בתוך פרויקט, אפשר ליצור משאבים של Cloud Key Management Service באחד מתוך הרבה מיקומים. הם מייצגים את האזורים הגיאוגרפיים שבהם מאוחסן משאב Cloud KMS ושאפשר לגשת אליו. המיקום של המפתח משפיע על הביצועים של אפליקציות שמשתמשות במפתח.
חומר המפתח של מפתחות Cloud KMS ו-Cloud HSM מוגבל לאזור שנבחר בזמן שהוא במנוחה ובשימוש.
התמיכה ברמות הגנה שונות משתנה בהתאם לאזור:
-
SOFTWARE: אפשר ליצור מפתחות תוכנה בכל המיקומים של Cloud KMS. -
HSM: אפשר ליצור מפתחות Cloud HSM מרובי-דיירים ברוב המיקומים ב-Cloud KMS. כדי לראות את המיקומים שבהם אפשר ליצור מפתחות Cloud HSM עם דיירים מרובים, בוחרים באפשרות Supports multi-tenant HSM (תמיכה ב-HSM עם דיירים מרובים) במסנן HSM support (תמיכה ב-HSM). -
HSM_SINGLE_TENANT: אפשר ליצור מפתחות Cloud HSM של דייר יחיד במיקומים נבחרים ב-Cloud KMS. כדי לראות את המיקומים שבהם אפשר ליצור מפתחות Cloud HSM עם דייר יחיד, בוחרים באפשרות Supports single-tenant HSM (תמיכה ב-HSM עם דייר יחיד) במסנן HSM support (תמיכה ב-HSM). -
EXTERNAL: אפשר ליצור מפתחות Cloud EKM ברוב המיקומים של Cloud KMS, אם יש גישה ל-EKM דרך האינטרנט. כדי לראות מיקומים שבהם אפשר ליצור מפתחות Cloud EKM באינטרנט, בוחרים באפשרות EKM by internet (EKM באינטרנט) במסנן EKM support (תמיכה ב-EKM). -
EXTERNAL_VPC: אפשר ליצור מפתחות Cloud EKM שניתן לגשת אליהם ב-EKM דרך VPC ברוב המיקומים של Cloud KMS. כדי לראות את המיקומים שבהם אפשר ליצור מפתחות Cloud EKM דרך VPC, בוחרים באפשרות EKM by VPC (EKM דרך VPC) במסנן EKM support (תמיכה ב-EKM).
בטבלאות הבאות מפורטים המיקומים שזמינים לשימוש ב-Cloud KMS בחלקים שונים בעולם. אפשר לסנן את המיקומים האלה לפי סוג המיקום, תמיכה ב-Cloud HSM ותמיכה ב-Cloud EKM:
אמריקה
| שם המיקום | סוג מיקום | תיאור המיקום | Cloud HSM זמין | Cloud EKM זמין |
|---|---|---|---|---|
ca |
במספר אזורים | כל האזורים בקנדה | רק חשבונות עם מספר אתרי מכירה | כן |
nam3 |
במספר אזורים | צפון וירג'יניה ודרום קרוליינה | רק חשבונות עם מספר אתרי מכירה | כן |
nam4 |
במספר אזורים | איווה, דרום קרוליינה ואוקלהומה | רק חשבונות עם מספר אתרי מכירה | כן |
nam6 |
במספר אזורים | איווה ודרום קרוליינה | רק חשבונות עם מספר אתרי מכירה | כן |
nam7 |
במספר אזורים | איווה, צפון וירג'יניה ואוקלהומה | רק חשבונות עם מספר אתרי מכירה | כן |
nam8 |
במספר אזורים | לוס אנג'לס, אורגון וסולט לייק סיטי | רק חשבונות עם מספר אתרי מכירה | כן |
nam9 |
במספר אזורים | צפון וירג'יניה ואיווה | רק חשבונות עם מספר אתרי מכירה | כן |
nam10 |
במספר אזורים | איווה, סולט לייק סיטי ואוקלהומה | רק חשבונות עם מספר אתרי מכירה | כן |
nam11 |
במספר אזורים | איווה, דרום קרוליינה ואוקלהומה | רק חשבונות עם מספר אתרי מכירה | כן |
nam12 |
במספר אזורים | איווה, צפון וירג'יניה, אוקלהומה ואורגון | רק חשבונות עם מספר אתרי מכירה | כן |
northamerica-northeast1 |
אזור | מונטריאול | רק חשבונות עם מספר אתרי מכירה | כן |
northamerica-northeast2 |
אזור | טורונטו | רק חשבונות עם מספר אתרי מכירה | כן |
northamerica-south1 |
אזור | מקסיקו | רק חשבונות עם מספר אתרי מכירה | לא |
