プロジェクト内では、Cloud Key Management Service のリソースは、多数あるロケーションの 1 つに作成できます。このロケーションは、Cloud KMS リソースが保存されアクセスされる地理的な場所を表しています。鍵のロケーションは、その鍵を使用するアプリケーションのパフォーマンスに影響を与えます。
Cloud KMS 鍵と Cloud HSM 鍵の鍵マテリアルは、保存時と使用中に選択したリージョンに固定されます。
さまざまな保護レベルのサポートはリージョンによって異なります。
SOFTWARE: ソフトウェア鍵は、すべての Cloud KMS ロケーションで作成できます。HSM: マルチテナント Cloud HSM 鍵は、ほとんどの Cloud KMS ロケーションで作成できます。マルチテナント Cloud HSM 鍵を作成できるロケーションを表示するには、[HSM のサポート] フィルタで [マルチテナント HSM をサポート] を選択します。HSM_SINGLE_TENANT: 単一テナント Cloud HSM 鍵は、選択した Cloud KMS ロケーションで作成できます。単一テナント Cloud HSM 鍵を作成できるロケーションを表示するには、[HSM サポート] フィルタで [単一テナント HSM をサポート] を選択します。EXTERNAL: EKM がインターネット経由でアクセスされる Cloud EKM 鍵は、ほとんどの Cloud KMS ロケーションで作成できます。インターネット経由で Cloud EKM 鍵を作成できるロケーションを表示するには、[EKM サポート] フィルタで [インターネット経由の EKM] を選択します。EXTERNAL_VPC: VPC 経由で EKM にアクセスする Cloud EKM 鍵は、ほとんどの Cloud KMS ロケーションで作成できます。VPC 経由で Cloud EKM 鍵を作成できるロケーションを表示するには、[EKM サポート] フィルタで [VPC による EKM] を選択します。
次の表は、世界のさまざまな地域で Cloud KMS で使用できるロケーションのリストです。これらのロケーションは、ロケーション タイプ、Cloud HSM のサポート、Cloud EKM のサポートでフィルタできます。
南北アメリカ
| 場所の名称 | 地域タイプ | ロケーションの説明 | Cloud HSM を利用可能 | Cloud EKM を利用可能 |
|---|---|---|---|---|
ca |
マルチリージョン | カナダの複数のリージョン | マルチテナントのみ | はい |
nam3 |
マルチリージョン | 北バージニアとサウスカロライナ | マルチテナントのみ | はい |
nam4 |
マルチリージョン | アイオワ、サウスカロライナ、オクラホマ | マルチテナントのみ | はい |
nam6 |
マルチリージョン | アイオワとサウスカロライナ | マルチテナントのみ | はい |
nam7 |
マルチリージョン | アイオワ、北バージニア、オクラホマ | マルチテナントのみ | はい |
nam8 |
マルチリージョン | ロサンゼルス、オレゴン、ソルトレイクシティ | マルチテナントのみ | はい |
nam9 |
マルチリージョン | 北バージニアとアイオワ | マルチテナントのみ | はい |
nam10 |
マルチリージョン | アイオワ、ソルトレイクシティ、オクラホマ | マルチテナントのみ | はい |
nam11 |
マルチリージョン | アイオワ、サウスカロライナ、オクラホマ | マルチテナントのみ | はい |
nam12 |
マルチリージョン | アイオワ、北バージニア、オクラホマ、オレゴン | マルチテナントのみ | はい |
northamerica-northeast1 |
地域 | モントリオール | マルチテナントのみ | はい |
northamerica-northeast2 |
地域 | トロント | マルチテナントのみ | はい |
northamerica-south1 |
地域 | メキシコ | マルチテナントのみ | いいえ |
southamerica-east1 |
地域 | サンパウロ | マルチテナントのみ | はい |
southamerica-west1 |
地域 | サンチアゴ | マルチテナントのみ | はい |
us |
マルチリージョン | 米国内の複数のリージョン | マルチテナントのみ | はい |
us-central1 |
地域 | アイオワ | はい | はい |
us-east1 |
地域 | サウスカロライナ | マルチテナントのみ | はい |
us-east4 |
地域 | 北バージニア | はい | はい |
us-east5 |
地域 | コロンバス | マルチテナントのみ | はい |
us-west1 |
地域 | オレゴン | マルチテナントのみ | はい |
us-west2 |
地域 | ロサンゼルス | マルチテナントのみ | はい |
us-west3 |
地域 | ソルトレイクシティ | マルチテナントのみ | はい |
us-west4 |
地域 | ラスベガス | マルチテナントのみ | はい |
us-south1 |
地域 | ダラス | マルチテナントのみ | はい |
アジア太平洋
| 場所の名称 | 地域タイプ | ロケーションの説明 | Cloud HSM を利用可能 | Cloud EKM を利用可能 |
|---|---|---|---|---|
asia |
マルチリージョン | アジアの複数のリージョン | マルチテナントのみ | はい |
asia1 |
マルチリージョン | 東京、大阪、ソウル | マルチテナントのみ | はい |
