Dentro de un proyecto, los recursos de Cloud Key Management Service se pueden crear en una de las muchas ubicaciones. Representan las regiones geográficas en las que se almacena un recurso de Cloud KMS y a las que se puede acceder. La ubicación de una clave influye en el rendimiento de las aplicaciones que la usan.
El material de las claves de Cloud KMS y Cloud HSM se limita a la región seleccionada cuando está en reposo y en uso.
La disponibilidad de los distintos niveles de protección varía según la zona:
SOFTWARE: las claves de software se pueden crear en todas las ubicaciones de Cloud KMS.HSM: las claves de Cloud HSM multiinquilino se pueden crear en la mayoría de las ubicaciones de Cloud KMS. Para ver las ubicaciones en las que puedes crear claves de Cloud HSM multiempresa, selecciona Compatible con HSM multiempresa en el filtro Compatibilidad con HSM.HSM_SINGLE_TENANT: las claves de Cloud HSM de un solo arrendatario se pueden crear en determinadas ubicaciones de Cloud KMS. Para ver las ubicaciones en las que puedes crear claves de Cloud HSM de un solo inquilino, selecciona Admite HSM de un solo inquilino en el filtro Compatibilidad con HSM.EXTERNAL: las claves de Cloud EKM en las que se accede a tu EKM a través de Internet se pueden crear en la mayoría de las ubicaciones de Cloud KMS. Para ver las ubicaciones en las que puedes crear claves de EKM de Cloud a través de Internet, selecciona EKM por Internet en el filtro Compatibilidad con EKM.EXTERNAL_VPC: las claves de Cloud EKM en las que se accede a tu EKM a través de una VPC se pueden crear en la mayoría de las ubicaciones de Cloud KMS. Para ver las ubicaciones en las que puedes crear claves de EKM de Cloud en una VPC, selecciona EKM por VPC en el filtro Compatibilidad con EKM.
En las siguientes tablas se indican las ubicaciones disponibles para usar en Cloud KMS en diferentes partes del mundo. Puedes filtrar estas ubicaciones por tipo de ubicación, compatibilidad con Cloud HSM y compatibilidad con Cloud EKM:
América
| Nombre de la ubicación | Tipo de ubicación | Descripción de la ubicación | Cloud HSM disponible | Cloud EKM disponible |
|---|---|---|---|---|
ca |
Multirregional | Varias regiones de Canadá | Solo multitenancy | Sí |
nam3 |
Multirregional | Carolina del Sur y Virginia del Norte | Solo multitenancy | Sí |
nam4 |
Multirregional | Carolina del Sur, Iowa y Oklahoma | Solo multitenancy | Sí |
nam6 |
Multirregional | Iowa y Carolina del Sur | Solo multitenancy | Sí |
nam7 |
Multirregional | Iowa, Oklahoma y Virginia del Norte | Solo multitenancy | Sí |
nam8 |
Multirregional | Los Ángeles, Oregón y Salt Lake City | Solo multitenancy | Sí |
nam9 |
Multirregional | Iowa y Virginia del Norte | Solo multitenancy | Sí |
nam10 |
Multirregional | Iowa, Oklahoma y Salt Lake City | Solo multitenancy | Sí |
nam11 |
Multirregional | Carolina del Sur, Iowa y Oklahoma | Solo multitenancy | Sí |
nam12 |
Multirregional | Iowa, Oklahoma, Oregón y Virginia del Norte | Solo multitenancy | Sí |
northamerica-northeast1 |
Región | Montreal | Solo multitenancy | Sí |
northamerica-northeast2 |
Región | Toronto | Solo multitenancy | Sí |
northamerica-south1 |
Región | México | Solo multitenancy | No |
southamerica-east1 |
Región | São Paulo | Solo multitenancy | Sí |
southamerica-west1 |
Región | Santiago | Solo multitenancy | Sí |
us |
Multirregional | Varias regiones de Estados Unidos | Solo multitenancy | Sí |
us-central1 |
Región | Iowa | Sí | Sí |
us-east1 |
Región | Carolina del Sur | Solo multitenancy | Sí |
us-east4 |
Región | Norte de Virginia | Sí | Sí |
us-east5 |
Región | Columbus | Solo multitenancy | Sí |
us-west1 |
Región | Oregón | Solo multitenancy | Sí |
us-west2 |
Región | Los Ángeles | Solo multitenancy | Sí |
us-west3 |
Región | Salt Lake City | Solo multitenancy | Sí |
us-west4 |
Región | Las Vegas | Solo multitenancy | Sí |
