Dentro de un proyecto, los recursos de Cloud Key Management Service se pueden crear en una de varias ubicaciones. Estas representan las regiones geográficas en las que se almacena un recurso de Cloud KMS y se puede acceder a él. La ubicación de una clave afecta el rendimiento de las aplicaciones que la usan.
El material de clave para las claves de Cloud KMS y Cloud HSM se limita a la región seleccionada mientras está en reposo y en uso.
La compatibilidad con los diferentes niveles de protección varía según la región:
SOFTWARE: Las claves de software se pueden crear en todas las ubicaciones de Cloud KMS.HSM: Las claves de Cloud HSM de múltiples arrendatarios se pueden crear en la mayoría de las ubicaciones de Cloud KMS. Para ver las ubicaciones en las que puedes crear claves de Cloud HSM de múltiples arrendatarios, selecciona Admite HSM de múltiples arrendatarios en el filtro Compatibilidad con HSM.HSM_SINGLE_TENANT: Las claves de HSM de usuario único de Cloud se pueden crear en ubicaciones seleccionadas de Cloud KMS. Para ver las ubicaciones en las que puedes crear claves de HSM de usuario único de Cloud, selecciona Admite HSM de usuario único en el filtro Compatibilidad con HSM.EXTERNAL: Las claves de Cloud EKM a las que se accede a través de Internet se pueden crear en la mayoría de las ubicaciones de Cloud KMS. Para ver las ubicaciones en las que puedes crear claves de EKM externas a través de Internet, selecciona EKM por Internet en el filtro Compatibilidad con EKM.EXTERNAL_VPC: Las claves de Cloud EKM a las que se accede a través de una VPC se pueden crear en la mayoría de las ubicaciones de Cloud KMS. Para ver las ubicaciones en las que puedes crear claves de Cloud EKM a través de una VPC, selecciona EKM por VPC en el filtro Compatibilidad con EKM.
En las siguientes tablas, se enumeran las ubicaciones disponibles para usar en Cloud KMS en diferentes partes del mundo. Puedes filtrar estas ubicaciones por tipo de ubicación, compatibilidad con Cloud HSM y compatibilidad con Cloud EKM:
América
| Nombre de la ubicación | Tipo de ubicación | Descripción de la ubicación | Cloud HSM disponible | Cloud EKM disponible |
|---|---|---|---|---|
ca |
Multirregión | Varias regiones en Canadá | Solo para multiusuario | Sí |
nam3 |
Multirregión | Virginia del Norte y Carolina del Sur | Solo para multiusuario | Sí |
nam4 |
Multirregión | Iowa, Carolina del Sur y Oklahoma | Solo para multiusuario | Sí |
nam6 |
Multirregión | Iowa y Carolina del Sur | Solo para multiusuario | Sí |
nam7 |
Multirregión | Iowa, Virginia del Norte y Oklahoma | Solo para multiusuario | Sí |
nam8 |
Multirregión | Los Ángeles, Oregón y Salt Lake City | Solo para multiusuario | Sí |
nam9 |
Multirregión | Iowa y Virginia del Norte | Solo para multiusuario | Sí |
nam10 |
Multirregión | Iowa, Salt Lake City y Oklahoma | Solo para multiusuario | Sí |
nam11 |
Multirregión | Iowa, Carolina del Sur y Oklahoma | Solo para multiusuario | Sí |
nam12 |
Multirregión | Iowa, Virginia del Norte, Oklahoma y Oregón | Solo para multiusuario | Sí |
northamerica-northeast1 |
Región | Montreal | Solo para multiusuario | Sí |
northamerica-northeast2 |
Región | Toronto | Solo para multiusuario | Sí |
northamerica-south1 |
Región | México | Solo para multiusuario | No |
southamerica-east1 |
Región | São Paulo | Solo para multiusuario | Sí |
southamerica-west1 |
Región | Santiago | Solo para multiusuario | Sí |
us |
Multirregión | Varias regiones en Estados Unidos | Solo para multiusuario | Sí |
us-central1 |
Región | Iowa | Sí | Sí |
us-east1 |
Región | Carolina del Sur | Solo para multiusuario | Sí |
us-east4 |
Región | Virginia del Norte | Sí | Sí |
us-east5 |
Región | Columbus | Solo para multiusuario | Sí |
us-west1 |
Región | Oregón | Solo para multiusuario | Sí |
us-west2 |
Región | Los Ángeles | Solo para multiusuario | Sí |
us-west3 |
Región | Salt Lake City | Solo para multiusuario | Sí |
us-west4 |
Región | Las Vegas | Solo para multiusuario | Sí |
us-south1 |
