Em um projeto, os recursos do Cloud Key Management Service podem ser criados em um dos vários locais. Elas representam as regiões geográficas onde um recurso do Cloud KMS é armazenado e pode ser acessado. O local de uma chave afeta o desempenho dos aplicativos que usam a chave.
O material das chaves do Cloud KMS e do Cloud HSM é restrito à região selecionada em repouso e em uso.
O suporte para diferentes níveis de proteção varia de acordo com a região:
SOFTWARE: as chaves de software podem ser criadas em todos os locais do Cloud KMS.HSM: as chaves do Cloud HSM multitenant podem ser criadas na maioria dos locais do Cloud KMS. Para conferir os locais em que é possível criar chaves do Cloud HSM multitenant, selecione Compatível com HSM multitenant no filtro Suporte a HSM.HSM_SINGLE_TENANT: as chaves do Cloud HSM de locatário único podem ser criadas em locais selecionados do Cloud KMS. Para conferir os locais em que é possível criar chaves de HSM de locatário único do Cloud, selecione Aceita HSM de locatário único no filtro Suporte a HSM.EXTERNAL: as chaves do Cloud EKM em que o EKM é acessado pela Internet podem ser criadas na maioria dos locais do Cloud KMS. Para conferir os locais em que é possível criar chaves do Cloud EKM pela Internet, selecione EKM pela Internet no filtro Suporte do EKM.EXTERNAL_VPC: as chaves do Cloud EKM em que o EKM é acessado por uma VPC podem ser criadas na maioria dos locais do Cloud KMS. Para ver os locais em que é possível criar chaves do Cloud EKM em uma VPC, selecione EKM por VPC no filtro Suporte do EKM.
As tabelas a seguir listam os locais disponíveis para uso no Cloud KMS em diferentes partes do mundo. É possível filtrar esses locais por tipo de local, suporte do Cloud HSM e suporte do Cloud EKM:
Américas
| Nome do local | Tipo de local | Descrição do local | Cloud HSM disponível | Cloud EKM disponível |
|---|---|---|---|---|
ca |
Multirregional | Várias regiões no Canadá | Somente multilocatário | Sim |
nam3 |
Multirregional | Norte da Virgínia e Carolina do Sul | Somente multilocatário | Sim |
nam4 |
Multirregional | Iowa, Carolina do Sul e Oklahoma | Somente multilocatário | Sim |
nam6 |
Multirregional | Iowa e Carolina do Sul | Somente multilocatário | Sim |
nam7 |
Multirregional | Iowa, Norte da Virgínia e Oklahoma | Somente multilocatário | Sim |
nam8 |
Multirregional | Los Angeles, Oregon e Salt Lake City | Somente multilocatário | Sim |
nam9 |
Multirregional | Norte da Virgínia e Iowa | Somente multilocatário | Sim |
nam10 |
Multirregional | Iowa, Salt Lake City e Oklahoma | Somente multilocatário | Sim |
nam11 |
Multirregional | Iowa, Carolina do Sul e Oklahoma | Somente multilocatário | Sim |
nam12 |
Multirregional | Iowa, Virgínia do Norte, Oklahoma e Oregon | Somente multilocatário | Sim |
northamerica-northeast1 |
Região: | Montreal | Somente multilocatário | Sim |
northamerica-northeast2 |
Região: | Toronto | Somente multilocatário | Sim |
northamerica-south1 |
Região: | México | Somente multilocatário | Não |
southamerica-east1 |
Região: | São Paulo | Somente multilocatário | Sim |
southamerica-west1 |
Região: | Santiago | Somente multilocatário | Sim |
us |
Multirregional | Várias regiões nos Estados Unidos | Somente multilocatário | Sim |
us-central1 |
Região: | Iowa | Sim | Sim |
us-east1 |
Região: | Carolina do Sul | Somente multilocatário | Sim |
us-east4 |
Região: | Norte da Virgínia | Sim | Sim |
us-east5 |
Região: | Columbus | Somente multilocatário | Sim |
us-west1 |
Região: | Oregon | Somente multilocatário | Sim |
us-west2 |
Região: | Los Angeles | Somente multilocatário | Sim |
us-west3 |
Região: | Salt Lake City | Somente multilocatário | Sim |
us-west4 |
Região: | Las Vegas | Somente multilocatário | Sim |
us-south1 |
Região: | Dallas | Somente multilocatário | Sim |
Ásia-Pacífico
| Nome do local | Tipo de local | Descrição do local | Cloud HSM disponível | Cloud EKM disponível |