us-south1 |
Región | Dallas | Solo multitenancy | Sí |
Asia-Pacífico
| Nombre de la ubicación | Tipo de ubicación | Descripción de la ubicación | Cloud HSM disponible | Cloud EKM disponible |
|---|---|---|---|---|
asia |
Multirregional | Varias regiones de Asia | Solo multitenancy | Sí |
asia1 |
Multirregional | Osaka, Seúl y Tokio | Solo multitenancy | Sí |
asia-east1 |
Región | Taiwán | Solo multitenancy | Sí |
asia-east2 |
Región | Hong Kong | Solo multitenancy | Sí |
asia-northeast1 |
Región | Tokio | Solo multitenancy | Sí |
asia-northeast2 |
Región | Osaka | Solo multitenancy | Sí |
asia-northeast3 |
Región | Seúl | Solo multitenancy | Sí |
asia-south1 |
Región | Bombay | Solo multitenancy | Sí |
asia-south2 |
Región | Deli | Solo multitenancy | Sí |
asia-southeast1 |
Región | Singapur | Solo multitenancy | Sí |
asia-southeast2 |
Región | Yakarta | Solo multitenancy | Sí |
au |
Multirregional | Varias regiones de Australia | Solo multitenancy | Sí |
australia-southeast1 |
Región | Sídney | Solo multitenancy | Sí |
australia-southeast2 |
Región | Melbourne | Solo multitenancy | Sí |
in |
Multirregional | Varias regiones de la India | Solo multitenancy | Sí |
Europa, Oriente Medio
y África
| Nombre de la ubicación | Tipo de ubicación | Descripción de la ubicación | Cloud HSM disponible | Cloud EKM disponible |
|---|---|---|---|---|
africa-south1 |
Región | Johannesburgo | Solo multitenancy | Sí |
de |
Multirregional | Varias regiones de Alemania | Solo multitenancy | Sí |
eur3 |
Multirregional | Bélgica y Países Bajos | Solo multitenancy | Sí |
eur4 |
Multirregional | Bélgica, Finlandia y Países Bajos | Solo multitenancy | Sí |
eur5 |
Multirregional | Londres, Países Bajos y Bélgica | Solo multitenancy | Sí |
eur6 |
Multirregional | Países Bajos, Fráncfort y Zúrich | Solo multitenancy | Sí |
eur7 |
Multirregional | Berlín, Fráncfort y Londres | No | Sí |
eur8 |
Multirregional | Berlín, Fráncfort y Zúrich | No | Sí |
europe |
Multirregional | Varias regiones de la Unión Europea1 | Solo multitenancy | Sí |
europe-central2 |
Región | Varsovia | Solo multitenancy | Sí |
europe-north1 |
Región | Finlandia | Solo multitenancy | Sí |
europe-north2 |
Región | Estocolmo | Solo multitenancy | Sí |
europe-southwest1 |
Región | Madrid | Solo multitenancy | Sí |
europe-west1 |
Región | Bélgica | Sí | Sí |
europe-west2 |
Región | Londres | Solo multitenancy | Sí |
europe-west3 |
Región | Fráncfort | Solo multitenancy | Sí |
europe-west4 |
Región | Países Bajos | Sí | Sí |
europe-west6 |
Región | Zúrich | Solo multitenancy | Sí |
europe-west8 |
Región | Milán | Solo multitenancy | Sí |
europe-west9 |
Región | París | Solo multitenancy | Sí |
europe-west10 |
Región | Berlín | Solo multitenancy | Sí |
europe-west12 |
Región | Turín | Solo multitenancy | Sí |
it |
Multirregional | Varias zonas de Italia | Solo multitenancy | Sí |
me-central1 |
Región | Doha | Solo multitenancy | Sí |
me-central2 |
Región | Dammam | Solo multitenancy | Sí |
me-west1 |
Región | Tel Aviv | Solo multitenancy | Sí |
europe no se almacenan en los centros de datos europe-west2 (Londres) ni europe-west6 (Zúrich).
En todo el mundo
| Nombre de la ubicación | Tipo de ubicación | Descripción de la ubicación | Cloud HSM disponible | Cloud EKM disponible |
|---|---|---|---|---|
global |
Multirregional | Global | Solo multitenancy | No |
nam-eur-asia1 |
Multirregional | Asia, Europa y Norteamérica (Bélgica, Iowa, Oklahoma y Taiwán) |
Solo multitenancy | No |
Tipos de ubicaciones de Cloud KMS
Puedes crear recursos de Cloud KMS, Cloud HSM y Cloud EKM en diferentes tipos de ubicaciones de Google Cloud, en función de tus requisitos de disponibilidad. Se añaden ubicaciones con regularidad. Para obtener información específica sobre cada ubicación, consulta Ubicaciones.
Consulta más información sobre cómo elegir el mejor tipo de ubicación.
