您可以在一个项目中的多个位置之一创建 Cloud Key Management Service 资源。这些资源代表地理区域,可在其中存储并访问 Cloud KMS 资源。密钥的位置会影响使用该密钥的应用的性能。
Cloud KMS 和 Cloud HSM 密钥的密钥材料仅限于静态和使用中的选定区域。
不同保护级别的支持因区域而异:
SOFTWARE:可以在所有 Cloud KMS 位置创建软件密钥。HSM:多租户 Cloud HSM 密钥可在大多数 Cloud KMS 位置创建。如需查看可以创建多租户 Cloud HSM 密钥的位置,请在 HSM 支持过滤条件中选择支持多租户 HSM。HSM_SINGLE_TENANT:可以在选定的 Cloud KMS 位置创建单租户 Cloud HSM 密钥。如需查看可创建 single-tenant Cloud HSM 密钥的位置,请在 HSM 支持过滤条件中选择支持 single-tenant HSM。EXTERNAL:您可以在大多数 Cloud KMS 位置创建通过互联网访问 EKM 的 Cloud EKM 密钥。如需查看可通过互联网创建 Cloud EKM 密钥的位置,请在 EKM 支持过滤条件中选择 EKM(通过互联网)。EXTERNAL_VPC:通过 VPC 访问 EKM 的 Cloud EKM 密钥可以在大多数 Cloud KMS 位置创建。如需查看可通过 VPC 创建 Cloud EKM 密钥的位置,请在 EKM 支持过滤条件中选择 EKM by VPC。
下表列出了 Cloud KMS 中可用于世界不同地区的地理位置。您可以按位置类型、Cloud HSM 支持和 Cloud EKM 支持来过滤这些位置:
美洲
| 地点名称 | 位置类型 | 地点描述 | Cloud HSM 可用性 | Cloud EKM 可用性 |
|---|---|---|---|---|
ca |
多区域 | 加拿大境内所有区域 | 仅限多租户 | 是 |
nam3 |
多区域 | 北弗吉尼亚和南卡罗来纳 | 仅限多租户 | 是 |
nam4 |
多区域 | 爱荷华、南卡罗来纳和俄克拉荷马 | 仅限多租户 | 是 |
nam6 |
多区域 | 艾奥瓦和南卡罗来纳 | 仅限多租户 | 是 |
nam7 |
多区域 | 爱荷华、北弗吉尼亚和俄克拉荷马 | 仅限多租户 | 是 |
nam8 |
多区域 | 洛杉矶、俄勒冈和盐湖城 | 仅限多租户 | 是 |
nam9 |
多区域 | 北弗吉尼亚和爱荷华 | 仅限多租户 | 是 |
nam10 |
多区域 | 爱荷华、盐湖城和俄克拉荷马 | 仅限多租户 | 是 |
nam11 |
多区域 | 爱荷华、南卡罗来纳和俄克拉荷马 | 仅限多租户 | 是 |
nam12 |
多区域 | 艾奥瓦、北弗吉尼亚、俄克拉荷马和俄勒冈 | 仅限多租户 | 是 |
northamerica-northeast1 |
区域 | 蒙特利尔 | 仅限多租户 | 是 |
northamerica-northeast2 |
区域 | 多伦多 | 仅限多租户 | 是 |
northamerica-south1 |
区域 | 墨西哥 | 仅限多租户 | 否 |
southamerica-east1 |
区域 | 圣保罗 | 仅限多租户 | 是 |
southamerica-west1 |
区域 | 圣地亚哥 | 仅限多租户 | 是 |
us |
多区域 | 美国的多个区域 | 仅限多租户 | 是 |
us-central1 |
区域 | 爱荷华 | 是 | 是 |
us-east1 |
区域 | 南卡罗来纳 | 仅限多租户 | 是 |
us-east4 |
区域 | 北弗吉尼亚 | 是 | 是 |
us-east5 |
区域 | 哥伦布 | 仅限多租户 | 是 |
us-west1 |
区域 | 俄勒冈 | 仅限多租户 | 是 |
us-west2 |
区域 | 洛杉矶 | 仅限多租户 | 是 |
us-west3 |
区域 | 盐湖城 | 仅限多租户 | 是 |
us-west4 |
区域 | 拉斯维加斯 | 仅限多租户 | 是 |
us-south1 |
区域 | 达拉斯 | 仅限多租户 | 是 |
亚太地区
| 地点名称 | 位置类型 | 地点描述 | Cloud HSM 可用性 | Cloud EKM 可用性 |
