Cloud Key Management Service-Ressourcen können innerhalb eines Projekts an einem von vielen Standorten erstellt werden. Diese stellen die geografischen Regionen dar, in denen eine Cloud KMS-Ressource gespeichert ist und auf die zugegriffen werden kann. Der Standort eines Schlüssels wirkt sich auf die Leistung von Anwendungen aus, die den Schlüssel verwenden.
Schlüsselmaterial für Cloud KMS- und Cloud HSM-Schlüssel ist im Ruhezustand und während der Verwendung auf die ausgewählte Region beschränkt.
Die Unterstützung für verschiedene Schutzstufen variiert je nach Region:
SOFTWARE: Softwareschlüssel können an allen Cloud KMS-Standorten erstellt werden.HSM: Multi-Tenant-Cloud HSM-Schlüssel können an den meisten Cloud KMS-Standorten erstellt werden. Wenn Sie Standorte aufrufen möchten, an denen Sie Mandanten-Cloud HSM-Schlüssel erstellen können, wählen Sie im Filter HSM-Unterstützung die Option Unterstützt Mandanten-HSM aus.HSM_SINGLE_TENANT: Single-Tenant Cloud HSM-Schlüssel können an ausgewählten Cloud KMS-Standorten erstellt werden. Wenn Sie Standorte aufrufen möchten, an denen Sie Cloud HSM-Schlüssel für einzelne Mandanten erstellen können, wählen Sie im Filter HSM-Unterstützung die Option Unterstützt HSM für einzelne Mandanten aus.EXTERNAL: Cloud EKM-Schlüssel, auf die über das Internet zugegriffen wird, können an den meisten Cloud KMS-Standorten erstellt werden. Wenn Sie Standorte aufrufen möchten, an denen Sie Cloud EKM-Schlüssel über das Internet erstellen können, wählen Sie im Filter EKM-Unterstützung die Option EKM über das Internet aus.EXTERNAL_VPC: Cloud EKM-Schlüssel, auf die über eine VPC auf Ihren EKM zugegriffen wird, können an den meisten Cloud KMS-Standorten erstellt werden. Wenn Sie die Standorte aufrufen möchten, an denen Sie Cloud EKM-Schlüssel über eine VPC erstellen können, wählen Sie im Filter EKM-Unterstützung die Option EKM by VPC aus.
In den folgenden Tabellen sind die Standorte aufgeführt, die für die Verwendung in Cloud KMS in verschiedenen Teilen der Welt verfügbar sind. Sie können diese Standorte nach Standorttyp, Cloud HSM-Unterstützung und Cloud EKM-Unterstützung filtern:
Nord- und Südamerika
| Standortname | Standorttyp | Standortbeschreibung | Cloud HSM verfügbar | Cloud EKM verfügbar |
|---|---|---|---|---|
ca |
Mehrere Regionen | Mehrere Regionen in Kanada | Nur mehrere Mandanten | Ja |
nam3 |
Mehrere Regionen | Northern Virginia und South Carolina | Nur mehrere Mandanten | Ja |
nam4 |
Mehrere Regionen | Iowa, South Carolina und Oklahoma | Nur mehrere Mandanten | Ja |
nam6 |
Mehrere Regionen | Iowa und South Carolina | Nur mehrere Mandanten | Ja |
nam7 |
Mehrere Regionen | Iowa, Northern Virginia und Oklahoma | Nur mehrere Mandanten | Ja |
nam8 |
Mehrere Regionen | Los Angeles, Oregon und Salt Lake City | Nur mandantenfähig | Ja |
nam9 |
Mehrere Regionen | Northern Virginia und Iowa | Nur mehrere Mandanten | Ja |
nam10 |
Mehrere Regionen | Iowa, Salt Lake City und Oklahoma | Nur mehrere Mandanten | Ja |
nam11 |
Mehrere Regionen | Iowa, South Carolina und Oklahoma | Nur mehrere Mandanten | Ja |
nam12 |
Mehrere Regionen | Iowa, Northern Virginia, Oklahoma und Oregon | Nur mandantenfähig | Ja |
northamerica-northeast1 |
Region: | Montreal | Nur mehrere Mandanten | Ja |
northamerica-northeast2 |
Region: | Toronto | Nur mehrere Mandanten | Ja |