Cloud KMS ofrece los siguientes tipos de ubicaciones:
- Ubicaciones regionales: los centros de datos de una ubicación regional se encuentran en un lugar geográfico específico. Por ejemplo, un recurso creado en la región
us-central1se encuentra en el centro de Estados Unidos. - Ubicaciones multirregionales: los centros de datos de una ubicación multirregional se reparten en una zona geográfica amplia. Por ejemplo, un recurso creado en la multirregión
europese conserva en varios centros de datos de la Unión Europea. No puedes elegir qué centros de datos de la multirregión contendrán tus datos. - Ubicación mundial: la ubicación
globales una multirregión especial. Sus centros de datos están repartidos por todo el mundo. No puedes elegir qué centros de datos de la multirregión global contendrán tus datos.
Elegir el mejor tipo de ubicación
Por lo general, diseña tu aplicación de forma que todos sus componentes estén cerca entre sí y de los clientes de la aplicación. La ubicación de tus claves es un aspecto importante del diseño de tu aplicación. Una vez creada, una clave no se puede mover ni exportar.
Cuando se usa una ubicación multirregional, como la multirregión europe, los recursos se conservan en varios centros de datos distribuidos por toda la multirregión.
Crear y actualizar claves en ubicaciones multirregionales, incluida la ubicación global, puede ser menos eficiente que usar una ubicación de una sola región. Para obtener más información, consulta Lectura y escritura en ubicaciones multirregionales.
Usa la ubicación global si se cumplen todas las condiciones siguientes:
- Los componentes de tu aplicación se distribuyen en todo el mundo.
- Realizas lecturas o escrituras con poca frecuencia, pero utilizas otras operaciones criptográficas con frecuencia.
- Tus claves no tienen requisitos de residencia geográfica.
- No usas claves externas.
En el caso de las integraciones de claves de cifrado gestionadas por el cliente (CMEK), debes usar la misma ubicación que otros recursos relacionados con la integración. Algunas integraciones de CMEK no admiten la ubicación global. Para obtener más información sobre las integraciones de CMEK, consulta el artículo Claves de cifrado gestionadas por el cliente (CMEK).
Los recursos de Cloud EKM dependen de la conectividad entre Google Cloud y un servicio de gestión de claves externo, fuera de Google Cloud. En el caso de los recursos de Cloud External Key Manager, selecciona una ubicación geográfica lo más cercana posible a la ubicación en la que se almacenan las claves en el servicio de gestión de claves externo.
Cloud HSM depende de la disponibilidad del hardware físico en los centros de datos de una ubicación. En el caso de los recursos de Cloud HSM, selecciona una ubicación que admita Cloud HSM.
Los recursos de Cloud HSM tienen cuotas específicas de cada ubicación. Las cuotas de Cloud KMS son globales.
Las ubicaciones multirregionales tienen cuotas independientes de las de las ubicaciones de una sola región. Por ejemplo, para crear recursos de Cloud HSM en la multirregión eur5, debes tener cuota de HSM en eur5, aunque ya tengas cuota en las regiones individuales que participan en eur5, como europe-west2.
Leer y escribir en ubicaciones multirregionales
Leer y escribir recursos o metadatos asociados en ubicaciones multirregionales, incluida la ubicación global, puede ser más lento que leer o escribir desde una sola región.
- Cuando creas o lees versiones de claves, siempre se requiere el consenso entre los centros de datos que almacenan el material de la clave. Las lecturas y escrituras en una sola región suelen ser más eficientes que las que se realizan en una ubicación multirregional.
- Cuando realizas operaciones criptográficas, como encriptar o desencriptar datos, no se requiere consenso. En el caso de las operaciones criptográficas, las ubicaciones multirregionales funcionan de forma similar a las ubicaciones de una sola región.
- Si almacenas las claves en una o varias ubicaciones geográficamente cercanas a los datos que protegen o validan, las operaciones criptográficas suelen ser más eficientes.
Las ventajas y desventajas entre el rendimiento y la disponibilidad son exclusivas de cada aplicación. Las ubicaciones multirregión, como global, son las más adecuadas para cargas de trabajo con muchas lecturas.
Determinar las regiones disponibles
Puedes usar la CLI de Google Cloud o la API Cloud Key Management Service para obtener una lista de las regiones disponibles.
gcloud
gcloud kms locations list
En el resultado del comando, la columna HSM_AVAILABLE indica si la ubicación admite Cloud HSM. La columna EKM_AVAILABLE indica si la ubicación admite Cloud External Key Manager. Ten en cuenta que las claves de EKM a través de VPC
solo están disponibles en ubicaciones regionales.
API
Usa los métodos Locations.get y Locations.list.
Las respuestas de ambos métodos incluyen campos booleanos relacionados con las funciones de una ubicación:
Si una ubicación admite claves de Cloud HSM multicliente,
hsmAvailableestrue.Si una ubicación admite claves de EKM de Cloud,
ekmAvailableestrue.
Siguientes pasos
- Consulta más información sobre geografía y regiones en Google Cloud.
- Consulta la lista completa de ubicaciones de Cloud.