asia-east1 |
地域 | 台湾 | マルチテナントのみ | はい |
asia-east2 |
地域 | 香港 | マルチテナントのみ | はい |
asia-northeast1 |
地域 | 東京 | マルチテナントのみ | はい |
asia-northeast2 |
地域 | 大阪 | マルチテナントのみ | はい |
asia-northeast3 |
地域 | ソウル | マルチテナントのみ | はい |
asia-south1 |
地域 | ムンバイ | マルチテナントのみ | はい |
asia-south2 |
地域 | デリー | マルチテナントのみ | はい |
asia-southeast1 |
地域 | シンガポール | マルチテナントのみ | はい |
asia-southeast2 |
地域 | ジャカルタ | マルチテナントのみ | はい |
au |
マルチリージョン | オーストラリアの複数のリージョン | マルチテナントのみ | はい |
australia-southeast1 |
地域 | シドニー | マルチテナントのみ | はい |
australia-southeast2 |
地域 | メルボルン | マルチテナントのみ | はい |
in |
マルチリージョン | インドの複数のリージョン | マルチテナントのみ | はい |
ヨーロッパ、中東、
アフリカ
| 場所の名称 | 地域タイプ | ロケーションの説明 | Cloud HSM を利用可能 | Cloud EKM を利用可能 |
|---|---|---|---|---|
africa-south1 |
地域 | ヨハネスブルグ | マルチテナントのみ | はい |
de |
マルチリージョン | ドイツの複数のリージョン | マルチテナントのみ | はい |
eur3 |
マルチリージョン | ベルギーとオランダ | マルチテナントのみ | はい |
eur4 |
マルチリージョン | フィンランド、オランダ、ベルギー | マルチテナントのみ | はい |
eur5 |
マルチリージョン | ロンドン、オランダ、ベルギー | マルチテナントのみ | はい |
eur6 |
マルチリージョン | オランダ、フランクフルト、チューリッヒ | マルチテナントのみ | はい |
eur7 |
マルチリージョン | ロンドン、フランクフルト、ベルリン | いいえ | はい |
eur8 |
マルチリージョン | チューリッヒ、フランクフルト、ベルリン | いいえ | はい |
europe |
マルチリージョン | EU 内の複数のリージョン1 | マルチテナントのみ | はい |
europe-central2 |
地域 | ワルシャワ | マルチテナントのみ | はい |
europe-north1 |
地域 | フィンランド | マルチテナントのみ | はい |
europe-north2 |
地域 | ストックホルム | マルチテナントのみ | はい |
europe-southwest1 |
地域 | マドリッド | マルチテナントのみ | はい |
europe-west1 |
地域 | ベルギー | はい | はい |
europe-west2 |
地域 | ロンドン | マルチテナントのみ | はい |
europe-west3 |
地域 | フランクフルト | マルチテナントのみ | はい |
europe-west4 |
地域 | オランダ | はい | はい |
europe-west6 |
地域 | チューリッヒ | マルチテナントのみ | はい |
europe-west8 |
地域 | Milan | マルチテナントのみ | はい |
europe-west9 |
地域 | パリ | マルチテナントのみ | はい |
europe-west10 |
地域 | ベルリン | マルチテナントのみ | はい |
europe-west12 |
地域 | トリノ | マルチテナントのみ | はい |
it |
マルチリージョン | イタリアの各リージョン | マルチテナントのみ | はい |
me-central1 |
地域 | ドーハ | マルチテナントのみ | はい |
me-central2 |
地域 | ダンマーム | マルチテナントのみ | はい |
me-west1 |
地域 | テルアビブ | マルチテナントのみ | はい |
europe マルチリージョンで作成されたリソースは europe-west2(ロンドン)データセンターまたは europe-west6(チューリッヒ)データセンターには保存されません。すべての国
| 場所の名称 | 地域タイプ | ロケーションの説明 | Cloud HSM を利用可能 | Cloud EKM を利用可能 |
|---|---|---|---|---|
global |
マルチリージョン | グローバル | マルチテナントのみ | いいえ |
nam-eur-asia1 |
マルチリージョン | 北アメリカ、ヨーロッパ、アジア (アイオワ、オクラホマ、ベルギー、台湾) |
マルチテナントのみ | いいえ |
Cloud KMS のロケーションの種類
Cloud KMS、Cloud HSM、Cloud EKM のリソースは、可用性の要件に応じて、 Google Cloudのさまざまなロケーションの種類に作成できます。ロケーションは定期的に追加されます。各ロケーションの具体的な情報については、ロケーションをご覧ください。
詳細については、最適なロケーションの種類を選ぶをご覧ください。
Cloud KMS では、次のロケーション タイプを使用できます。
- リージョンのロケーション: リージョン ロケーションのデータセンターは、地理的に具体的な場所に配置されます。たとえば、