|---|---|---|---|---|
asia |
Multirregional | Várias regiões na Ásia | Somente multilocatário | Sim |
asia1 |
Multirregional | Tóquio, Osaka e Seul | Somente multilocatário | Sim |
asia-east1 |
Região: | Taiwan | Somente multilocatário | Sim |
asia-east2 |
Região: | Hong Kong | Somente multilocatário | Sim |
asia-northeast1 |
Região: | Tóquio | Somente multilocatário | Sim |
asia-northeast2 |
Região: | Osaka | Somente multilocatário | Sim |
asia-northeast3 |
Região: | Seul | Somente multilocatário | Sim |
asia-south1 |
Região: | Mumbai | Somente multilocatário | Sim |
asia-south2 |
Região: | Délhi | Somente multilocatário | Sim |
asia-southeast1 |
Região: | Singapura | Somente multilocatário | Sim |
asia-southeast2 |
Região: | Jacarta | Somente multilocatário | Sim |
au |
Multirregional | Várias regiões na Austrália | Somente multilocatário | Sim |
australia-southeast1 |
Região: | Sydney | Somente multilocatário | Sim |
australia-southeast2 |
Região: | Melbourne | Somente multilocatário | Sim |
in |
Multirregional | Várias regiões na Índia | Somente multilocatário | Sim |
Europa, Oriente Médio e África
| Nome do local | Tipo de local | Descrição do local | Cloud HSM disponível | Cloud EKM disponível |
|---|---|---|---|---|
africa-south1 |
Região: | Johannesburgo | Somente multilocatário | Sim |
de |
Multirregional | Várias regiões na Alemanha | Somente multilocatário | Sim |
eur3 |
Multirregional | Bélgica e Países Baixos | Somente multilocatário | Sim |
eur4 |
Multirregional | Finlândia, Países Baixos e Bélgica | Somente multilocatário | Sim |
eur5 |
Multirregional | Londres, Países Baixos e Bélgica | Somente multilocatário | Sim |
eur6 |
Multirregional | Países Baixos, Frankfurt e Zurique | Somente multilocatário | Sim |
eur7 |
Multirregional | Londres, Frankfurt e Berlim | Não | Sim |
eur8 |
Multirregional | Zurique, Frankfurt e Berlim | Não | Sim |
europe |
Multirregional | Várias regiões na União Europeia1 | Somente multilocatário | Sim |
europe-central2 |
Região: | Varsóvia | Somente multilocatário | Sim |
europe-north1 |
Região: | Finlândia | Somente multilocatário | Sim |
europe-north2 |
Região: | Estocolmo | Somente multilocatário | Sim |
europe-southwest1 |
Região: | Madri | Somente multilocatário | Sim |
europe-west1 |
Região: | Bélgica | Sim | Sim |
europe-west2 |
Região: | Londres | Somente multilocatário | Sim |
europe-west3 |
Região: | Frankfurt | Somente multilocatário | Sim |
europe-west4 |
Região: | Países Baixos | Sim | Sim |
europe-west6 |
Região: | Zurique | Somente multilocatário | Sim |
europe-west8 |
Região: | Milão | Somente multilocatário | Sim |
europe-west9 |
Região: | Paris | Somente multilocatário | Sim |
europe-west10 |
Região: | Berlim | Somente multilocatário | Sim |
europe-west12 |
Região: | Turim | Somente multilocatário | Sim |
it |
Multirregional | Várias regiões na Itália | Somente multilocatário | Sim |
me-central1 |
Região: | Doha | Somente multilocatário | Sim |
me-central2 |
Região: | Damã | Somente multilocatário | Sim |
me-west1 |
Região: | Tel Aviv | Somente multilocatário | Sim |
europe não são
armazenados nos data centers europe-west2 (Londres) ou europe-west6
(Zurique).
Mundial
| Nome do local | Tipo de local | Descrição do local | Cloud HSM disponível | Cloud EKM disponível |
|---|---|---|---|---|
global |
Multirregional | Global | Somente multilocatário | Não |
nam-eur-asia1 |
Multirregional | América do Norte, Europa e Ásia (Iowa, Oklahoma, Bélgica e Taiwan) |
Somente multilocatário | Não |
Tipos de locais do Cloud KMS
É possível criar recursos do Cloud KMS, do Cloud HSM e do Cloud EKM em diferentes tipos de locais no Google Cloud, dependendo dos requisitos de disponibilidade. Os locais são adicionados regularmente. Para informações específicas sobre cada local, consulte Locais.
Saiba mais sobre como escolher o melhor tipo de local.
