Dentro de un proyecto, los recursos de Cloud Key Management Service se pueden crear en una de varias ubicaciones . Estas representan las regiones geográficas en las que se almacena un recurso de Cloud KMS y se puede acceder a él. La ubicación de una clave afecta el rendimiento de las aplicaciones que la usan. Algunos recursos, como las claves de Cloud HSM, no están disponibles en todas las ubicaciones.
El material de clave para las claves de Cloud KMS y Cloud HSM se limita a la región seleccionada mientras está en reposo y en uso.
En las siguientes tablas, se enumeran las ubicaciones disponibles para usar en Cloud KMS de diferentes partes del mundo. Puedes filtrar estas ubicaciones por el tipo de ubicación , la compatibilidad con Cloud HSM y Compatibilidad con Cloud EKM:
América
| Nombre de la ubicación | Tipo de ubicación | Descripción de la ubicación | Cloud HSM disponible | Cloud EKM disponible |
|---|---|---|---|---|
ca
|
Multirregión | Varias regiones en Canadá | No | Sí |
nam3
|
Multirregión | Virginia del Norte y Carolina del Sur | Sí | Sí |
nam4
|
Multirregión | Iowa, Carolina del Sur y Oklahoma | Sí | Sí |
nam6
|
Multirregión | Iowa y Carolina del Sur | Sí | Sí |
nam7
|
Multirregión | Iowa, Virginia del Norte y Oklahoma | Sí | Sí |
nam8
|
Multirregión | Los Ángeles, Oregón y Salt Lake City | Sí | Sí |
nam9
|
Multirregión | Iowa y Virginia del Norte | Sí | Sí |
nam10
|
Multirregión | Iowa, Salt Lake City y Oklahoma | Sí | Sí |
nam11
|
Multirregión | Iowa, Carolina del Sur y Oklahoma | Sí | Sí |
nam12
|
Multirregión | Iowa, Virginia del Norte, Oklahoma y Oregón | Sí | Sí |
northamerica-northeast1
|
Región | Montreal | Sí | Sí |
northamerica-northeast2
|
Región | Toronto | Sí | Sí |
southamerica-east1
|
Región | São Paulo | Sí | Sí |
southamerica-west1
|
Región | Santiago | Sí | Sí |
us
|
Multirregión | Varias regiones en Estados Unidos | Sí | Sí |
us-central1
|
Región | Iowa | Sí | Sí |
us-east1
|
Región | Carolina del Sur | Sí | Sí |
us-east4
|
Región | Virginia del Norte | Sí | Sí |
us-east5
|
Región | Columbus | Sí | Sí |
us-west1
|
Región | Oregón | Sí | Sí |
us-west2
|
Región | Los Ángeles | Sí | Sí |
us-west3
|
Región | Salt Lake City | Sí | Sí |
us-west4
|
Región | Las Vegas | Sí | Sí |
us-south1
|
Región | Dallas | Sí | Sí |
Asia-Pacífico
| Nombre de la ubicación | Tipo de ubicación | Descripción de la ubicación | Cloud HSM disponible | Cloud EKM disponible |
|---|---|---|---|---|
asia
|
Multirregión | Varias regiones en Asia | Sí | Sí |
asia1
|
Multirregión | Tokio, Osaka y Seúl | Sí | Sí |
asia-east1
|
Región | Taiwán | Sí | Sí |
asia-east2
|
Región | Hong Kong | Sí | Sí |
asia-northeast1
|
Región | Tokio | Sí | Sí |
asia-northeast2
|
Región | Osaka | Sí | Sí |
asia-northeast3
|
Región | Seúl | Sí | Sí |
asia-south1
|
Región | Bombay | Sí | Sí |
asia-south2
|
Región | Delhi | Sí | Sí |
asia-southeast1
|
Región | Singapur | Sí | Sí |
asia-southeast2
|
Región | Yakarta | Sí | Sí |
au
|
Multirregión | Varias regiones en Australia | No | Sí |
australia-southeast1
|
Región | Sídney | Sí | Sí |
australia-southeast2
|
Región | Melbourne | Sí | Sí |
in
|
Multirregión | Varias regiones en la India | Sí | Sí |
Europa, Oriente Medio
y África
| Nombre de la ubicación | Tipo de ubicación | Descripción de la ubicación | Cloud HSM disponible | Cloud EKM disponible |