northamerica-south1 |
Region: | Mexiko | Nur mehrere Mandanten | Nein |
southamerica-east1 |
Region: | São Paulo | Nur mehrere Mandanten | Ja |
southamerica-west1 |
Region: | Santiago | Nur mehrere Mandanten | Ja |
us |
Mehrere Regionen | Mehrere Regionen in den USA | Nur mehrere Mandanten | Ja |
us-central1 |
Region: | Iowa | Ja | Ja |
us-east1 |
Region: | South Carolina | Nur mehrere Mandanten | Ja |
us-east4 |
Region: | Northern Virginia | Ja | Ja |
us-east5 |
Region: | Columbus | Nur mehrere Mandanten | Ja |
us-west1 |
Region: | Oregon | Nur mandantenfähig | Ja |
us-west2 |
Region: | Los Angeles | Nur mehrere Mandanten | Ja |
us-west3 |
Region: | Salt Lake City | Nur mehrere Mandanten | Ja |
us-west4 |
Region: | Las Vegas | Nur mehrere Mandanten | Ja |
us-south1 |
Region: | Dallas | Nur mehrere Mandanten | Ja |
Asiatisch-pazifischer Raum
| Standortname | Standorttyp | Standortbeschreibung | Cloud HSM verfügbar | Cloud EKM verfügbar |
|---|---|---|---|---|
asia |
Mehrere Regionen | Mehrere Regionen in Asien | Nur mehrere Mandanten | Ja |
asia1 |
Mehrere Regionen | Tokio, Osaka und Seoul | Nur mehrere Mandanten | Ja |
asia-east1 |
Region: | Taiwan | Nur mehrere Mandanten | Ja |
asia-east2 |
Region: | Hongkong | Nur mehrere Mandanten | Ja |
asia-northeast1 |
Region: | Tokio | Nur mehrere Mandanten | Ja |
asia-northeast2 |
Region: | Osaka | Nur mehrere Mandanten | Ja |
asia-northeast3 |
Region: | Seoul | Nur mandantenfähig | Ja |
asia-south1 |
Region: | Mumbai | Nur mehrere Mandanten | Ja |
asia-south2 |
Region: | Delhi | Nur mandantenfähig | Ja |
asia-southeast1 |
Region: | Singapur | Nur mehrere Mandanten | Ja |
asia-southeast2 |
Region: | Jakarta | Nur mandantenfähig | Ja |
au |
Mehrere Regionen | Mehrere Regionen in Australien | Nur mehrere Mandanten | Ja |
australia-southeast1 |
Region: | Sydney | Nur mehrere Mandanten | Ja |
australia-southeast2 |
Region: | Melbourne | Nur mehrere Mandanten | Ja |
in |
Mehrere Regionen | Mehrere Regionen in Indien | Nur mehrere Mandanten | Ja |
Europa, Naher Osten und Afrika
| Standortname | Standorttyp | Standortbeschreibung | Cloud HSM verfügbar | Cloud EKM verfügbar |
|---|---|---|---|---|
africa-south1 |
Region: | Johannesburg | Nur mehrere Mandanten | Ja |
de |
Mehrere Regionen | Mehrere Regionen in Deutschland | Nur mehrere Mandanten | Ja |
eur3 |
Mehrere Regionen | Belgien und Niederlande | Nur mehrere Mandanten | Ja |
eur4 |
Mehrere Regionen | Finnland, Niederlande und Belgien | Nur mandantenfähig | Ja |
eur5 |
Mehrere Regionen | London, Niederlande und Belgien | Nur mandantenfähig | Ja |
eur6 |
Mehrere Regionen | Niederlande, Frankfurt und Zürich | Nur mandantenfähig | Ja |
eur7 |
Mehrere Regionen | London, Frankfurt und Berlin | Nein | Ja |
eur8 |
Mehrere Regionen | Zürich, Frankfurt und Berlin | Nein | Ja |
europe |
Mehrere Regionen | Mehrere Regionen in der Europäischen Union1 | Nur mehrere Mandanten | Ja |
europe-central2 |
Region: | Warschau | Nur mehrere Mandanten | Ja |
europe-north1 |
Region: | Finnland | Nur mehrere Mandanten | Ja |
europe-north2 |
Region: | Stockholm | Nur mehrere Mandanten | Ja |
europe-southwest1 |
Region: | Madrid | Nur mehrere Mandanten | Ja |
europe-west1 |
Region: | Belgien | Ja | Ja |
europe-west2 |
Region: | London | Nur mandantenfähig | Ja |
europe-west3 |
Region: | Frankfurt | Nur mehrere Mandanten | Ja |