southamerica-east1 |
אזור | סאו פאולו | רק חשבונות עם מספר אתרי מכירה | כן |
southamerica-west1 |
אזור | סנטיאגו | רק חשבונות עם מספר אתרי מכירה | כן |
us |
במספר אזורים | מספר אזורים בארצות הברית | רק חשבונות עם מספר אתרי מכירה | כן |
us-central1 |
אזור | איווה | כן | כן |
us-east1 |
אזור | דרום קרוליינה | רק חשבונות עם מספר אתרי מכירה | כן |
us-east4 |
אזור | צפון וירג'יניה | כן | כן |
us-east5 |
אזור | קולומבוס | רק חשבונות עם מספר אתרי מכירה | כן |
us-west1 |
אזור | אורגון | רק חשבונות עם מספר אתרי מכירה | כן |
us-west2 |
אזור | לוס אנג'לס | רק חשבונות עם מספר אתרי מכירה | כן |
us-west3 |
אזור | סולט לייק סיטי | רק חשבונות עם מספר אתרי מכירה | כן |
us-west4 |
אזור | לאס וגאס | רק חשבונות עם מספר אתרי מכירה | כן |
us-south1 |
אזור | דאלאס | רק חשבונות עם מספר אתרי מכירה | כן |
אסיה-פסיפיק
| שם המיקום | סוג מיקום | תיאור המיקום | Cloud HSM זמין | Cloud EKM זמין |
|---|---|---|---|---|
asia |
במספר אזורים | טייוואן, מומבאי וסינגפור | רק חשבונות עם מספר אתרי מכירה | כן |
asia1 |
במספר אזורים | טוקיו, אוסקה וסיאול | רק חשבונות עם מספר אתרי מכירה | כן |
asia-east1 |
אזור | טייוואן | רק חשבונות עם מספר אתרי מכירה | כן |
asia-east2 |
אזור | הונג קונג | רק חשבונות עם מספר אתרי מכירה | כן |
asia-northeast1 |
אזור | טוקיו | רק חשבונות עם מספר אתרי מכירה | כן |
asia-northeast2 |
אזור | אוסקה | רק חשבונות עם מספר אתרי מכירה | כן |
asia-northeast3 |
אזור | סיאול | רק חשבונות עם מספר אתרי מכירה | כן |
asia-south1 |
אזור | מומבאי | כן | כן |
asia-south2 |
אזור | דלהי | רק חשבונות עם מספר אתרי מכירה | כן |
asia-southeast1 |
אזור | סינגפור | רק חשבונות עם מספר אתרי מכירה | כן |
asia-southeast2 |
אזור | ג'קארטה | רק חשבונות עם מספר אתרי מכירה | כן |
asia-southeast3 |
אזור | בנגקוק | רק חשבונות עם מספר אתרי מכירה | לא |
au |
במספר אזורים | כל האזורים באוסטרליה | רק חשבונות עם מספר אתרי מכירה | כן |
australia-southeast1 |
אזור | סידני | רק חשבונות עם מספר אתרי מכירה | כן |
australia-southeast2 |
אזור | מלבורן | רק חשבונות עם מספר אתרי מכירה | כן |
in |
במספר אזורים | כל האזורים בהודו | רק חשבונות עם מספר אתרי מכירה | כן |
אירופה, המזרח התיכון
ואפריקה
| שם המיקום | סוג מיקום | תיאור המיקום | Cloud HSM זמין | Cloud EKM זמין |
|---|---|---|---|---|
africa-south1 |
אזור | יוהנסבורג | רק חשבונות עם מספר אתרי מכירה | כן |
de |
במספר אזורים | כל האזורים בגרמניה | רק חשבונות עם מספר אתרי מכירה | כן |
eur3 |
במספר אזורים | בלגיה והולנד | רק חשבונות עם מספר אתרי מכירה | כן |
eur4 |
במספר אזורים | פינלנד, הולנד ובלגיה | רק חשבונות עם מספר אתרי מכירה | כן |
eur5 |
במספר אזורים | לונדון, הולנד ובלגיה | רק חשבונות עם מספר אתרי מכירה | כן |
eur6 |
במספר אזורים | הולנד, פרנקפורט וציריך | רק חשבונות עם מספר אתרי מכירה | כן |
eur7 |
במספר אזורים | לונדון, פרנקפורט וברלין | לא | כן |
eur8 |
במספר אזורים | ציריך, פרנקפורט וברלין | לא | כן |
europe |
