזור דרום קרוליינה רק חשבונות עם מספר אתרי מכירה כן
us-east4 אזור צפון וירג'יניה כן כן
us-east5 אזור קולומבוס רק חשבונות עם מספר אתרי מכירה כן
us-west1 אזור אורגון רק חשבונות עם מספר אתרי מכירה כן
us-west2 אזור לוס אנג'לס רק חשבונות עם מספר אתרי מכירה כן
us-west3 אזור סולט לייק סיטי רק חשבונות עם מספר אתרי מכירה כן
us-west4 אזור לאס וגאס רק חשבונות עם מספר אתרי מכירה כן
us-south1 אזור דאלאס רק חשבונות עם מספר אתרי מכירה כן

אסיה-פסיפיק

שם המיקום סוג מיקום תיאור המיקום ‫Cloud HSM זמין Cloud EKM זמין
asia במספר אזורים טייוואן, מומבאי וסינגפור רק חשבונות עם מספר אתרי מכירה כן
asia1 במספר אזורים טוקיו, אוסקה וסיאול רק חשבונות עם מספר אתרי מכירה כן
asia-east1 אזור טייוואן רק חשבונות עם מספר אתרי מכירה כן
asia-east2 אזור הונג קונג רק חשבונות עם מספר אתרי מכירה כן
asia-northeast1 אזור טוקיו רק חשבונות עם מספר אתרי מכירה כן
asia-northeast2 אזור אוסקה רק חשבונות עם מספר אתרי מכירה כן
asia-northeast3 אזור סיאול רק חשבונות עם מספר אתרי מכירה כן
asia-south1 אזור מומבאי כן כן
asia-south2 אזור דלהי רק חשבונות עם מספר אתרי מכירה כן
asia-southeast1 אזור סינגפור רק חשבונות עם מספר אתרי מכירה כן
asia-southeast2 אזור ג'קארטה רק חשבונות עם מספר אתרי מכירה כן
asia-southeast3 אזור בנגקוק רק חשבונות עם מספר אתרי מכירה לא
au במספר אזורים כל האזורים באוסטרליה רק חשבונות עם מספר אתרי מכירה כן
australia-southeast1 אזור סידני רק חשבונות עם מספר אתרי מכירה כן
australia-southeast2 אזור מלבורן רק חשבונות עם מספר אתרי מכירה כן
in במספר אזורים כל האזורים בהודו רק חשבונות עם מספר אתרי מכירה כן

אירופה, המזרח התיכון
ואפריקה

שם המיקום סוג מיקום תיאור המיקום ‫Cloud HSM זמין Cloud EKM זמין
africa-south1 אזור יוהנסבורג רק חשבונות עם מספר אתרי מכירה כן
de במספר אזורים כל האזורים בגרמניה רק חשבונות עם מספר אתרי מכירה כן
eur3 במספר אזורים בלגיה והולנד רק חשבונות עם מספר אתרי מכירה כן
eur4 במספר אזורים פינלנד, הולנד ובלגיה רק חשבונות עם מספר אתרי מכירה כן
eur5 במספר אזורים לונדון, הולנד ובלגיה רק חשבונות עם מספר אתרי מכירה כן
eur6 במספר אזורים הולנד, פרנקפורט וציריך רק חשבונות עם מספר אתרי מכירה כן
eur7 במספר אזורים לונדון, פרנקפורט וברלין לא כן
eur8 במספר אזורים ציריך, פרנקפורט וברלין לא כן
europe במספר אזורים כל האזורים באיחוד האירופי1 רק חשבונות עם מספר אתרי מכירה כן
europe-central2 אזור ורשה רק חשבונות עם מספר אתרי מכירה כן
europe-north1 אזור פינלנד רק חשבונות עם מספר אתרי מכירה כן
europe-north2 אזור שטוקהולם רק חשבונות עם מספר אתרי מכירה כן
europe-southwest1 אזור מדריד רק חשבונות עם מספר אתרי מכירה כן
europe-west1 אזור בלגיה כן כן
europe-west2 אזור לונדון רק חשבונות עם מספר אתרי מכירה כן
europe-west3 אזור פרנקפורט כן כן
europe-west4 אזור הולנד כן כן
europe-west6 אזור ציריך רק חשבונות עם מספר אתרי מכירה כן
europe-west8 אזור מילאנו רק חשבונות עם מספר אתרי מכירה כן
europe-west9 אזור פריז כן כן
europe-west10 אזור ברלין רק חשבונות עם מספר אתרי מכירה כן
europe-west12 אזור טורינו רק חשבונות עם מספר אתרי מכירה כן
it במספר אזורים כל האזורים באיטליה רק חשבונות עם מספר אתרי מכירה כן
me-central1 אזור דוחה רק חשבונות עם מספר אתרי מכירה כן
me-central2 אזור דמאם רק חשבונות עם מספר אתרי מכירה כן
me-west1 אזור תל אביב כן כן
1 משאבים שנוצרו במיקום 'במספר אזורים' של europe לא מאוחסנים במרכזי הנתונים europe-west2 (לונדון) או europe-west6 (ציריך).