europe-west4 |
Region: | Niederlande | Ja | Ja |
europe-west6 |
Region: | Zürich | Nur mehrere Mandanten | Ja |
europe-west8 |
Region: | Mailand | Nur mehrere Mandanten | Ja |
europe-west9 |
Region: | Paris | Nur mehrere Mandanten | Ja |
europe-west10 |
Region: | Berlin | Nur mehrere Mandanten | Ja |
europe-west12 |
Region: | Turin | Nur mehrere Mandanten | Ja |
it |
Mehrere Regionen | Mehrere Regionen in Italien | Nur mehrere Mandanten | Ja |
me-central1 |
Region: | Doha | Nur mandantenfähig | Ja |
me-central2 |
Region: | Dammam | Nur mehrere Mandanten | Ja |
me-west1 |
Region: | Tel Aviv | Nur mandantenfähig | Ja |
europe erstellt werden, werden nicht in den Rechenzentren europe-west2 (London) oder europe-west6 (Zürich) gespeichert.
Weltweit
| Standortname | Standorttyp | Standortbeschreibung | Cloud HSM verfügbar | Cloud EKM verfügbar |
|---|---|---|---|---|
global |
Mehrere Regionen | Global | Nur mandantenfähig | Nein |
nam-eur-asia1 |
Mehrere Regionen | Nordamerika, Europa und Asien (Iowa, Oklahoma, Belgien und Taiwan) |
Nur mehrere Mandanten | Nein |
Arten von Standorten für Cloud KMS
Sie können Cloud KMS-, Cloud HSM- und Cloud EKM-Ressourcen je nach Verfügbarkeitsanforderungen an verschiedenen Standorten in Google Clouderstellen. Standorte werden regelmäßig hinzugefügt. Weitere Informationen zu den einzelnen Standorten finden Sie unter Standorte.
Weitere Informationen zur Auswahl des besten Standorttyps
Für Cloud KMS sind die folgenden Standorttypen verfügbar:
- Regionale Standorte: Die Rechenzentren eines regionalen Standorts befinden sich an einem bestimmten geografischen Ort. Eine in der Region
us-central1erstellte Ressource befindet sich beispielsweise in den zentralen USA. - Multiregionale Standorte: Die Rechenzentren eines multiregionalen Standorts sind über ein großes geografisches Gebiet verteilt. Eine Ressource, die am multiregionalen Standort
europeerstellt wurde, verbleibt beispielsweise in mehreren Rechenzentren innerhalb der Europäischen Union. Sie können nicht auswählen, in welchen Rechenzentren innerhalb der Multi-Region Ihre Daten gespeichert werden. - Der Standort „global“: Der Standort
globalist eine spezielle Multi-Region. Seine Rechenzentren sind über die ganze Welt verteilt. Sie können nicht auswählen, in welchen Rechenzentren innerhalb der globalen Multi-Region Ihre Daten gespeichert werden.
Auswahl des besten Standorttyps
Erstellen Sie Ihre Anwendung in der Regel so, dass alle ihre Komponenten geografisch nahe beieinander und in der Nähe der Clients Ihrer Anwendung sind. Die Position Ihrer Schlüssel ist ein wichtiger Aspekt des Anwendungsdesigns. Nach der Erstellung kann ein Schlüssel nicht verschoben oder exportiert werden.
Wenn Sie einen multiregionalen Standort wie den multiregionalen Standort europe verwenden, verbleiben Ressourcen in mehreren Rechenzentren, die über die multiregionale Region verteilt sind.
Das Erstellen und Aktualisieren von Schlüsseln an multiregionalen Standorten, einschließlich des Standorts global, ist möglicherweise weniger effizient als die Verwendung eines Standorts mit nur einer Region. Weitere Informationen finden Sie unter Standorte in mehreren Regionen lesen und schreiben.
Verwenden Sie den Standort global, wenn alle folgenden Bedingungen erfüllt sind:
- Die Komponenten Ihrer Anwendung sind weltweit verteilt.
