Dalam sebuah project, resource Cloud Key Management Service dapat dibuat di salah satu dari banyak lokasi. Lokasi ini mewakili region geografis tempat resource Cloud KMS disimpan dan dapat diakses. Lokasi kunci memengaruhi performa aplikasi yang menggunakan kunci.
Materi kunci untuk kunci Cloud KMS dan Cloud HSM dibatasi ke region yang dipilih saat tidak digunakan dan saat digunakan.
Dukungan untuk tingkat perlindungan yang berbeda bervariasi menurut wilayah:
SOFTWARE: Kunci software dapat dibuat di semua lokasi Cloud KMS.HSM: Kunci Cloud HSM multi-tenant dapat dibuat di sebagian besar lokasi Cloud KMS. Untuk melihat lokasi tempat Anda dapat membuat kunci Cloud HSM multi-tenant, pilih Mendukung HSM multi-tenant di filter Dukungan HSM.HSM_SINGLE_TENANT: Kunci Cloud HSM tenant tunggal dapat dibuat di lokasi Cloud KMS tertentu. Untuk melihat lokasi tempat Anda dapat membuat kunci Cloud HSM tenant tunggal, pilih Mendukung HSM tenant tunggal di filter Dukungan HSM.EXTERNAL: Kunci Cloud EKM yang EKM-nya diakses melalui internet dapat dibuat di sebagian besar lokasi Cloud KMS. Untuk melihat lokasi tempat Anda dapat membuat kunci Cloud EKM melalui internet, pilih EKM melalui internet di filter Dukungan EKM.EXTERNAL_VPC: Kunci Cloud EKM tempat EKM Anda diakses melalui VPC dapat dibuat di sebagian besar lokasi Cloud KMS. Untuk melihat lokasi tempat Anda dapat membuat kunci Cloud EKM melalui VPC, pilih EKM menurut VPC di filter Dukungan EKM.
Tabel berikut mencantumkan lokasi yang tersedia untuk digunakan di Cloud KMS untuk berbagai belahan dunia. Anda dapat memfilter lokasi ini menurut jenis lokasi, dukungan Cloud HSM, dan dukungan Cloud EKM:
Amerika
| Nama lokasi | Jenis lokasi | Deskripsi lokasi | Cloud HSM tersedia | Cloud EKM tersedia |
|---|---|---|---|---|
ca |
Multi-region | Beberapa region di Kanada | Khusus multi-tenant | Ya |
nam3 |
Multi-region | Northern Virginia dan South Carolina | Khusus multi-tenant | Ya |
nam4 |
Multi-region | Iowa, South Carolina, dan Oklahoma | Khusus multi-tenant | Ya |
nam6 |
Multi-region | Iowa dan South Carolina | Khusus multi-tenant | Ya |
nam7 |
Multi-region | Iowa, Northern Virginia, dan Oklahoma | Khusus multi-tenant | Ya |
nam8 |
Multi-region | Los Angeles, Oregon, dan Salt Lake City | Khusus multi-tenant | Ya |
nam9 |
Multi-region | Northern Virginia dan Iowa | Khusus multi-tenant | Ya |
nam10 |
Multi-region | Iowa, Salt Lake City, dan Oklahoma | Khusus multi-tenant | Ya |
nam11 |
Multi-region | Iowa, South Carolina, dan Oklahoma | Khusus multi-tenant | Ya |
nam12 |
Multi-region | Iowa, Northern Virginia, Oklahoma, dan Oregon | Khusus multi-tenant | Ya |
northamerica-northeast1 |
Wilayah | Montréal | Khusus multi-tenant | Ya |
northamerica-northeast2 |
Wilayah | Toronto | Khusus multi-tenant | Ya |
northamerica-south1 |
Wilayah | Meksiko | Khusus multi-tenant | Tidak |
southamerica-east1 |
Wilayah | Sao Paulo | Khusus multi-tenant | Ya |