ברחבי העולם

שם המיקום סוג מיקום תיאור המיקום ‫Cloud HSM זמין Cloud EKM זמין
global במספר אזורים עולמי רק חשבונות עם מספר אתרי מכירה לא
nam-eur-asia1 במספר אזורים צפון אמריקה, אירופה ואסיה
(איווה, אוקלהומה, בלגיה וטייוואן)
רק חשבונות עם מספר אתרי מכירה לא

סוגי מיקומים ב-Cloud KMS

אתם יכולים ליצור משאבי Cloud KMS,‏ Cloud HSM ו-Cloud EKM בסוגים שונים של מיקומים ב- Google Cloud, בהתאם לדרישות הזמינות שלכם. אנחנו מוסיפים מיקומים באופן קבוע. מידע ספציפי על כל מיקום זמין במאמר מיקומים.

מידע נוסף על בחירת סוג המיקום המתאים ביותר

סוגי המיקומים הבאים זמינים ב-Cloud KMS:

  • מיקומים אזוריים: מרכזי הנתונים של מיקום אזורי נמצאים במקום גיאוגרפי ספציפי. לדוגמה, משאב שנוצר באזור us-central1 נמצא במרכז ארצות הברית.
  • מיקומים במספר אזורים: מפתחות של מיקומים במספר אזורים נבדלים באופן לוגי ממפתחות אזוריים, והם מאוחסנים פיזית במרכזי נתונים אזוריים מרובים ומוגשים מהם. לדוגמה, משאב שנוצר באזור europe רב-אזורי נשמר בכל מרכזי הנתונים באיחוד האירופי. המפתחות שלכם מאוחסנים בכל מרכזי הנתונים של האזור המרובה. אי אפשר לבחור תת-קבוצה מתוך האזור המרובה.
  • המיקום הגלובלי: המיקום global הוא אזור מיוחד שכולל כמה אזורים. מרכזי הנתונים שלה מפוזרים ברחבי העולם. אי אפשר לבחור אילו מרכזי נתונים בתוך האזור הגלובלי הרב-אזורי יכילו את הנתונים שלכם.

בחירת סוג המיקום הטוב ביותר

ככלל, כדאי לתכנן את האפליקציה כך שכל הרכיבים שלה יהיו קרובים זה לזה מבחינה גיאוגרפית וקרובים ללקוחות של האפליקציה. המיקום של המפתחות הוא היבט חשוב בעיצוב האפליקציה. אחרי שיוצרים מפתח, אי אפשר להעביר או לייצא אותו.

כשמשתמשים במיקום במספר אזורים, כמו europe במספר אזורים, המשאבים נשמרים בכמה מרכזי נתונים שפזורים במספר האזורים. יכול להיות שיהיה פחות יעיל ליצור ולעדכן מפתחות במיקומים במספר אזורים, כולל המיקום global, מאשר להשתמש במיקום באזור יחיד. מידע נוסף זמין במאמר בנושא קריאה ממיקומים מרובי-אזורים וכתיבה למיקומים מרובי-אזורים.