- Sie haben selten Lese- oder Schreibvorgänge, verwenden aber häufig andere kryptografische Vorgänge.
- Für Ihre Schlüssel gelten keine geografischen Anforderungen an Datenhoheit.
- Sie verwenden keine externen Schlüssel.
Für CMEK-Integrationen (Customer-Managed Encryption Keys) müssen Sie denselben Speicherort wie für andere Ressourcen im Zusammenhang mit der Integration verwenden. Einige CMEK-Integrationen unterstützen den Standort global nicht. Weitere Informationen zu CMEK-Integrationen finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK).
Für Cloud EKM-Ressourcen ist eine Verbindung zwischen Google Cloud und einem externen Schlüsselverwaltungsdienst außerhalb von Google Clouderforderlich. Wählen Sie für Cloud External Key Manager-Ressourcen einen Standort so nahe wie möglich an dem, wo Schlüssel im externen Schlüsselverwaltungsdienst gespeichert sind.
Cloud HSM hängt von der Verfügbarkeit der physischen Hardware in den Rechenzentren eines Standorts ab. Wählen Sie für Cloud HSM-Ressourcen einen Standort aus, der Cloud HSM unterstützt.
Für Cloud HSM-Ressourcen gelten standortspezifische Kontingente. Cloud KMS-Kontingente sind global.
Für multiregionale Standorte gelten separate Kontingente, unabhängig von den Kontingenten für einzelne Regionen. Wenn Sie beispielsweise Cloud HSM-Ressourcen in der Multiregion eur5 erstellen möchten, benötigen Sie ein HSM-Kontingent in eur5, auch wenn Sie bereits über Kontingente in den einzelnen Regionen verfügen, die an eur5 teilnehmen, z. B. europe-west2.
Lese- und Schreibzugriff auf multiregionale Standorte
Das Lesen von und Schreiben in von Ressourcen oder zugehöriger Metadaten an multiregionalen Standorten, einschließlich des Standorts global, kann langsamer sein als das Lesen von oder Schreiben in einer einzelnen Region.
- Wenn Sie Schlüsselversionen erstellen oder auslesen, muss zwischen den Rechenzentren, die das Schlüsselmaterial speichern, immer Übereinstimmung herrschen. Lese- und Schreibvorgänge in einer einzelnen Region sind oft effizienter als Lese- und Schreibvorgänge an einem multiregionalen Standort.
- Wenn Sie kryptografische Vorgänge ausführen, z. B. beim Verschlüsseln oder Entschlüsseln von Daten, ist keine Übereinstimmung erforderlich. Bei kryptografischen Vorgängen verhalten sich multiregionale Standorte ähnlich wie Standorte mit nur einer Region.
- Kryptografische Vorgänge sind in der Regel effizienter, wenn Sie Ihre Schlüssel an einem oder mehreren geografischen Standorten in der Nähe der davon geschützten oder validierten Daten speichern.
Jede Anwendung hat ihren eigenen Trade-Off zwischen Leistung und Verfügbarkeit. Multiregionale Standorte, einschließlich global, eignen sich am besten für Arbeitslasten mit vielen Lesevorgängen.
Verfügbare Regionen identifizieren
Mit der Google Cloud CLI oder der Cloud Key Management Service API können Sie eine Liste der verfügbaren Regionen abrufen.
gcloud
gcloud kms locations list
In der Ausgabe des Befehls gibt die Spalte HSM_AVAILABLE an, ob der Standort Cloud HSM unterstützt. Die Spalte EKM_AVAILABLE gibt an, ob der Standort Cloud External Key Manager unterstützt. Hinweis: EKM über VPC-Schlüssel ist derzeit nur an regionalen Standorten verfügbar.
API
Verwenden Sie die Methoden Locations.get und Locations.list.
Die Antworten dieser beiden Methoden enthalten boolesche Felder, die sich auf die Funktionen eines Standorts beziehen:
Wenn ein Standort Cloud HSM-Schlüssel für mehrere Mandanten unterstützt, ist
hsmAvailabletrue.Wenn ein Standort cloud-ekmodische Schlüssel unterstützt, ist
ekmAvailabletrue.
Nächste Schritte
- Weitere Informationen zu Geografie und Regionen in Google Cloud
- Eine vollständige Liste der Cloud-Standorte finden Sie hier.