southamerica-west1 |
Wilayah | Santiago | Khusus multi-tenant | Ya |
us |
Multi-region | Beberapa wilayah di Amerika Serikat | Khusus multi-tenant | Ya |
us-central1 |
Wilayah | Iowa | Ya | Ya |
us-east1 |
Wilayah | Carolina Selatan | Khusus multi-tenant | Ya |
us-east4 |
Wilayah | Northern Virginia | Ya | Ya |
us-east5 |
Wilayah | Columbus | Khusus multi-tenant | Ya |
us-west1 |
Wilayah | Oregon | Khusus multi-tenant | Ya |
us-west2 |
Wilayah | Los Angeles | Khusus multi-tenant | Ya |
us-west3 |
Wilayah | Salt Lake City | Khusus multi-tenant | Ya |
us-west4 |
Wilayah | Las Vegas | Khusus multi-tenant | Ya |
us-south1 |
Wilayah | Dallas | Khusus multi-tenant | Ya |
Asia-Pasifik
| Nama lokasi | Jenis lokasi | Deskripsi lokasi | Cloud HSM tersedia | Cloud EKM tersedia |
|---|---|---|---|---|
asia |
Multi-region | Beberapa region di Asia | Khusus multi-tenant | Ya |
asia1 |
Multi-region | Tokyo, Osaka, dan Seoul | Khusus multi-tenant | Ya |
asia-east1 |
Wilayah | Taiwan | Khusus multi-tenant | Ya |
asia-east2 |
Wilayah | Hong Kong | Khusus multi-tenant | Ya |
asia-northeast1 |
Wilayah | Tokyo | Khusus multi-tenant | Ya |
asia-northeast2 |
Wilayah | Osaka | Khusus multi-tenant | Ya |
asia-northeast3 |
Wilayah | Seoul | Khusus multi-tenant | Ya |
asia-south1 |
Wilayah | Mumbai | Khusus multi-tenant | Ya |
asia-south2 |
Wilayah | Delhi | Khusus multi-tenant | Ya |
asia-southeast1 |
Wilayah | Singapura | Khusus multi-tenant | Ya |
asia-southeast2 |
Wilayah | Jakarta | Khusus multi-tenant | Ya |
au |
Multi-region | Beberapa wilayah di Australia | Khusus multi-tenant | Ya |
australia-southeast1 |
Wilayah | Sydney | Khusus multi-tenant | Ya |
australia-southeast2 |
Wilayah | Melbourne | Khusus multi-tenant | Ya |
in |
Multi-region | Beberapa wilayah di India | Khusus multi-tenant | Ya |
Eropa, Timur Tengah,
dan Afrika
| Nama lokasi | Jenis lokasi | Deskripsi lokasi | Cloud HSM tersedia | Cloud EKM tersedia |
|---|---|---|---|---|
africa-south1 |
Wilayah | Johannesburg | Khusus multi-tenant | Ya |
de |
Multi-region | Beberapa region di Jerman | Khusus multi-tenant | Ya |
eur3 |
Multi-region | Belgia dan Belanda | Khusus multi-tenant | Ya |
eur4 |
Multi-region | Finlandia, Belanda, dan Belgia | Khusus multi-tenant | Ya |
eur5 |
Multi-region | London, Belanda, dan Belgia | Khusus multi-tenant | Ya |
eur6 |
Multi-region | Belanda, Frankfurt, dan Zurich | Khusus multi-tenant | Ya |
eur7 |
Multi-region | London, Frankfurt, dan Berlin | Tidak | Ya |
eur8 |
Multi-region | Zürich, Frankfurt, dan Berlin | Tidak | Ya |
europe |
Multi-region | Beberapa region di Uni Eropa1 | Khusus multi-tenant | Ya |
europe-central2 |
Wilayah | Warsawa | Khusus multi-tenant | Ya |
europe-north1 |
Wilayah | Finlandia | Khusus multi-tenant | Ya |
europe-north2 |
Wilayah | Stockholm | Khusus multi-tenant | Ya |
europe-southwest1 |
Wilayah | Madrid | Khusus multi-tenant | Ya |