|---|---|---|---|---|
asia |
多区域 | 台湾、孟买和新加坡 | 仅限多租户 | 是 |
asia1 |
多区域 | 东京、大阪和首尔 | 仅限多租户 | 是 |
asia-east1 |
区域 | 台湾 | 仅限多租户 | 是 |
asia-east2 |
区域 | 香港 | 仅限多租户 | 是 |
asia-northeast1 |
区域 | 东京 | 仅限多租户 | 是 |
asia-northeast2 |
区域 | 大阪 | 仅限多租户 | 是 |
asia-northeast3 |
区域 | 首尔 | 仅限多租户 | 是 |
asia-south1 |
区域 | 孟买 | 仅限多租户 | 是 |
asia-south2 |
区域 | 德里 | 仅限多租户 | 是 |
asia-southeast1 |
区域 | 新加坡 | 仅限多租户 | 是 |
asia-southeast2 |
区域 | 雅加达 | 仅限多租户 | 是 |
asia-southeast3 |
区域 | 曼谷 | 仅限多租户 | 否 |
au |
多区域 | 澳大利亚的所有区域 | 仅限多租户 | 是 |
australia-southeast1 |
区域 | 悉尼 | 仅限多租户 | 是 |
australia-southeast2 |
区域 | 墨尔本 | 仅限多租户 | 是 |
in |
多区域 | 印度所有区域 | 仅限多租户 | 是 |
欧洲、中东和非洲
| 地点名称 | 位置类型 | 地点描述 | Cloud HSM 可用性 | Cloud EKM 可用性 |
|---|---|---|---|---|
africa-south1 |
区域 | 约翰内斯堡 | 仅限多租户 | 是 |
de |
多区域 | 德国的所有区域 | 仅限多租户 | 是 |
eur3 |
多区域 | 比利时和荷兰 | 仅限多租户 | 是 |
eur4 |
多区域 | 芬兰、荷兰和比利时 | 仅限多租户 | 是 |
eur5 |
多区域 | 伦敦、荷兰和比利时 | 仅限多租户 | 是 |
eur6 |
多区域 | 荷兰、法兰克福和苏黎世 | 仅限多租户 | 是 |
eur7 |
多区域 | 伦敦、法兰克福和柏林 | 否 | 是 |
eur8 |
多区域 | 苏黎世、法兰克福和柏林 | 否 | 是 |
europe |
多区域 | 欧盟的所有区域1 | 仅限多租户 | 是 |
europe-central2 |
区域 | 华沙 | 仅限多租户 | 是 |
europe-north1 |
区域 | 芬兰 | 仅限多租户 | 是 |
europe-north2 |
区域 | 斯德哥尔摩 | 仅限多租户 | 是 |
europe-southwest1 |
区域 | 马德里 | 仅限多租户 | 是 |
europe-west1 |
区域 | 比利时 | 是 | 是 |
europe-west2 |
区域 | 伦敦 | 仅限多租户 | 是 |
europe-west3 |
区域 | 法兰克福 | 仅限多租户 | 是 |
europe-west4 |
区域 | 荷兰 | 是 | 是 |
europe-west6 |
区域 | 苏黎世 | 仅限多租户 | 是 |
europe-west8 |
区域 | 米兰 | 仅限多租户 | 是 |
europe-west9 |
区域 | 巴黎 | 仅限多租户 | 是 |
europe-west10 |
区域 | 柏林 | 仅限多租户 | 是 |
europe-west12 |
区域 | 都灵 | 仅限多租户 | 是 |
it |
多区域 | 意大利的所有区域 | 仅限多租户 | 是 |
me-central1 |
区域 | 多哈 | 仅限多租户 | 是 |
me-central2 |
区域 | 达曼 | 仅限多租户 | 是 |
me-west1 |
区域 | 特拉维夫 | 仅限多租户 | 是 |
europe 多区域中创建的资源未存储在 europe-west2(伦敦)或 europe-west6(苏黎世)数据中心中。全球
| 地点名称 | 位置类型 | 地点描述 | Cloud HSM 可用性 | Cloud EKM 可用性 |
|---|---|---|---|---|
global |
多区域 | 全球 | 仅限多租户 | 否 |
