Num projeto, os recursos do Cloud Key Management Service podem ser criados numa das muitas localizações. Estas representam as regiões geográficas onde um recurso do Cloud KMS é armazenado e onde é possível aceder ao mesmo. A localização de uma chave afeta o desempenho das aplicações que usam a chave.
O material das chaves do Cloud KMS e do Cloud HSM está confinado à região selecionada em repouso e em utilização.
O suporte para diferentes níveis de proteção varia consoante a região:
SOFTWARE: as chaves de software podem ser criadas em todas as localizações do Cloud KMS.HSM: as chaves do HSM na nuvem multiinquilino podem ser criadas na maioria das localizações do Cloud KMS. Para ver as localizações onde pode criar chaves do HSM multiinquilino, selecione Suporta HSM multiinquilino no filtro Suporte de HSM.HSM_SINGLE_TENANT: as chaves do Cloud HSM de inquilino único podem ser criadas em localizações selecionadas do Cloud KMS. Para ver as localizações onde pode criar chaves do Cloud HSM de inquilino único, selecione Suporta HSM de inquilino único no filtro Suporte de HSM.EXTERNAL: as chaves do Cloud EKM em que o EKM é acedido através da Internet podem ser criadas na maioria das localizações do Cloud KMS. Para ver as localizações onde pode criar chaves EKM da nuvem através da Internet, selecione EKM através da Internet no filtro Suporte de EKM.EXTERNAL_VPC: as chaves do Cloud EKM em que o EKM é acedido através de uma VPC podem ser criadas na maioria das localizações do Cloud KMS. Para ver as localizações onde pode criar chaves do EKM na nuvem através de uma VPC, selecione EKM por VPC no filtro Suporte do EKM.
As tabelas seguintes indicam as localizações disponíveis para utilização no Cloud KMS em diferentes partes do mundo. Pode filtrar estas localizações por tipo de localização, compatibilidade com o Cloud HSM e compatibilidade com o Cloud EKM:
Américas
| Nome da localização | Tipo de localização | Descrição da localização | O Cloud HSM está disponível | O Cloud EKM está disponível |
|---|---|---|---|---|
ca |
Multirregião | Várias regiões no Canadá | Apenas para vários inquilinos | Sim |
nam3 |
Multirregião | Virgínia do Norte e Carolina do Sul | Apenas para unidades com vários inquilinos | Sim |
nam4 |
Multirregião | Iowa, Carolina do Sul e Oklahoma | Apenas para unidades com vários inquilinos | Sim |
nam6 |
Multirregião | Iowa e Carolina do Sul | Apenas para vários inquilinos | Sim |
nam7 |
Multirregião | Iowa, Virgínia do Norte e Oklahoma | Apenas para unidades com vários inquilinos | Sim |
nam8 |
Multirregião | Los Angeles, Oregon e Salt Lake City | Apenas para vários inquilinos | Sim |
nam9 |
Multirregião | Virgínia do Norte e Iowa | Apenas para vários inquilinos | Sim |
nam10 |
Multirregião | Iowa, Salt Lake City e Oklahoma | Apenas para vários inquilinos | Sim |
nam11 |
Multirregião | Iowa, Carolina do Sul e Oklahoma | Apenas para unidades com vários inquilinos | Sim |
nam12 |
Multirregião | Iowa, Virgínia do Norte, Oklahoma e Oregon | Apenas para unidades com vários inquilinos | Sim |
northamerica-northeast1 |
Região | Montréal | Apenas para vários inquilinos | Sim |
northamerica-northeast2 |
Região | Toronto | Apenas para vários inquilinos | Sim |
northamerica-south1 |
Região | México | Apenas para vários inquilinos | Não |
southamerica-east1 |
Região | São Paulo | Apenas para unidades com vários inquilinos | Sim |
southamerica-west1 |
Região | Santiago | Apenas para unidades com vários inquilinos | Sim |
us |
Multirregião | Várias regiões nos Estados Unidos | Apenas para vários inquilinos | Sim |
us-central1 |
Região | Iowa | Sim | Sim |
us-east1 |
Região | Carolina do Sul | Apenas para vários inquilinos | Sim |
us-east4 |
Região | Virgínia do Norte | Sim | Sim |
us-east5 |
Região | Columbus | Apenas para vários inquilinos | Sim |
us-west1 |
Região | Oregon | Apenas para vários inquilinos | Sim |
us-west2 |
Região | Los Angeles | Apenas para vários inquilinos | Sim |
us-west3 |
Região | Salt Lake City | Apenas para unidades com vários inquilinos | Sim |
us-west4 |
Região | Las Vegas | Apenas para vários inquilinos | Sim |
us-south1 |
Região | Dallas | Apenas para unidades com vários inquilinos | Sim |
Ásia-Pacífico
| Nome da localização | Tipo de localização | Descrição da localização | O Cloud HSM está disponível | O Cloud EKM está disponível |