Región | Dallas | Solo para multiusuario | Sí |
Asia-Pacífico
| Nombre de la ubicación | Tipo de ubicación | Descripción de la ubicación | Cloud HSM disponible | Cloud EKM disponible |
|---|---|---|---|---|
asia |
Multirregión | Varias regiones en Asia | Solo para multiusuario | Sí |
asia1 |
Multirregión | Tokio, Osaka y Seúl | Solo para multiusuario | Sí |
asia-east1 |
Región | Taiwán | Solo para multiusuario | Sí |
asia-east2 |
Región | Hong Kong | Solo para multiusuario | Sí |
asia-northeast1 |
Región | Tokio | Solo para multiusuario | Sí |
asia-northeast2 |
Región | Osaka | Solo para multiusuario | Sí |
asia-northeast3 |
Región | Seúl | Solo para multiusuario | Sí |
asia-south1 |
Región | Bombay | Solo para multiusuario | Sí |
asia-south2 |
Región | Delhi | Solo para multiusuario | Sí |
asia-southeast1 |
Región | Singapur | Solo para multiusuario | Sí |
asia-southeast2 |
Región | Yakarta | Solo para multiusuario | Sí |
au |
Multirregión | Varias regiones en Australia | Solo para multiusuario | Sí |
australia-southeast1 |
Región | Sídney | Solo para multiusuario | Sí |
australia-southeast2 |
Región | Melbourne | Solo para multiusuario | Sí |
in |
Multirregión | Varias regiones en India | Solo para multiusuario | Sí |
Europa, Oriente Medio
y África
| Nombre de la ubicación | Tipo de ubicación | Descripción de la ubicación | Cloud HSM disponible | Cloud EKM disponible |
|---|---|---|---|---|
africa-south1 |
Región | Johannesburgo | Solo para multiusuario | Sí |
de |
Multirregión | Varias regiones en Alemania | Solo para multiusuario | Sí |
eur3 |
Multirregión | Bélgica y Países Bajos | Solo para multiusuario | Sí |
eur4 |
Multirregión | Finlandia, Países Bajos y Bélgica | Solo para multiusuario | Sí |
eur5 |
Multirregión | Londres, Países Bajos y Bélgica | Solo para multiusuario | Sí |
eur6 |
Multirregión | Países Bajos, Fráncfort y Zúrich | Solo para multiusuario | Sí |
eur7 |
Multirregión | Londres, Fráncfort y Berlín | No | Sí |
eur8 |
Multirregión | Zúrich, Fráncfort y Berlín | No | Sí |
europe |
Multirregión | Varias regiones en la Unión Europea1 | Solo para multiusuario | Sí |
europe-central2 |
Región | Varsovia | Solo para multiusuario | Sí |
europe-north1 |
Región | Finlandia | Solo para multiusuario | Sí |
europe-north2 |
Región | Estocolmo | Solo para multiusuario | Sí |
europe-southwest1 |
Región | Madrid | Solo para multiusuario | Sí |
europe-west1 |
Región | Bélgica | Sí | Sí |
europe-west2 |
Región | Londres | Solo para multiusuario | Sí |
europe-west3 |
Región | Fráncfort | Solo para multiusuario | Sí |
europe-west4 |
Región | Países Bajos | Sí | Sí |
europe-west6 |
Región | Zúrich | Solo para multiusuario | Sí |
europe-west8 |
Región | Milán | Solo para multiusuario | Sí |
europe-west9 |
Región | París | Solo para multiusuario | Sí |
europe-west10 |
Región | Berlín | Solo para multiusuario | Sí |
europe-west12 |
Región | Turín | Solo para multiusuario | Sí |
it |
Multirregión | Múltiples regiones en Italia | Solo para multiusuario | Sí |
me-central1 |
Región | Doha | Solo para multiusuario | Sí |
me-central2 |
Región | Dammam | Solo para multiusuario | Sí |
me-west1 |
Región | Tel Aviv | Solo para multiusuario | Sí |
europe no se almacenan en los centros de datos de europe-west2 (Londres) ni de europe-west6 (Zúrich).
En todo el mundo
| Nombre de la ubicación | Tipo de ubicación | Descripción de la ubicación | Cloud HSM disponible | Cloud EKM disponible |
|---|---|---|---|---|
global |
Multirregión | Global | Solo para multiusuario | No |
nam-eur-asia1 |
Multirregión | Norteamérica, Europa y Asia (Iowa, Oklahoma, Bélgica y Taiwán) |
Solo para multiusuario | No |
Tipos de ubicaciones para Cloud KMS
Puedes crear recursos de Cloud KMS, Cloud HSM y Cloud EKM en diferentes tipos de ubicaciones en Google Cloud, según tus requisitos de disponibilidad. Las ubicaciones se agregan de forma habitual. Para obtener información específica sobre cada ubicación, consulta Ubicaciones.
Puedes obtener más información para elegir el mejor tipo de ubicación.