europe-west1 |
Wilayah | Belgia | Ya | Ya |
europe-west2 |
Wilayah | London | Khusus multi-tenant | Ya |
europe-west3 |
Wilayah | Frankfurt | Khusus multi-tenant | Ya |
europe-west4 |
Wilayah | Belanda | Ya | Ya |
europe-west6 |
Wilayah | Zürich | Khusus multi-tenant | Ya |
europe-west8 |
Wilayah | Milan | Khusus multi-tenant | Ya |
europe-west9 |
Wilayah | Paris | Khusus multi-tenant | Ya |
europe-west10 |
Wilayah | Berlin | Khusus multi-tenant | Ya |
europe-west12 |
Wilayah | Turin | Khusus multi-tenant | Ya |
it |
Multi-region | Beberapa region di Italia | Khusus multi-tenant | Ya |
me-central1 |
Wilayah | Doha | Khusus multi-tenant | Ya |
me-central2 |
Wilayah | Dammam | Khusus multi-tenant | Ya |
me-west1 |
Wilayah | Tel Aviv | Khusus multi-tenant | Ya |
europe tidak disimpan di pusat data europe-west2 (London) atau europe-west6 (Zürich).
Seluruh dunia
| Nama lokasi | Jenis lokasi | Deskripsi lokasi | Cloud HSM tersedia | Cloud EKM tersedia |
|---|---|---|---|---|
global |
Multi-region | Global | Khusus multi-tenant | Tidak |
nam-eur-asia1 |
Multi-region | Amerika Utara, Eropa, dan Asia (Iowa, Oklahoma, Belgia, dan Taiwan) |
Khusus multi-tenant | Tidak |
Jenis lokasi untuk Cloud KMS
Anda dapat membuat resource Cloud KMS, Cloud HSM, dan Cloud EKM di berbagai jenis lokasi di Google Cloud, bergantung pada persyaratan ketersediaan Anda. Lokasi ditambahkan secara rutin. Untuk informasi spesifik tentang setiap lokasi, lihat Lokasi.
Anda dapat mempelajari lebih lanjut cara memilih jenis lokasi terbaik.
Jenis lokasi berikut tersedia untuk Cloud KMS:
- Lokasi regional: Pusat data lokasi regional berada di
tempat geografis tertentu. Misalnya, resource yang dibuat di region
us-central1terletak di Amerika Serikat bagian tengah. - Lokasi multi-regional: Pusat data lokasi multi-regional tersebar di area geografis yang luas. Misalnya, resource yang dibuat di multi-region
europeakan tetap ada di beberapa pusat data dalam Uni Eropa. Anda tidak dapat memilih pusat data mana dalam multi-region yang akan berisi data Anda. - Lokasi global: Lokasi
globaladalah multi-region khusus. Pusat datanya tersebar di seluruh dunia. Anda tidak dapat memilih pusat data dalam multi-region global yang akan berisi data Anda.
Memilih jenis lokasi terbaik
Sebagai aturan, desain aplikasi Anda sehingga semua komponennya berdekatan secara geografis dan dekat dengan klien aplikasi Anda. Lokasi kunci Anda adalah aspek penting dari desain aplikasi Anda. Setelah dibuat, kunci tidak dapat dipindahkan atau diekspor.
Saat menggunakan lokasi multi-regional, seperti multi-region europe, resource tetap ada di beberapa pusat data yang tersebar di seluruh multi-region.
Membuat dan memperbarui kunci di lokasi multi-regional, termasuk lokasi global, mungkin kurang efisien dibandingkan menggunakan lokasi satu region. Untuk mengetahui informasi selengkapnya, lihat Membaca dan menulis ke lokasi multi-region.