Os seguintes tipos de locais estão disponíveis para o Cloud KMS:
- Locais regionais: os datacenters de um local regional existem em um local geográfico específico. Por exemplo, um recurso criado na região
us-central1está localizado na região central dos Estados Unidos. - Locais multirregionais: os data centers de um local multirregional estão espalhados por uma grande área geográfica. Por exemplo, um recurso criado
na multirregião
europepersiste em vários data centers na União Europeia. Não é possível escolher quais data centers dentro da multirregião vão conter seus dados. - O local global: o local
globalé uma multirregião especial. Os data centers estão espalhados por todo o mundo. Não é possível escolher quais data centers na multirregião global vão conter seus dados.
Como escolher o melhor tipo de local
Como regra, projete seu aplicativo para que todos os seus componentes estejam geograficamente próximos uns dos outros e próximos aos clientes do seu aplicativo. O local das chaves é um aspecto importante do design do aplicativo. Após a criação, uma chave não pode ser movida ou exportada.
Ao usar um local multirregional, como a multirregião europe, os recursos permanecem em vários data centers espalhados pela multirregião.
Criar e atualizar chaves em locais multirregionais, incluindo o local global, pode ser menos eficiente do que usar um local de região única. Para mais informações, consulte Como ler e gravar em locais multirregionais.
Use o local global se todas as condições a seguir forem verdadeiras:
- Os componentes do seu aplicativo são distribuídos globalmente.
- Você tem leituras ou gravações pouco frequentes, mas usa outras operações criptográficas com frequência.
- Suas chaves não têm requisitos de residência geográfica.
- Você não está usando chaves externas.
Para integrações com chaves de criptografia gerenciadas pelo cliente (CMEK), use a mesma localização exata dos outros recursos relacionados à integração. Algumas integrações do CMEK não são compatíveis com o local global. Para mais informações sobre integrações de CMEK, consulte
Chaves de criptografia gerenciadas pelo cliente (CMEK).
Os recursos do Cloud EKM dependem da conectividade entre Google Cloud e um serviço de gerenciamento de chaves externas, fora de Google Cloud. Para recursos do Cloud External Key Manager, selecione um local geograficamente mais próximo possível do local onde as chaves são armazenadas no serviço de gerenciamento de chave externo.
O Cloud HSM depende da disponibilidade de hardware físico nos data centers de um local. Para recursos do Cloud HSM, selecione um local compatível com o Cloud HSM.
Os recursos do Cloud HSM têm cotas específicas do local. As cotas do Cloud KMS são globais.
Locais multirregionais têm cotas separadas, independentemente das cotas para locais únicos. Por exemplo, para criar recursos do Cloud HSM na multirregião eur5, você precisa ter uma cota de HSM em eur5, mesmo se já tiver uma cota nas regiões individuais que participam de eur5, como europe-west2.
Como ler e gravar em locais multirregionais
Ler e gravar recursos ou metadados associados em locais multirregionais, incluindo o local global, pode ser mais lento do que ler ou gravar de uma única região.
- Quando você cria ou lê versões de chave, o consenso é sempre exigido entre os data centers que armazenam o material da chave. As leituras e gravações em uma única região geralmente são mais eficientes do que aquelas em um local multirregional.
- Quando você realiza operações criptográficas, como ao criptografar ou descriptografar dados, o consenso não é necessário. Para operações criptográficas, os locais multirregionais têm um desempenho semelhante aos de região única.
- Quando você armazena as chaves em um local ou local geograficamente próximo aos dados que eles protegem ou validam, as operações criptográficas geralmente são mais eficientes.
As vantagens e desvantagens entre desempenho e disponibilidade são exclusivas para cada aplicativo. Os locais multirregionais, incluindo global, são mais adequados para cargas de trabalho de leitura intensa.
Como determinar as regiões disponíveis
Use a Google Cloud CLI ou a API Cloud Key Management Service para conferir uma lista de regiões disponíveis.
gcloud
gcloud kms locations list
Na saída do comando, a coluna HSM_AVAILABLE indica se o local é compatível com o Cloud HSM. A coluna EKM_AVAILABLE indica se o local é compatível com o gerenciador de chaves externas do Cloud. Observação: no momento, o EKM com chaves da VPC está disponível apenas em locais regionais.
API
Use os métodos Locations.get e Locations.list.
As respostas dos dois métodos incluem campos booleanos relacionados aos recursos de um local:
Se um local for compatível com chaves multitenant do Cloud HSM,
hsmAvailableserátrue.Se um local for compatível com chaves do Cloud EKM,
ekmAvailableserátrue.
A seguir
- Saiba mais sobre geografia e regiões em Google Cloud.
- Confira a lista completa de locais do Cloud.