במספר אזורים | כל האזורים באיחוד האירופי1 | רק חשבונות עם מספר אתרי מכירה | כן |
europe-central2 |
אזור | ורשה | רק חשבונות עם מספר אתרי מכירה | כן |
europe-north1 |
אזור | פינלנד | רק חשבונות עם מספר אתרי מכירה | כן |
europe-north2 |
אזור | שטוקהולם | רק חשבונות עם מספר אתרי מכירה | כן |
europe-southwest1 |
אזור | מדריד | רק חשבונות עם מספר אתרי מכירה | כן |
europe-west1 |
אזור | בלגיה | כן | כן |
europe-west2 |
אזור | לונדון | רק חשבונות עם מספר אתרי מכירה | כן |
europe-west3 |
אזור | פרנקפורט | כן | כן |
europe-west4 |
אזור | הולנד | כן | כן |
europe-west6 |
אזור | ציריך | רק חשבונות עם מספר אתרי מכירה | כן |
europe-west8 |
אזור | מילאנו | רק חשבונות עם מספר אתרי מכירה | כן |
europe-west9 |
אזור | פריז | כן | כן |
europe-west10 |
אזור | ברלין | רק חשבונות עם מספר אתרי מכירה | כן |
europe-west12 |
אזור | טורינו | רק חשבונות עם מספר אתרי מכירה | כן |
it |
במספר אזורים | כל האזורים באיטליה | רק חשבונות עם מספר אתרי מכירה | כן |
me-central1 |
אזור | דוחה | רק חשבונות עם מספר אתרי מכירה | כן |
me-central2 |
אזור | דמאם | רק חשבונות עם מספר אתרי מכירה | כן |
me-west1 |
אזור | תל אביב | כן | כן |
europe לא מאוחסנים במרכזי הנתונים europe-west2 (לונדון) או europe-west6 (ציריך).
ברחבי העולם
| שם המיקום | סוג מיקום | תיאור המיקום | Cloud HSM זמין | Cloud EKM זמין |
|---|---|---|---|---|
global |
במספר אזורים | עולמי | רק חשבונות עם מספר אתרי מכירה | לא |
nam-eur-asia1 |
במספר אזורים | צפון אמריקה, אירופה ואסיה (איווה, אוקלהומה, בלגיה וטייוואן) |
רק חשבונות עם מספר אתרי מכירה | לא |
סוגי מיקומים ב-Cloud KMS
אתם יכולים ליצור משאבי Cloud KMS, Cloud HSM ו-Cloud EKM בסוגים שונים של מיקומים ב- Google Cloud, בהתאם לדרישות הזמינות שלכם. אנחנו מוסיפים מיקומים באופן קבוע. מידע ספציפי על כל מיקום זמין במאמר מיקומים.
מידע נוסף על בחירת סוג המיקום המתאים ביותר
סוגי המיקומים הבאים זמינים ב-Cloud KMS:
- מיקומים אזוריים: מרכזי הנתונים של מיקום אזורי נמצאים במקום גיאוגרפי ספציפי. לדוגמה, משאב שנוצר באזור
us-central1נמצא במרכז ארצות הברית. - מיקומים במספר אזורים: מפתחות של מיקומים במספר אזורים נבדלים באופן לוגי ממפתחות אזוריים, והם מאוחסנים פיזית במרכזי נתונים אזוריים מרובים ומוגשים מהם. לדוגמה, משאב שנוצר באזור
europeרב-אזורי נשמר בכל מרכזי הנתונים באיחוד האירופי. המפתחות שלכם מאוחסנים בכל מרכזי הנתונים של האזור המרובה. אי אפשר לבחור תת-קבוצה מתוך האזור המרובה. - המיקום הגלובלי: המיקום
globalהוא אזור מיוחד שכולל כמה אזורים. מרכזי הנתונים שלה מפוזרים ברחבי העולם. אי אפשר לבחור אילו מרכזי נתונים בתוך האזור הגלובלי הרב-אזורי יכילו את הנתונים שלכם.
בחירת סוג המיקום הטוב ביותר
ככלל, כדאי לתכנן את האפליקציה כך שכל הרכיבים שלה יהיו קרובים זה לזה מבחינה גיאוגרפית וקרובים ללקוחות של האפליקציה. המיקום של המפתחות הוא היבט חשוב בעיצוב האפליקציה. אחרי שיוצרים מפתח, אי אפשר להעביר או לייצא אותו.
כשמשתמשים במיקום במספר אזורים, כמו europe במספר אזורים, המשאבים נשמרים בכמה מרכזי נתונים שפזורים במספר האזורים.
