Dans un projet, les ressources Cloud Key Management Service peuvent être créées dans l'un des nombreux emplacements. Il s'agit des régions géographiques dans lesquelles une ressource Cloud KMS est stockée et accessible. L'emplacement d'une clé a une incidence sur les performances des applications qui utilisent cette clé.
Le matériel des clés Cloud KMS et Cloud HSM est stocké dans la région sélectionnée, qu'il soit utilisé ou au repos.
La compatibilité des différents niveaux de protection varie selon les régions :
SOFTWARE: les clés logicielles peuvent être créées dans tous les emplacements Cloud KMS.HSM: les clés Cloud HSM multitenant peuvent être créées dans la plupart des emplacements Cloud KMS. Pour afficher les emplacements où vous pouvez créer des clés Cloud HSM multitenant, sélectionnez Compatible avec les HSM multitenants dans le filtre Compatibilité HSM.HSM_SINGLE_TENANT: les clés HSM Cloud à locataire unique peuvent être créées dans certains emplacements Cloud KMS. Pour afficher les emplacements où vous pouvez créer des clés Cloud HSM à locataire unique, sélectionnez Compatible avec les HSM à locataire unique dans le filtre Compatibilité HSM.EXTERNAL: les clés Cloud EKM dont l'EKM est accessible sur Internet peuvent être créées dans la plupart des emplacements Cloud KMS. Pour afficher les emplacements où vous pouvez créer des clés Cloud EKM sur Internet, sélectionnez EKM par Internet dans le filtre Compatibilité EKM.EXTERNAL_VPC: les clés Cloud EKM pour lesquelles votre EKM est accessible via un VPC peuvent être créées dans la plupart des emplacements Cloud KMS. Pour afficher les emplacements où vous pouvez créer des clés Cloud EKM sur un VPC, sélectionnez EKM par VPC dans le filtre Prise en charge d'EKM.
Les tableaux suivants listent les emplacements disponibles dans Cloud KMS pour différentes régions du monde. Vous pouvez filtrer ces emplacements par type d'emplacement, par compatibilité avec Cloud HSM et par compatibilité avec Cloud EKM :
Amériques
| Nom du lieu | Type de lieu | Description de l'emplacement | Cloud HSM disponible | Cloud EKM disponible |
|---|---|---|---|---|
ca |
Emplacement multirégional | Plusieurs régions au Canada | Mutualisation uniquement | Oui |
nam3 |
Emplacement multirégional | Virginie du Nord et Caroline du Sud | Mutualisation uniquement | Oui |
nam4 |
Emplacement multirégional | Iowa, Caroline du Sud et Oklahoma | Mutualisation uniquement | Oui |
nam6 |
Emplacement multirégional | Iowa et Caroline du Sud | Mutualisation uniquement | Oui |
nam7 |
Emplacement multirégional | Iowa, Virginie du Nord et Oklahoma | Mutualisation uniquement | Oui |
nam8 |
Emplacement multirégional | Los Angeles, Oregon et Salt Lake City | Mutualisation uniquement | Oui |
nam9 |
Emplacement multirégional | Virginie du Nord et Iowa | Mutualisation uniquement | Oui |
nam10 |
Emplacement multirégional | Iowa, Salt Lake City et Oklahoma | Mutualisation uniquement | Oui |
nam11 |
Emplacement multirégional | Iowa, Caroline du Sud et Oklahoma | Mutualisation uniquement | Oui |
nam12 |
Emplacement multirégional | Iowa, Virginie du Nord, Oklahoma et Oregon | Mutualisation uniquement | Oui |
northamerica-northeast1 |
Région | Montréal | Mutualisation uniquement | Oui |
northamerica-northeast2 |
Région | Toronto | Mutualisation uniquement | Oui |
northamerica-south1 |
Région | Mexique | Mutualisation uniquement | Non |
southamerica-east1 |
Région | São Paulo | Mutualisation uniquement | Oui |
southamerica-west1 |
Région | Santiago | Mutualisation uniquement | Oui |
us |
Emplacement multirégional | Plusieurs régions aux États-Unis | Mutualisation uniquement | Oui |
us-central1 |
Région | Iowa | Oui | Oui |
us-east1 |
Région | Caroline du Sud | Mutualisation uniquement | Oui |
us-east4 |
Région | Virginie du Nord | Oui | Oui |
us-east5 |
Région | Columbus | Mutualisation uniquement | Oui |