Los siguientes tipos de ubicaciones están disponibles para Cloud KMS:
- Ubicaciones regionales: Los centros de datos de una ubicación regional existen en un lugar geográfico específico. Por ejemplo, un recurso creado en la región
us-central1se encuentra en el centro de Estados Unidos. - Ubicaciones multirregionales: Los centros de datos de una ubicación multirregional se distribuyen en un área geográfica grande. Por ejemplo, un recurso creado en la multirregión
europepersiste en varios centros de datos dentro de la Unión Europea. No puedes elegir qué centros de datos dentro de la región múltiple contendrán tus datos. - La ubicación global: La ubicación
globales una multirregión especial. Sus centros de datos se distribuyen en todo el mundo. No puedes elegir qué centros de datos dentro de la multirregión global contendrán tus datos.
Elige el mejor tipo de ubicación
Como regla general, diseña tu aplicación de modo que todos sus componentes se encuentren geográficamente cerca entre sí y cerca de los clientes de tu aplicación. La ubicación de tus claves es un aspecto importante del diseño de tu aplicación. Después de la creación, no se puede mover ni exportar una clave.
Cuando se usa una ubicación multirregional, como la multirregión europe, los recursos persisten en múltiples centros de datos distribuidos en toda la multirregión.
Crear y actualizar claves en ubicaciones multirregionales, incluida la ubicación global, puede ser menos eficiente que usar una ubicación de una sola región. Para obtener más información, consulta Lee en y escribe hacia ubicaciones multirregionales.
Usa la ubicación global si se cumplen todas estas condiciones:
- Los componentes de la aplicación se distribuyen de forma global.
- Realizas lecturas o escrituras poco frecuentes, pero usas otras operaciones criptográficas con frecuencia.
- Tus llaves no tienen requisitos de residencia geográfica.
- No usas claves externas.
Para las integraciones de claves de encriptación administradas por el cliente (CMEK), debes usar la misma ubicación exacta que otros recursos relacionados con la integración. Algunas integraciones de CMEK no admiten la ubicación global. Para obtener más información sobre las integraciones de CMEK, consulta Claves de encriptación administradas por el cliente (CMEK).
Los recursos de Cloud EKM dependen de la conectividad entre Google Cloud y un servicio de administración de claves externas, fuera de Google Cloud. Para los recursos de Cloud External Key Manager, selecciona una ubicación lo más cercana posible a la ubicación en la que se almacenan las claves en el servicio de administración de claves externas.
Cloud HSM depende de la disponibilidad de hardware físico en los centros de datos de una ubicación. Para los recursos de Cloud HSM, selecciona una ubicación que admita Cloud HSM.
Los recursos de Cloud HSM tienen cuotas específicas de la ubicación. Las cuotas de Cloud KMS son globales.
Las ubicaciones multirregionales tienen cuotas separadas, independientemente de las cuotas para las ubicaciones de una sola región. Por ejemplo, para crear recursos de Cloud HSM en la multirregión eur5, debes tener una cuota de HSM en eur5, incluso si ya tienes una cuota en las regiones individuales que participan en eur5, como europe-west2.
Leer en y escribe hacia ubicaciones multirregionales
Leer y escribir recursos o metadatos asociados en ubicaciones multirregionales, incluida la ubicación global, puede ser un proceso más lento que leer o escribir desde una sola región.
- Cuando creas o lees versiones de claves, siempre se requiere consenso entre los centros de datos que almacenan el material de claves. Las operaciones de lectura y escritura en una sola región suelen ser más eficientes que las que se realizan en una ubicación multirregional.
- Cuando realizas operaciones criptográficas, como cuando se encriptan o desencriptan datos, no se necesita consenso. En el caso de las operaciones criptográficas, las ubicaciones multirregionales funcionan de manera similar a las ubicaciones de una sola región.
- Cuando almacenas tus claves en ubicaciones geográficamente cercanas a los datos que protegen o validan, las operaciones criptográficas suelen ser más eficientes.
Las compensaciones entre el rendimiento y la disponibilidad son exclusivas de cada aplicación. Las ubicaciones multirregionales, incluidas global, son más adecuadas para las cargas de trabajo con alto contenido de lectura.
Determina regiones disponibles
Puedes usar Google Cloud CLI o la API de Cloud Key Management Service para obtener una lista de las regiones disponibles.
gcloud
gcloud kms locations list
En la salida del comando, la columna HSM_AVAILABLE indica si la ubicación es compatible con Cloud HSM. La columna EKM_AVAILABLE indica si la ubicación es compatible con Cloud External Key Manager. Nota: Por el momento, las claves de EKM a través de VPC solo están disponibles en ubicaciones regionales.
API
Usa los métodos Locations.get y Locations.list.
Las respuestas de ambos métodos incluyen campos booleanos relacionados con las capacidades de una ubicación:
Si una ubicación admite claves de Cloud HSM de múltiples arrendatarios,
hsmAvailableestrue.Si una ubicación admite claves de Cloud EKM,
ekmAvailableestrue.
¿Qué sigue?
- Obtén más información sobre Geografía y regiones en Google Cloud.
- Consulta la lista completa de ubicaciones de Cloud.