|---|---|---|---|---|
asia |
Multirregião | Várias regiões na Ásia | Apenas para unidades com vários inquilinos | Sim |
asia1 |
Multirregião | Tóquio, Osaca e Seul | Apenas para unidades com vários inquilinos | Sim |
asia-east1 |
Região | Taiwan | Apenas para vários inquilinos | Sim |
asia-east2 |
Região | Hong Kong | Apenas para vários inquilinos | Sim |
asia-northeast1 |
Região | Tóquio | Apenas para unidades com vários inquilinos | Sim |
asia-northeast2 |
Região | Osaca | Apenas para unidades com vários inquilinos | Sim |
asia-northeast3 |
Região | Seul | Apenas para vários inquilinos | Sim |
asia-south1 |
Região | Mumbai | Apenas para vários inquilinos | Sim |
asia-south2 |
Região | Deli | Apenas para vários inquilinos | Sim |
asia-southeast1 |
Região | Singapura | Apenas para vários inquilinos | Sim |
asia-southeast2 |
Região | Jacarta | Apenas para unidades com vários inquilinos | Sim |
au |
Multirregião | Várias regiões na Austrália | Apenas para vários inquilinos | Sim |
australia-southeast1 |
Região | Sydney | Apenas para vários inquilinos | Sim |
australia-southeast2 |
Região | Melbourne | Apenas para vários inquilinos | Sim |
in |
Multirregião | Várias regiões na Índia | Apenas para vários inquilinos | Sim |
Europa, Médio Oriente
e África
| Nome da localização | Tipo de localização | Descrição da localização | O Cloud HSM está disponível | O Cloud EKM está disponível |
|---|---|---|---|---|
africa-south1 |
Região | Joanesburgo | Apenas para vários inquilinos | Sim |
de |
Multirregião | Várias regiões na Alemanha | Apenas para vários inquilinos | Sim |
eur3 |
Multirregião | Bélgica e Países Baixos | Apenas para unidades com vários inquilinos | Sim |
eur4 |
Multirregião | Bélgica, Finlândia e Países Baixos | Apenas para vários inquilinos | Sim |
eur5 |
Multirregião | Londres, Países Baixos e Bélgica | Apenas para vários inquilinos | Sim |
eur6 |
Multirregião | Países Baixos, Frankfurt e Zurique | Apenas para vários inquilinos | Sim |
eur7 |
Multirregião | Londres, Frankfurt e Berlim | Não | Sim |
eur8 |
Multirregião | Zurique, Frankfurt e Berlim | Não | Sim |
europe |
Multirregião | Várias regiões na União Europeia1 | Apenas para vários inquilinos | Sim |
europe-central2 |
Região | Varsóvia | Apenas para vários inquilinos | Sim |
europe-north1 |
Região | Finlândia | Apenas para vários inquilinos | Sim |
europe-north2 |
Região | Estocolmo | Apenas para unidades com vários inquilinos | Sim |
europe-southwest1 |
Região | Madrid | Apenas para vários inquilinos | Sim |
europe-west1 |
Região | Bélgica | Sim | Sim |
europe-west2 |
Região | Londres | Apenas para unidades com vários inquilinos | Sim |
europe-west3 |
Região | Frankfurt | Apenas para unidades com vários inquilinos | Sim |
europe-west4 |
Região | Países Baixos | Sim | Sim |
europe-west6 |
Região | Zurique | Apenas para unidades com vários inquilinos | Sim |
europe-west8 |
Região | Milão | Apenas para vários inquilinos | Sim |
europe-west9 |
Região | Paris | Apenas para vários inquilinos | Sim |
europe-west10 |
Região | Berlim | Apenas para unidades com vários inquilinos | Sim |
europe-west12 |
Região | Turim | Apenas para vários inquilinos | Sim |
it |
Multirregião | Várias regiões em Itália | Apenas para vários inquilinos | Sim |
me-central1 |
Região | Doha | Apenas para vários inquilinos | Sim |
me-central2 |
Região | Damã | Apenas para unidades com vários inquilinos | Sim |
me-west1 |
Região | Telavive | Apenas para vários inquilinos | Sim |
europe multirregional não são armazenados nos centros de dados europe-west2 (Londres) nem europe-west6 (Zurique).
Mundial
| Nome da localização | Tipo de localização | Descrição da localização | O Cloud HSM está disponível | O Cloud EKM está disponível |
|---|---|---|---|---|
global |
Multirregião | Global | Apenas para vários inquilinos | Não |
nam-eur-asia1 |
Multirregião | América do Norte, Europa e Ásia (Iowa, Oklahoma, Bélgica e Taiwan) |
Apenas para vários inquilinos | Não |
Tipos de localizações para o Cloud KMS
Pode criar recursos do Cloud KMS, Cloud HSM e Cloud EKM em diferentes tipos de localizações no Google Cloud, consoante os seus requisitos de disponibilidade. As localizações são adicionadas regularmente. Para informações específicas sobre cada localização, consulte Localizações.
