Località di Cloud KMS

All'interno di un progetto, le risorse di Cloud Key Management Service possono essere create in una delle numerose località. Queste rappresentano le regioni geografiche in cui una risorsa Cloud KMS è archiviata e accessibile. La posizione di una chiave influisce sul rendimento delle applicazioni che la utilizzano.

Il materiale delle chiavi per le chiavi Cloud KMS e Cloud HSM è limitato alla regione selezionata sia in stato inattivo che in uso.

Il supporto per i diversi livelli di protezione varia in base alla regione:

SOFTWARE: le chiavi software possono essere create in tutte le località di Cloud KMS.
HSM: le chiavi Cloud HSM multi-tenant possono essere create nella maggior parte delle posizioni Cloud KMS. Per visualizzare le località in cui puoi creare chiavi Cloud HSM multi-tenant, seleziona Supporta HSM multi-tenant nel filtro Supporto HSM.
HSM_SINGLE_TENANT: le chiavi Cloud HSM single-tenant possono essere create in località Cloud KMS selezionate. Per visualizzare le località in cui puoi creare chiavi Cloud HSM single-tenant, seleziona Supporta HSM single-tenant nel filtro Supporto HSM.
EXTERNAL: le chiavi Cloud EKM a cui si accede tramite internet possono essere create nella maggior parte delle località Cloud KMS. Per visualizzare le località in cui puoi creare chiavi Cloud EKM su internet, seleziona EKM tramite internet nel filtro Supporto EKM.
EXTERNAL_VPC: le chiavi Cloud EKM a cui si accede tramite una VPC possono essere create nella maggior parte delle località Cloud KMS. Per visualizzare le località in cui puoi creare chiavi Cloud EKM su un VPC, seleziona EKM tramite VPC nel filtro Supporto EKM.

Le tabelle seguenti elencano le località disponibili per l'utilizzo in Cloud KMS per diverse parti del mondo. Puoi filtrare queste località in base a tipo di località, supporto di Cloud HSM e supporto di Cloud EKM:

Americhe

Nome della sede	Tipo di località	Descrizione della sede	Cloud HSM disponibile	Cloud EKM disponibile
`ca`	Più regioni	Più regioni in Canada	Solo multi-tenant	Sì
`nam3`	Più regioni	Virginia del Nord e Carolina del Sud	Solo multi-tenant	Sì
`nam4`	Più regioni	Iowa, Carolina del Sud e Oklahoma	Solo multi-tenant	Sì
`nam6`	Più regioni	Iowa e Carolina del Sud	Solo multi-tenant	Sì
`nam7`	Più regioni	Iowa, Virginia del Nord e Oklahoma	Solo multi-tenant	Sì
`nam8`	Più regioni	Los Angeles, Oregon e Salt Lake City	Solo multi-tenant	Sì
`nam9`	Più regioni	Virginia del Nord e Iowa	Solo multi-tenant	Sì
`nam10`	Più regioni	Iowa, Salt Lake City e Oklahoma	Solo multi-tenant	Sì
`nam11`	Più regioni	Iowa, Carolina del Sud e Oklahoma	Solo multi-tenant	Sì
`nam12`	Più regioni	Iowa, Virginia del Nord, Oklahoma e Oregon	Solo multi-tenant	Sì
`northamerica-northeast1`	Regione	Montréal	Solo multi-tenant	Sì
`northamerica-northeast2`	Regione	Toronto	Solo multi-tenant	Sì
`northamerica-south1`	Regione	Messico	Solo multi-tenant	No
`southamerica-east1`	Regione	San Paolo	Solo multi-tenant	Sì
`southamerica-west1`	Regione	Santiago	Solo multi-tenant	Sì
`us`	Più regioni	Più regioni negli Stati Uniti	Solo multi-tenant	Sì
`us-central1`	Regione	Iowa	Sì	Sì
`us-east1`	Regione	Carolina del Sud	Solo multi-tenant	Sì
`us-east4`	Regione	Virginia del Nord	Sì	Sì
`us-east5`	Regione	Columbus	Solo multi-tenant	Sì
`us-west1`	Regione	Oregon	Solo multi-tenant	Sì
`us-west2`	Regione	Los Angeles	Solo multi-tenant	Sì
`us-west3`	Regione	Salt Lake City	Solo multi-tenant	Sì
`us-west4`	Regione	Las Vegas	Solo multi-tenant	Sì
`us-south1`	Regione	Dallas	Solo multi-tenant	Sì