משתמשים במיקום global אם כל התנאים הבאים מתקיימים:

  • הרכיבים של האפליקציה מופצים באופן גלובלי.
  • אתם מבצעים קריאות או כתיבות לעיתים רחוקות, אבל משתמשים בפעולות קריפטוגרפיות אחרות לעיתים קרובות.
  • אין דרישות לגבי מיקום גיאוגרפי של המפתחות.
  • אתם לא משתמשים במקשים חיצוניים.

בשילובים של מפתחות הצפנה בניהול הלקוח (CMEK), צריך להשתמש באותו מיקום בדיוק כמו במשאבים אחרים שקשורים לשילוב. חלק מהשילובים של CMEK לא תומכים במיקום global. מידע נוסף על שילובי CMEK זמין במאמר בנושא מפתחות הצפנה בניהול הלקוח (CMEK).

משאבי Cloud EKM מסתמכים על קישוריות בין Google Cloud לבין שירות חיצוני לניהול מפתחות, מחוץ ל- Google Cloud. למשאבי Cloud External Key Manager, בוחרים מיקום גיאוגרפי שקרוב ככל האפשר למיקום שבו המפתחות מאוחסנים בשירות החיצוני לניהול מפתחות.

שירות Cloud HSM תלוי בזמינות של חומרה פיזית במרכזי הנתונים של מיקום מסוים. למשאבי Cloud HSM, בוחרים מיקום שתומך ב-Cloud HSM.

למשאבי Cloud HSM יש מכסות ספציפיות למיקום. המכסות של Cloud KMS הן גלובליות.

למיקומים מרובי-אזורים יש מכסות נפרדות, שלא תלויות במכסות של מיקומים באזור יחיד. לדוגמה, כדי ליצור משאבי Cloud HSM באזור eur5 שכולל מספר אזורים, צריך מכסת HSM ב-eur5, גם אם כבר יש מכסה באזורים הבודדים שמשתתפים ב-eur5, כמו europe-west2.

קריאה ממיקומים שנמצאים במספר אזורים וכתיבה למיקומים כאלה

קריאה וכתיבה של משאבים או מטא-נתונים משויכים במיקומים במספר אזורים, כולל המיקום global, עשויות להיות איטיות יותר מקריאה או כתיבה מאזור יחיד.

  • כשיוצרים גרסאות מפתח או קוראים אותן, תמיד נדרש קונצנזוס בין מרכזי הנתונים שבהם מאוחסן חומר המפתח. קריאות וכתיבות לאזור יחיד הן לרוב יעילות יותר מאלה שמתבצעות למיקום מרובה אזורים.
  • כשמבצעים פעולות קריפטוגרפיות, כמו הצפנה או פענוח של נתונים, לא נדרש קונצנזוס. בפעולות קריפטוגרפיות, מיקומים במספר אזורים מתנהגים באופן דומה למיקומים באזור יחיד.
  • כשמאחסנים את המפתחות במיקום או במיקומים שקרובים גיאוגרפית לנתונים שהם מגנים עליהם או מאמתים אותם, הפעולות הקריפטוגרפיות בדרך כלל יעילות יותר.

הפשרות בין ביצועים לזמינות הן ייחודיות לכל אפליקציה. מיקומים במספר אזורים, כולל global, מתאימים במיוחד לעומסי עבודה שכוללים הרבה פעולות קריאה.

קביעת האזורים הזמינים

אפשר להשתמש ב-Google Cloud CLI או ב-Cloud Key Management Service API כדי לקבל רשימה של אזורים זמינים.

gcloud

gcloud kms locations list

בעמודה HSM_AVAILABLE בפלט מהפקודה, מצוין אם המיקום תומך ב-Cloud HSM. בעמודה EKM_AVAILABLE מצוין אם המיקום תומך ב-Cloud External Key Manager. הערה: נכון לעכשיו, EKM באמצעות מפתחות VPC זמין רק במיקומים אזוריים.

REST

משתמשים בשיטות Locations.get ו-Locations.list.

התשובות משתי השיטות האלה כוללות שדות בוליאניים שקשורים ליכולות של מיקום:

  • אם מיקום תומך במפתחות Cloud HSM רב-דיירים, הערך של hsmAvailable הוא true.

  • אם מיקום תומך במפתחות Cloud EKM, הערך של ekmAvailable הוא true.

המאמרים הבאים