us-west1 |
Région | Oregon | Mutualisation uniquement | Oui |
us-west2 |
Région | Los Angeles | Mutualisation uniquement | Oui |
us-west3 |
Région | Salt Lake City | Mutualisation uniquement | Oui |
us-west4 |
Région | Las Vegas | Mutualisation uniquement | Oui |
us-south1 |
Région | Dallas | Mutualisation uniquement | Oui |
Asie-Pacifique
| Nom du lieu | Type de lieu | Description de l'emplacement | Cloud HSM disponible | Cloud EKM disponible |
|---|---|---|---|---|
asia |
Emplacement multirégional | Plusieurs régions en Asie | Mutualisation uniquement | Oui |
asia1 |
Emplacement multirégional | Tokyo, Osaka et Séoul | Mutualisation uniquement | Oui |
asia-east1 |
Région | Taïwan | Mutualisation uniquement | Oui |
asia-east2 |
Région | Hong Kong | Mutualisation uniquement | Oui |
asia-northeast1 |
Région | Tokyo | Mutualisation uniquement | Oui |
asia-northeast2 |
Région | Osaka | Mutualisation uniquement | Oui |
asia-northeast3 |
Région | Séoul | Mutualisation uniquement | Oui |
asia-south1 |
Région | Mumbai | Mutualisation uniquement | Oui |
asia-south2 |
Région | Delhi | Mutualisation uniquement | Oui |
asia-southeast1 |
Région | Singapour | Mutualisation uniquement | Oui |
asia-southeast2 |
Région | Jakarta | Mutualisation uniquement | Oui |
au |
Emplacement multirégional | Plusieurs régions en Australie | Mutualisation uniquement | Oui |
australia-southeast1 |
Région | Sydney | Mutualisation uniquement | Oui |
australia-southeast2 |
Région | Melbourne | Mutualisation uniquement | Oui |
in |
Emplacement multirégional | Plusieurs régions en Inde | Mutualisation uniquement | Oui |
Europe, Moyen-Orient et Afrique
| Nom du lieu | Type de lieu | Description de l'emplacement | Cloud HSM disponible | Cloud EKM disponible |
|---|---|---|---|---|
africa-south1 |
Région | Johannesburg | Mutualisation uniquement | Oui |
de |
Emplacement multirégional | Plusieurs régions en Allemagne | Mutualisation uniquement | Oui |
eur3 |
Emplacement multirégional | Belgique et Pays-Bas | Mutualisation uniquement | Oui |
eur4 |
Emplacement multirégional | Finlande, Pays-Bas et Belgique | Mutualisation uniquement | Oui |
eur5 |
Emplacement multirégional | Londres, Pays-Bas et Belgique | Mutualisation uniquement | Oui |
eur6 |
Emplacement multirégional | Pays-Bas, Francfort et Zurich | Mutualisation uniquement | Oui |
eur7 |
Emplacement multirégional | Londres, Francfort et Berlin | Non | Oui |
eur8 |
Emplacement multirégional | Zurich, Francfort et Berlin | Non | Oui |
europe |
Emplacement multirégional | Plusieurs régions dans l'Union européenne1 | Mutualisation uniquement | Oui |
europe-central2 |
Région | Varsovie | Mutualisation uniquement | Oui |
europe-north1 |
Région | Finlande | Mutualisation uniquement | Oui |
europe-north2 |
Région | Stockholm | Mutualisation uniquement | Oui |
europe-southwest1 |
Région | Madrid | Mutualisation uniquement | Oui |
europe-west1 |
Région | Belgique | Oui | Oui |
europe-west2 |
Région | Londres | Mutualisation uniquement | Oui |
europe-west3 |
Région | Francfort | Mutualisation uniquement | Oui |
europe-west4 |
Région | Pays-Bas | Oui | Oui |
europe-west6 |
Région | Zurich | Mutualisation uniquement | Oui |
europe-west8 |
Région | Milan | Mutualisation uniquement | Oui |
europe-west9 |
Région | Paris | Mutualisation uniquement | Oui |
europe-west10 |
Région | Berlin | Mutualisation uniquement | Oui |
europe-west12 |
Région | Turin | Mutualisation uniquement | Oui |
it |
Emplacement multirégional | Plusieurs régions en Italie | Mutualisation uniquement | Oui |
me-central1 |
Région | Doha | Mutualisation uniquement | Oui |
me-central2 |
Région | Dammam | Mutualisation uniquement | Oui |
me-west1 |
Région | Tel Aviv | Mutualisation uniquement | Oui |
europe ne sont pas stockées dans les centres de données des régions europe-west2 (Londres) ni europe-west6 (Zurich).