|---|---|---|---|---|
africa-south1
|
Región | Johannesburgo | Sí | Sí |
eur3
|
Multirregión | Bélgica y Países Bajos | Sí | Sí |
eur4
|
Multirregión | Finlandia, Países Bajos y Bélgica | Sí | Sí |
eur5
|
Multirregión | Londres, Países Bajos y Bélgica | Sí | Sí |
eur6
|
Multirregión | Países Bajos, Fráncfort y Zúrich | Sí | Sí |
eur7
|
Multirregión | Londres, Fráncfort y Berlín | No | Sí |
eur8
|
Multirregión | Zúrich, Fráncfort y Berlín | No | Sí |
europe
|
Multirregión | Varias regiones en la Unión Europea 1 | Sí | Sí |
europe-central2
|
Región | Varsovia | Sí | Sí |
europe-north1
|
Región | Finlandia | Sí | Sí |
europe-southwest1
|
Región | Madrid | Sí | Sí |
europe-west1
|
Región | Bélgica | Sí | Sí |
europe-west2
|
Región | Londres | Sí | Sí |
europe-west3
|
Región | Fráncfort | Sí | Sí |
europe-west4
|
Región | Países Bajos | Sí | Sí |
europe-west6
|
Región | Zúrich | Sí | Sí |
europe-west8
|
Región | Milán | Sí | Sí |
europe-west9
|
Región | París | Sí | Sí |
europe-west10
|
Región | Berlín | Sí | Sí |
europe-west12
|
Región | Turín | Sí | Sí |
de
|
Multirregión | Varias regiones en Alemania | No | No |
it
|
Multirregión | Varias regiones en Italia | No | Sí |
me-central1
|
Región | Doha | Sí | Sí |
me-central2
|
Región | Dammam | Sí | Sí |
me-west1
|
Región | Tel Aviv | Sí | Sí |
europe
no se almacenan en los centros de datos de europe-west2
(Londres) ni de europe-west6
(Zúrich).En todo el mundo
| Nombre de la ubicación | Tipo de ubicación | Descripción de la ubicación | Cloud HSM disponible | Cloud EKM disponible |
|---|---|---|---|---|
global
|
global | Sí | No | |
nam-eur-asia1
|
Multirregión | Norteamérica, Europa y Asia (Iowa, Oklahoma, Bélgica y Taiwán) |
Sí | No |
Tipos de ubicaciones para Cloud KMS
Puedes crear recursos de Cloud KMS, Cloud HSM y Cloud EKM en diferentes tipos de ubicaciones en Google Cloud, según tus requisitos de disponibilidad. Las ubicaciones se agregan de forma habitual. Para obtener información específica sobre cada ubicación, consulta Ubicaciones .
Puedes obtener más información para elegir el mejor tipo de ubicación .
Los siguientes tipos de ubicaciones están disponibles para Cloud KMS:
- Ubicaciones regionales: Los centros de datos de una ubicación regional existen en un
un lugar geográfico específico. Por ejemplo, un recurso creado en la región
us-central1se encuentra en el centro de Estados Unidos. - Ubicaciones multirregionales: Los centros de datos de una ubicación multirregional son
distribuida en una extensa área geográfica. Por ejemplo, un recurso creado en la multirregión
europepersiste en varios centros de datos dentro de la Unión Europea. No puedes elegir qué centros de datos del multirregional contendrá tus datos. - La ubicación global: La ubicación
globales una multirregión especial. Sus centros de datos están repartidos por todo el mundo. No puedes elegir qué centros de datos dentro de la multirregión global contendrán tus datos.
Elige el mejor tipo de ubicación
Como regla general, diseña tu aplicación de modo que todos sus componentes se encuentren geográficamente cerca entre sí y cerca de los clientes de tu aplicación. La ubicación de tus claves es un aspecto importante del diseño de tu aplicación. Después de la creación, no se puede mover ni exportar una clave.