Pode saber mais sobre como escolher o melhor tipo de localização.
Os seguintes tipos de localizações estão disponíveis para o Cloud KMS:
- Localizações regionais: os centros de dados de uma localização regional existem num local geográfico específico. Por exemplo, um recurso criado na região
us-central1está localizado no centro dos Estados Unidos. - Localizações multirregionais: os centros de dados de uma localização multirregional estão
distribuídos por uma grande área geográfica. Por exemplo, um recurso criado
na
europemultirregião persiste em vários centros de dados na União Europeia. Não pode escolher que centros de dados na multirregião vão conter os seus dados. - A localização global: a localização
globalé uma região múltipla especial. Os seus centros de dados estão espalhados por todo o mundo. Não pode escolher os centros de dados na multirregião global que vão conter os seus dados.
Escolher o melhor tipo de localização
Por norma, conceba a sua aplicação de modo que todos os respetivos componentes estejam geograficamente próximos uns dos outros e dos clientes da sua aplicação. A localização das chaves é um aspeto importante da conceção da sua aplicação. Após a criação, não é possível mover nem exportar uma chave.
Quando usa uma localização multirregional, como a europe multirregional,
os recursos persistem em vários centros de dados distribuídos pela multirregião.
A criação e a atualização de chaves em localizações multirregionais, incluindo a global
localização, podem ser menos eficientes do que usar uma localização de região única. Para mais
informações, consulte o artigo Ler e escrever em localizações multirregionais.
Use a localização global se todas as seguintes condições forem verdadeiras:
- Os componentes da sua aplicação são distribuídos globalmente.
- Tem leituras ou escritas pouco frequentes, mas usa outras operações criptográficas com frequência.
- As suas chaves não têm requisitos de residência geográfica.
- Não está a usar chaves externas.
Para integrações de chaves de encriptação geridas pelo cliente (CMEK), tem de usar exatamente a mesma localização que outros recursos relacionados com a integração. Algumas integrações de CMEK não suportam a localização global. Para mais informações acerca das integrações de CMEK, consulte o artigo
Chaves de encriptação geridas pelo cliente (CMEK).
Os recursos do Cloud EKM dependem da conetividade entre o Google Cloud e um serviço de gestão de chaves externo, fora do Google Cloud. Para os recursos do Cloud External Key Manager, selecione uma localização geograficamente o mais próxima possível da localização onde as chaves estão armazenadas no serviço de gestão de chaves externo.
O Cloud HSM depende da disponibilidade de hardware físico nos centros de dados de uma localização. Para recursos do Cloud HSM, selecione uma localização que suporte o Cloud HSM.
Os recursos do Cloud HSM têm quotas específicas da localização. As quotas do Cloud KMS são globais.
As localizações multirregionais têm quotas separadas, independentemente das quotas das localizações de região única. Por exemplo, para criar recursos do Cloud HSM na região múltipla eur5, tem de ter uma quota de HSM em eur5, mesmo que já tenha uma quota nas regiões únicas que participam em eur5, como europe-west2.
Ler e escrever em localizações de várias regiões
A leitura e a escrita de recursos ou metadados associados em localizações multirregionais, incluindo a localização global, podem ser mais lentas do que a leitura ou a escrita a partir de uma única região.
- Quando cria ou lê versões principais, é sempre necessário consenso entre os centros de dados que armazenam o material da chave. As leituras e as escritas numa única região são frequentemente mais eficientes do que as escritas num local multirregional.
- Quando realiza operações criptográficas, como encriptar ou desencriptar dados, não é necessário consenso. Para operações criptográficas, as localizações multirregionais têm um desempenho semelhante ao das localizações de região única.
- Quando armazena as chaves numa localização ou localizações geograficamente perto dos dados que protegem ou validam, as operações criptográficas são normalmente mais eficientes.
As concessões entre o desempenho e a disponibilidade são exclusivas de cada aplicação. As localizações multirregiões, incluindo global, são mais adequadas para cargas de trabalho com muitas leituras.
Determinar regiões disponíveis
Pode usar a CLI Google Cloud ou a API Cloud Key Management Service para obter uma lista das regiões disponíveis.
gcloud
gcloud kms locations list
Na saída do comando, a coluna HSM_AVAILABLE indica se a localização suporta o HSM na nuvem. A coluna EKM_AVAILABLE indica se a localização suporta o Cloud External Key Manager. Tenha em atenção que as EKM através de chaves de VPC
só estão disponíveis em localizações regionais.
API
Use os métodos
Locations.get e
Locations.list.
As respostas de ambos os métodos incluem campos booleanos relacionados com as capacidades de uma localização:
Se uma localização suportar chaves do HSM na nuvem multi-inquilino,
hsmAvailableétrue.Se uma localização suportar chaves EKM da nuvem,
ekmAvailableétrue.
O que se segue?
- Saiba mais acerca da Geografia e regiões no Google Cloud.
- Consulte a lista completa de localizações da nuvem.