us-central1リージョンで作成されるリソースは、米国中部に配置されます。 - マルチリージョンのロケーション: マルチリージョンのロケーションのデータセンターは、広い地理的エリアに分散しています。たとえば、
europeマルチリージョンで作成されるリソースは、欧州連合内の複数のデータセンターに存在します。マルチリージョン内のどのデータセンターにデータを格納するかを選択することはできません。 - グローバル ロケーション:
globalロケーションは特別なマルチリージョンです。このロケーションのデータセンターは、世界中に広がっています。グローバル マルチリージョン内のどのデータセンターにデータを格納するかを選択することはできません。
最適なロケーションのタイプの選択
原則として、すべてのコンポーネントが地理的に近く、アプリケーションのクライアントの近くに存在するようにアプリケーションを設計します。鍵の場所はアプリケーションの設計の重要な側面です。作成後、鍵を移動したりエクスポートしたりできません。
europe マルチリージョンなど、マルチリージョン ロケーションを使用する場合、リソースはマルチリージョン全体に広がる複数のデータセンターで保持されます。global ロケーションを含むマルチリージョン ロケーションで鍵の作成および更新を行うと、シングルリージョン ロケーションを使用する場合よりも効率が下がる可能性があります。詳細については、マルチリージョン ロケーションの読み取りと書き込みをご覧ください。
次のすべてに該当する場合は、global ロケーションを使用します。
- アプリケーションのコンポーネントがグローバルに分散している。
- 読み取りまたは書き込みの頻度が低いが、他の暗号オペレーションを頻繁に使用している。
- 鍵に地域別の要件がない。
- 外部鍵を使用していない。
顧客管理の暗号鍵(CMEK)統合では、統合に関連するその他のリソースと同じロケーションを使用する必要があります。一部の CMEK 統合では、global ロケーションはサポートされていません。CMEK の統合の詳細については、顧客管理の暗号鍵(CMEK)をご覧ください。
Cloud EKM リソースは、 Google Cloud と Google Cloud以外の外部鍵管理サービスとの間の接続性に依存します。Cloud External Key Manager のリソースの場合は、外部の鍵管理サービスで鍵が格納されているロケーションに可能な限り近いロケーションを選択します。
Cloud HSM は、ロケーションのデータセンターにある物理的なハードウェアの可用性に依存します。Cloud HSM リソースの場合は、Cloud HSM がサポートされるロケーションを選択します。
Cloud HSM リソースには、ロケーション固有の割り当てがあります。 Cloud KMS の割り当てはグローバルです。
マルチリージョンのロケーションには、シングル リージョンのロケーションの割り当てとは独立した、別の割り当てがあります。たとえば、Cloud HSM リソースを eur5 マルチリージョンに作成する場合、europe-west2 など、eur5 に参加している単一リージョンにすでに割り当てている場合でも、eur5 に HSM を割り当てる必要があります。
マルチリージョン ロケーションの読み取りと書き込み
global ロケーションを含むマルチリージョンのリソースや関連メタデータの読み取りと書き込みは、シングル リージョンから読み書きするよりも処理速度が遅くなることがあります。
- 鍵バージョンを作成または読み込む場合、鍵マテリアルを格納するデータセンター間で常に合意が必要です。シングル リージョンの読み取りと書き込みは、多くの場合、マルチリージョンのロケーションよりも効率的です。
- データの暗号化や復号などの暗号オペレーションを実行する場合、合意は不要です。暗号オペレーションでは、マルチリージョンのロケーションは、シングル リージョンのロケーションと同じ様に機能します。
- 保護や検証をするデータに地理的に近いロケーションに鍵を保存すると、通常は暗号オペレーションがより効率的になります。
パフォーマンスと可用性のトレードオフは、アプリケーションごとに異なります。global などのマルチリージョンのロケーションは、読み取り負荷の高いワークロードに適しています。
利用可能なリージョンの確認
利用可能なリージョンのリストは、Google Cloud CLI または Cloud Key Management Service API を使用して取得できます。
gcloud
gcloud kms locations list
このコマンドの出力の HSM_AVAILABLE 列で、ロケーションで Cloud HSM がサポートされているかどうかがわかります。EKM_AVAILABLE 列で、そのロケーションが Cloud External Key Manager をサポートしているかどうかがわかります。注: VPC 鍵経由の EKM は現在、リージョンのロケーションでのみ使用できます。
API
Locations.get メソッドと Locations.list メソッドを使用します。methods.
どちらのメソッドからのレスポンスにも、ロケーションの機能に関連するブール値フィールドがあります。
ロケーションでマルチテナント Cloud HSM 鍵がサポートされている場合、
hsmAvailableはtrueです。ロケーションで Cloud EKM 鍵がサポートされている場合、
ekmAvailableはtrueです。
次のステップ
- Google Cloudの地域とリージョンの詳細を確認する。
- Cloud のロケーションの一覧をご覧ください。