Cuando se usa una ubicación multirregional, como la multirregión europe
, los recursos persisten en múltiples centros de datos distribuidos en toda la multirregión.
Crea y actualiza claves en ubicaciones multirregionales, incluido global
puede ser menos eficiente que usar una ubicación de una sola región. Para obtener más información, consulta Lee en y escribe hacia ubicaciones multirregionales
.
Usa la ubicación global
si se cumplen todas estas condiciones:
- Los componentes de la aplicación se distribuyen de forma global.
- Tienes operaciones de lectura o escritura poco frecuentes, pero usas otras operaciones criptográficas con frecuencia.
- Tus claves no tienen requisitos de residencia geográfica.
- No estás usando claves externas.
Para las integraciones de claves de encriptación administradas por el cliente (CMEK), debes usar la misma ubicación exacta que otros recursos relacionados con la integración. Algunas integraciones de CMEK no admiten la ubicación global
. Para obtener más información sobre las integraciones de CMEK, consulta Claves de encriptación administradas por el cliente (CMEK)
.
Los recursos de Cloud EKM dependen de la conectividad entre Google Cloud y un servicio de administración de claves externas, fuera de Google Cloud. Para los recursos de Cloud External Key Manager, selecciona una ubicación lo más cercana posible a la ubicación en la que se almacenan las claves en el servicio de administración de claves externas.
Cloud HSM depende de la disponibilidad de hardware físico en los centros de datos de una ubicación. Para los recursos de Cloud HSM, selecciona una ubicación que admita Cloud HSM.
Los recursos de Cloud HSM tienen cuotas específicas de la ubicación. Las cuotas de Cloud KMS son globales.
Las ubicaciones multirregionales tienen cuotas separadas, independientemente de las cuotas para las ubicaciones de una sola región. Por ejemplo, para crear Cloud HSM
recursos en la multirregión eur5
, debes tener cuota de HSM en eur5
, aun si
Ya tienes cuota en las regiones individuales que participan en eur5
, como europe-west2
Leer en y escribe hacia ubicaciones multirregionales
Lectura y escritura de recursos o metadatos asociados en multirregionales
ubicaciones, incluida la de global
, podrían ser más lentas que leer o
de escritura desde una sola región.
- Cuando creas o lees versiones de claves, siempre se requiere consenso entre los centros de datos que almacenan el material de claves. Las operaciones de lectura y escritura en una sola región suelen ser más eficientes que las que se realizan en una ubicación multirregional.
- Cuando realizas operaciones criptográficas, como cuando se encriptan o desencriptan datos, no se necesita consenso. En el caso de las operaciones criptográficas, las ubicaciones multirregionales funcionan de manera similar a las ubicaciones de una sola región.
- Cuando almacenas tus claves en ubicaciones geográficamente cercanas a los datos que protegen o validan, las operaciones criptográficas suelen ser más eficientes.
Las compensaciones entre el rendimiento y la disponibilidad son exclusivas de cada aplicación. Las ubicaciones multirregionales, incluidas global
, son más adecuadas para
con mucha carga de lectura.
Determina regiones disponibles
Puedes usar Google Cloud CLI o la API de Cloud Key Management Service para obtener una lista de las regiones disponibles.
gcloud
gcloud kms locations list
En la salida del comando, la columna HSM_AVAILABLE
indica si la ubicación es compatible con Cloud HSM. La columna EKM_AVAILABLE
indica si la ubicación es compatible con Cloud External Key Manager. Ten en cuentaque, por el momento, el EKM a través de claves de VPC solo está disponible en ubicaciones regionales.
API
Usa los métodos Locations.get
y Locations.list
.
Las respuestas de ambos métodos incluyen campos booleanos relacionados con las capacidades de una ubicación:
-
Si una ubicación admite claves de Cloud HSM,
hsmAvailableestrue. -
Si una ubicación admite claves de Cloud EKM,
ekmAvailableestrue. Ten en cuentaque, actualmente, EKM a través de claves de VPC solo está disponible en regionales.
¿Qué sigue?
- Obtén más información sobre la geografía y las regiones en Google Cloud.
- Consulta la lista completa de Ubicaciones de Cloud .