Gunakan lokasi global jika semua hal berikut benar:
- Komponen aplikasi Anda didistribusikan secara global.
- Anda jarang melakukan operasi baca atau tulis, tetapi sering menggunakan operasi kriptografi lainnya.
- Kunci Anda tidak memiliki persyaratan residensi geografis.
- Anda tidak menggunakan kunci eksternal.
Untuk integrasi Kunci Enkripsi yang Dikelola Pelanggan (CMEK), Anda harus menggunakan lokasi yang sama persis dengan resource lain yang terkait dengan integrasi. Beberapa integrasi CMEK tidak mendukung lokasi global. Untuk mengetahui informasi selengkapnya tentang integrasi CMEK, lihat
Kunci enkripsi yang dikelola pelanggan (CMEK).
Resource Cloud EKM mengandalkan konektivitas antara Google Cloud dan layanan pengelolaan kunci eksternal, di luar Google Cloud. Untuk resource Cloud External Key Manager, pilih lokasi geografis yang sedekat mungkin dengan lokasi tempat kunci disimpan di layanan pengelolaan kunci eksternal.
Cloud HSM bergantung pada ketersediaan hardware fisik di pusat data suatu lokasi. Untuk resource Cloud HSM, pilih lokasi yang mendukung Cloud HSM.
Resource Cloud HSM memiliki kuota khusus lokasi. Kuota Cloud KMS bersifat global.
Lokasi multi-region memiliki kuota terpisah, terlepas dari kuota untuk lokasi satu region. Misalnya, untuk membuat resource Cloud HSM di multi-region eur5, Anda harus memiliki kuota HSM di eur5, meskipun Anda sudah memiliki kuota di region tunggal yang berpartisipasi dalam eur5, seperti europe-west2.
Membaca dari dan menulis ke lokasi multi-region
Membaca dan menulis resource atau metadata terkait di lokasi multi-regional, termasuk lokasi global, mungkin lebih lambat daripada membaca atau menulis dari satu region.
- Saat Anda membuat atau membaca versi kunci, konsensus selalu diperlukan di antara pusat data yang menyimpan materi kunci. Operasi baca dan tulis ke satu region sering kali lebih efisien daripada operasi ke lokasi multi-region.
- Saat Anda melakukan operasi kriptografi, seperti saat mengenkripsi atau mendekripsi data, konsensus tidak diperlukan. Untuk operasi kriptografi, lokasi multi-regional berperforma serupa dengan lokasi satu region.
- Jika Anda menyimpan kunci di satu atau beberapa lokasi yang secara geografis dekat dengan data yang dilindungi atau divalidasinya, operasi kriptografi biasanya lebih efisien.
Kompromi antara performa dan ketersediaan unik untuk setiap
aplikasi. Lokasi multi-region, termasuk global, paling cocok untuk
workload dengan banyak operasi baca.
Menentukan region yang tersedia
Anda dapat menggunakan Google Cloud CLI atau Cloud Key Management Service API untuk mendapatkan daftar region yang tersedia.
gcloud
gcloud kms locations list
Dalam output dari perintah, kolom HSM_AVAILABLE menunjukkan apakah lokasi mendukung Cloud HSM. Kolom EKM_AVAILABLE menunjukkan
apakah lokasi mendukung Cloud External Key Manager. Perhatikan bahwa EKM melalui kunci VPC
saat ini hanya tersedia di lokasi regional.
API
Gunakan metode
Locations.get dan
Locations.list.
Respons dari kedua metode ini mencakup kolom boolean yang terkait dengan kemampuan lokasi:
Jika lokasi mendukung kunci Cloud HSM multi-tenant,
hsmAvailableadalahtrue.Jika lokasi mendukung kunci Cloud EKM,
ekmAvailableadalahtrue.
Langkah berikutnya
- Pelajari lebih lanjut Geografi dan wilayah di Google Cloud.
- Lihat daftar lengkap Lokasi cloud.