יכול להיות שיהיה פחות יעיל ליצור ולעדכן מפתחות במיקומים במספר אזורים, כולל המיקום global, מאשר להשתמש במיקום באזור יחיד. מידע נוסף זמין במאמר בנושא קריאה ממיקומים מרובי-אזורים וכתיבה למיקומים מרובי-אזורים.
משתמשים במיקום global אם כל התנאים הבאים מתקיימים:
- הרכיבים של האפליקציה מופצים באופן גלובלי.
- אתם מבצעים קריאות או כתיבות לעיתים רחוקות, אבל משתמשים בפעולות קריפטוגרפיות אחרות לעיתים קרובות.
- אין דרישות לגבי מיקום גיאוגרפי של המפתחות.
- אתם לא משתמשים במקשים חיצוניים.
בשילובים של מפתחות הצפנה בניהול הלקוח (CMEK), צריך להשתמש באותו מיקום בדיוק כמו במשאבים אחרים שקשורים לשילוב. חלק מהשילובים של CMEK לא תומכים במיקום global. מידע נוסף על שילובי CMEK זמין במאמר בנושא מפתחות הצפנה בניהול הלקוח (CMEK).
משאבי Cloud EKM מסתמכים על קישוריות בין Google Cloud לבין שירות חיצוני לניהול מפתחות, מחוץ ל- Google Cloud. למשאבי Cloud External Key Manager, בוחרים מיקום גיאוגרפי שקרוב ככל האפשר למיקום שבו המפתחות מאוחסנים בשירות החיצוני לניהול מפתחות.
שירות Cloud HSM תלוי בזמינות של חומרה פיזית במרכזי הנתונים של מיקום מסוים. למשאבי Cloud HSM, בוחרים מיקום שתומך ב-Cloud HSM.
למשאבי Cloud HSM יש מכסות ספציפיות למיקום. המכסות של Cloud KMS הן גלובליות.
למיקומים מרובי-אזורים יש מכסות נפרדות, שלא תלויות במכסות של מיקומים באזור יחיד. לדוגמה, כדי ליצור משאבי Cloud HSM באזור eur5 שכולל מספר אזורים, צריך מכסת HSM ב-eur5, גם אם כבר יש מכסה באזורים הבודדים שמשתתפים ב-eur5, כמו europe-west2.
קריאה ממיקומים שנמצאים במספר אזורים וכתיבה למיקומים כאלה
קריאה וכתיבה של משאבים או מטא-נתונים משויכים במיקומים במספר אזורים, כולל המיקום global, עשויות להיות איטיות יותר מקריאה או כתיבה מאזור יחיד.
- כשיוצרים גרסאות מפתח או קוראים אותן, תמיד נדרש קונצנזוס בין מרכזי הנתונים שבהם מאוחסן חומר המפתח. קריאות וכתיבות לאזור יחיד הן לרוב יעילות יותר מאלה שמתבצעות למיקום מרובה אזורים.
- כשמבצעים פעולות קריפטוגרפיות, כמו הצפנה או פענוח של נתונים, לא נדרש קונצנזוס. בפעולות קריפטוגרפיות, מיקומים במספר אזורים מתנהגים באופן דומה למיקומים באזור יחיד.
- כשמאחסנים את המפתחות במיקום או במיקומים שקרובים גיאוגרפית לנתונים שהם מגנים עליהם או מאמתים אותם, הפעולות הקריפטוגרפיות בדרך כלל יעילות יותר.
הפשרות בין ביצועים לזמינות הן ייחודיות לכל אפליקציה. מיקומים במספר אזורים, כולל global, מתאימים במיוחד לעומסי עבודה שכוללים הרבה פעולות קריאה.
קביעת האזורים הזמינים
אפשר להשתמש ב-Google Cloud CLI או ב-Cloud Key Management Service API כדי לקבל רשימה של אזורים זמינים.
gcloud
gcloud kms locations list
בעמודה HSM_AVAILABLE בפלט מהפקודה, מצוין אם המיקום תומך ב-Cloud HSM. בעמודה EKM_AVAILABLE מצוין אם המיקום תומך ב-Cloud External Key Manager. הערה: נכון לעכשיו, EKM באמצעות מפתחות VPC זמין רק במיקומים אזוריים.
REST
משתמשים בשיטות Locations.get ו-Locations.list.
התשובות משתי השיטות האלה כוללות שדות בוליאניים שקשורים ליכולות של מיקום:
אם מיקום תומך במפתחות Cloud HSM רב-דיירים, הערך של
hsmAvailableהואtrue.אם מיקום תומך במפתחות Cloud EKM, הערך של
ekmAvailableהואtrue.
המאמרים הבאים
- מידע נוסף על מיקום גיאוגרפי ואזורים ב- Google Cloud
- הרשימה המלאה של מיקומי הענן