Asia Pacifico

Nome della sede	Tipo di località	Descrizione della sede	Cloud HSM disponibile	Cloud EKM disponibile
`asia`	Più regioni	Più regioni in Asia	Solo multi-tenant	Sì
`asia1`	Più regioni	Tokyo, Osaka e Seul	Solo multi-tenant	Sì
`asia-east1`	Regione	Taiwan	Solo multi-tenant	Sì
`asia-east2`	Regione	Hong Kong	Solo multi-tenant	Sì
`asia-northeast1`	Regione	Tokyo	Solo multi-tenant	Sì
`asia-northeast2`	Regione	Osaka	Solo multi-tenant	Sì
`asia-northeast3`	Regione	Seul	Solo multi-tenant	Sì
`asia-south1`	Regione	Mumbai	Solo multi-tenant	Sì
`asia-south2`	Regione	Delhi	Solo multi-tenant	Sì
`asia-southeast1`	Regione	Singapore	Solo multi-tenant	Sì
`asia-southeast2`	Regione	Giacarta	Solo multi-tenant	Sì
`au`	Più regioni	Più regioni in Australia	Solo multi-tenant	Sì
`australia-southeast1`	Regione	Sydney	Solo multi-tenant	Sì
`australia-southeast2`	Regione	Melbourne	Solo multi-tenant	Sì
`in`	Più regioni	Più regioni in India	Solo multi-tenant	Sì

Europa, Medio Oriente
e Africa

Nome della sede	Tipo di località	Descrizione della sede	Cloud HSM disponibile	Cloud EKM disponibile
`africa-south1`	Regione	Johannesburg	Solo multi-tenant	Sì
`de`	Più regioni	Più regioni in Germania	Solo multi-tenant	Sì
`eur3`	Più regioni	Belgio e Paesi Bassi	Solo multi-tenant	Sì
`eur4`	Più regioni	Finlandia, Paesi Bassi e Belgio	Solo multi-tenant	Sì
`eur5`	Più regioni	Londra, Paesi Bassi e Belgio	Solo multi-tenant	Sì
`eur6`	Più regioni	Paesi Bassi, Francoforte e Zurigo	Solo multi-tenant	Sì
`eur7`	Più regioni	Londra, Francoforte e Berlino	No	Sì
`eur8`	Più regioni	Zurigo, Francoforte e Berlino	No	Sì
`europe`	Più regioni	Più regioni nell'Unione Europea¹	Solo multi-tenant	Sì
`europe-central2`	Regione	Varsavia	Solo multi-tenant	Sì
`europe-north1`	Regione	Finlandia	Solo multi-tenant	Sì
`europe-north2`	Regione	Stoccolma	Solo multi-tenant	Sì
`europe-southwest1`	Regione	Madrid	Solo multi-tenant	Sì
`europe-west1`	Regione	Belgio	Sì	Sì
`europe-west2`	Regione	Londra	Solo multi-tenant	Sì
`europe-west3`	Regione	Francoforte	Solo multi-tenant	Sì
`europe-west4`	Regione	Paesi Bassi	Sì	Sì
`europe-west6`	Regione	Zurigo	Solo multi-tenant	Sì
`europe-west8`	Regione	Milano	Solo multi-tenant	Sì
`europe-west9`	Regione	Parigi	Solo multi-tenant	Sì
`europe-west10`	Regione	Berlino	Solo multi-tenant	Sì
`europe-west12`	Regione	Torino	Solo multi-tenant	Sì
`it`	Più regioni	Più regioni in Italia	Solo multi-tenant	Sì
`me-central1`	Regione	Doha	Solo multi-tenant	Sì
`me-central2`	Regione	Dammam	Solo multi-tenant	Sì
`me-west1`	Regione	Tel Aviv	Solo multi-tenant	Sì

¹ Le risorse create nella zona europe con più regioni non vengono archiviate nei data center europe-west2 (Londra) o europe-west6 (Zurigo).

Tutto il mondo

Nome della sede	Tipo di località	Descrizione della sede	Cloud HSM disponibile	Cloud EKM disponibile
`global`	Più regioni	Globale	Solo multi-tenant	No
`nam-eur-asia1`	Più regioni	Nord America, Europa e Asia (Iowa, Oklahoma, Belgio e Taiwan)	Solo multi-tenant	No

Tipi di località per Cloud KMS

Puoi creare risorse Cloud KMS, Cloud HSM e Cloud EKM in diversi tipi di località in Google Cloud, a seconda dei tuoi requisiti di disponibilità. Le località vengono aggiunte regolarmente. Per informazioni specifiche su ogni località, vedi Località.

Puoi scoprire di più sulla scelta del tipo di località migliore.