nam-eur-asia1 |
多区域 | 北美、欧洲和亚洲 (艾奥瓦、俄克拉荷马、比利时和台湾) |
仅限多租户 | 否 |
Cloud KMS 的位置类型
您可以在 Google Cloud中不同类型的位置创建 Cloud KMS、Cloud HSM 和 Cloud EKM 资源,具体取决于您的可用性要求。位置会定期添加。如需了解每个位置的具体信息,请参阅位置。
您可以详细了解如何选择最佳位置类型。
Cloud KMS 提供以下位置类型:
- 区域位置:区域位置的数据中心位于特定的地理位置。例如,在
us-central1地区创建的资源位于美国中部。 - 多区域位置:多区域位置密钥在逻辑上与区域密钥不同,但在物理上存储在多个区域数据中心中,并从这些数据中心提供服务。例如,在
europe多区域中创建的资源会保留在欧盟的所有数据中心内。您的密钥存储在多区域的所有数据中心中。您无法选择多区域的子集。 - 全球位置:
global位置是一个特殊的多区域。其数据中心遍布全球。您无法选择全球多区域中的哪些数据中心包含您的数据。
选择最佳类型的位置
通常,应用的设计应使其所有组件在地理位置上彼此靠近,并靠近应用的客户端。密钥的位置是应用设计的一个重要方面。密钥一经创建便无法移动或导出。
使用多区域位置(如 europe 多区域)时,资源会分布在多个区域的多个数据中心。在包含 global 位置在内的多区域位置创建和更新密钥,效率可能低于使用单区域位置。如需了解详情,请参阅读取和写入多区域位置。
如果满足以下所有条件,请使用 global 位置:
- 您的应用组件已在全球分布。
- 您的读取或写入操作较少,但经常使用其他加密操作。
- 您的密钥没有地理位置的要求。
- 您未使用外部密钥。
对于客户管理的加密密钥 (CMEK) 集成,您必须使用与该集成相关的其他资源所在的确切位置。一些 CMEK 集成不支持 global 位置。如需详细了解 CMEK 集成,请参阅客户管理的加密密钥 (CMEK)。
Cloud EKM 资源依赖于 Google Cloud 与 Google Cloud以外的外部密钥管理服务之间的连接。对于 Cloud External Key Manager 资源,请选择地理位置尽可能接近通过外部密钥管理服务存储密钥的位置。
Cloud HSM 依赖于位置的数据中心内物理硬件的可用性。对于 Cloud HSM 资源,请选择支持 Cloud HSM 的位置。
Cloud HSM 资源具有特定于位置的配额。Cloud KMS 配额是全球性的。
多区域位置具有单独的配额,与单区域位置的配额无关。例如,要在 eur5 多区域创建 Cloud HSM 资源,您必须在 eur5 有 HSM 配额,即使您已在 eur5 有单区域配额,例如 europe-west2。
读取和写入多区域位置
在多区域位置(包括 global 位置)读取和写入资源或关联元数据的速度可能比从单区域读取或写入的速度要慢。
- 创建或读取密钥版本时,存储密钥材料的数据中心始终需要达成共识。对单区域的读写通常比对多区域位置的读取和写入更高效。
- 当您执行加密操作(例如加密或解密数据)时,无需取得共识。对于加密操作,多区域位置的性能与单区域位置相似。
- 如果将密钥存储在其保护或验证的数据附近的地理位置,加密操作通常会更高效。
每个应用在性能和可用性之间的权衡具有唯一性。多区域位置(包括 global)最适合读取繁重的工作负载。
确定可用区域
您可以使用 Google Cloud CLI 或 Cloud Key Management Service API 获取可用区域的列表。
gcloud
gcloud kms locations list
在命令的输出中,HSM_AVAILABLE 列指示该位置是否支持 Cloud HSM。 EKM_AVAILABLE 列指示该位置是否支持 Cloud External Key Manager。请注意,目前仅在区域位置支持通过 VPC 使用 EKM 密钥。
API
使用 Locations.get 和 Locations.list 方法。
这两种方法的响应都包含与位置功能相关的布尔值字段:
如果某个位置支持多租户 Cloud HSM 密钥,则
hsmAvailable为true。如果某个位置支持 Cloud EKM 密钥,则
ekmAvailable为true。