Per Cloud KMS sono disponibili i seguenti tipi di località:

Località a singola regione: i data center di una località a singola regione si trovano in una posizione geografica specifica. Ad esempio, una risorsa creata nella regione us-central1 si trova negli Stati Uniti centrali.
Località multiregionali: i data center di una località multiregionale sono distribuiti su un'ampia area geografica. Ad esempio, una risorsa creata nella regione multiregionale europe viene mantenuta in più data center all'interno dell'Unione Europea. Non puoi scegliere quali data center all'interno della multiregione conterranno i tuoi dati.
Località globale: la località global è una multiregione speciale. I suoi data center sono distribuiti in tutto il mondo. Non puoi scegliere quali data center all'interno della multiregione globale conterranno i tuoi dati.

Scegliere il tipo di località migliore

In generale, progetta l'applicazione in modo che tutti i suoi componenti siano vicini tra loro geograficamente e ai client dell'applicazione. La posizione delle chiavi è un aspetto importante della progettazione dell'applicazione. Dopo la creazione, una chiave non può essere spostata o esportata.

Quando utilizzi una località multiregionale, ad esempio la multiregione europe, le risorse vengono mantenute in più data center distribuiti nella multiregione. La creazione e l'aggiornamento delle chiavi in località multiregionali, inclusa la località global, potrebbero essere meno efficienti rispetto all'utilizzo di una località con una sola regione. Per saperne di più, consulta Lettura e scrittura in località multiregionali.

Utilizza la posizione global se tutte le seguenti condizioni sono vere:

I componenti dell'applicazione vengono distribuiti a livello globale.
Esegui letture o scritture poco frequenti, ma utilizzi spesso altre operazioni crittografiche.
Le tue chiavi non hanno requisiti di residenza geografica.
Non utilizzi chiavi esterne.

Per le integrazioni delle chiavi di crittografia gestite dal cliente (CMEK), devi utilizzare la stessa posizione esatta delle altre risorse correlate all'integrazione. Alcune integrazioni CMEK non supportano la località global. Per saperne di più sulle integrazioni CMEK, consulta Chiavi di crittografia gestite dal cliente (CMEK).

Le risorse Cloud EKM si basano sulla connettività tra Google Cloud e un Key Management Service esterno, al di fuori di Google Cloud. Per le risorse Cloud External Key Manager, seleziona una località geograficamente il più vicina possibile alla località in cui le chiavi sono archiviate neKey Management Servicevi esterne.

Cloud HSM dipende dalla disponibilità di hardware fisico nei data center di una località. Per le risorse Cloud HSM, seleziona una località che supporti Cloud HSM.

Le risorse Cloud HSM hanno quote specifiche per la località. Le quote di Cloud KMS sono globali.

Le località multiregionali hanno quote separate, indipendenti da quelle delle località a singola regione. Ad esempio, per creare risorse Cloud HSM nella multiregione eur5, devi avere una quota HSM in eur5, anche se hai già una quota nelle singole regioni che partecipano a eur5, come europe-west2.

Lettura e scrittura in località multiregionali

La lettura e la scrittura di risorse o metadati associati in località multiregionali, inclusa la località global, potrebbero essere più lente rispetto alla lettura o alla scrittura da una singola regione.

Quando crei o leggi le versioni delle chiavi, è sempre necessario il consenso tra i data center che archiviano il materiale della chiave. Le letture e le scritture in una singola regione sono spesso più efficienti di quelle in una località multiregionale.
Quando esegui operazioni di crittografia, ad esempio quando cripti o decripti i dati, non è necessario il consenso. Per le operazioni di crittografia, le località multiregionali si comportano in modo simile alle località di una singola regione.
Quando memorizzi le chiavi in una o più località geograficamente vicine ai dati che proteggono o convalidano, le operazioni crittografiche sono in genere più efficienti.

I compromessi tra prestazioni e disponibilità sono unici per ogni applicazione. Le località multiregionali, inclusa global, sono più adatte ai workload con molte operazioni di lettura.

Determinazione delle regioni disponibili

Puoi utilizzare Google Cloud CLI o l'API Cloud Key Management Service per ottenere un elenco delle regioni disponibili.

gcloud

gcloud kms locations list

Nell'output del comando, la colonna HSM_AVAILABLE indica se la località supporta Cloud HSM. La colonna EKM_AVAILABLE indica se la località supporta Cloud External Key Manager. Tieni presente che le chiavi EKM tramite VPC sono attualmente disponibili solo in località regionali.

API

Utilizza i metodi Locations.get e Locations.list.

Le risposte di entrambi questi metodi includono campi booleani relativi alle funzionalità di una località:

Se una località supporta le chiavi Cloud HSM multi-tenant, hsmAvailable è true.
Se una località supporta le chiavi Cloud EKM, ekmAvailable è true.

Passaggi successivi

Scopri di più su aree geografiche e regioni in Google Cloud.
Consulta l'elenco completo delle località cloud.

Località di Cloud KMS Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.