Monde entier
| Nom du lieu | Type de lieu | Description de l'emplacement | Cloud HSM disponible | Cloud EKM disponible |
|---|---|---|---|---|
global |
Emplacement multirégional | Monde | Mutualisation uniquement | Non |
nam-eur-asia1 |
Emplacement multirégional | Amérique du Nord, Europe et Asie (Iowa, Oklahoma, Belgique et Taïwan) |
Mutualisation uniquement | Non |
Types de zones pour Cloud KMS
Vous pouvez créer des ressources Cloud KMS, Cloud HSM et Cloud EKM dans différents types d'emplacements dans Google Cloud, en fonction de vos besoins en termes de disponibilité. Des emplacements sont ajoutés régulièrement. Pour en savoir plus sur chaque emplacement, consultez la section Emplacements.
Pour vous en apprendre plus sur la façon de choisir le meilleur type d'emplacement.
Les types d'emplacements suivants sont disponibles pour Cloud KMS :
- Emplacements régionaux : les centres de données d'un emplacement régional se trouvent dans une zone géographique spécifique. Par exemple, une ressource créée dans la région
us-central1se trouve dans le centre des États-Unis. - Emplacements multirégionaux : les centres de données d'un emplacement multirégional sont répartis dans une vaste zone géographique. Par exemple, une ressource créée dans la zone multirégionale
europeest conservée dans plusieurs centres de données au sein de l'Union européenne. Vous ne pouvez pas choisir les centres de données de la région multizone qui contiendront vos données. - Emplacement global : l'emplacement
globalcorrespond à une zone multirégionale spéciale. Les centres de données qui s'y trouvent sont répartis dans le monde entier. Vous ne pouvez pas choisir les centres de données de la zone multirégionale mondiale qui contiendront vos données.
Choisir le meilleur type d'emplacement
En règle générale, vous devez concevoir votre application de sorte que tous ses composants soient géographiquement proches les uns des autres et à proximité de ses clients. L'emplacement de vos clés est un aspect important de la conception de votre application. Une fois la clé créée, vous ne pouvez plus la déplacer ni l'exporter.
Lorsque vous utilisez un emplacement multirégional, tel que la zone europe, les ressources sont conservées dans plusieurs centres de données répartis dans cette zone multirégionale.
La création et la mise à jour de clés dans des zones multirégionales, telles que l'emplacement global, peuvent s'avérer moins efficaces que l'utilisation d'un emplacement comprenant une seule région. Pour en savoir plus, consultez la section Effectuer des opérations de lecture et d'écriture dans des emplacements multirégionaux.
Utilisez l'emplacement global si toutes les conditions suivantes sont remplies :
- Les composants de votre application sont distribués dans le monde entier.
- Vous avez peu de lectures ou d'écritures, mais vous utilisez fréquemment d'autres opérations de chiffrement.
- Vos clés ne sont associées à aucune condition de résidence géographique.
- Vous n'utilisez pas de clés externes.
Pour les intégrations de clés de chiffrement gérées par le client (CMEK), vous devez utiliser exactement le même emplacement que celui des autres ressources associées à l'intégration. Certaines intégrations de CMEK ne sont pas compatibles avec l'emplacement global. Pour en savoir plus sur les intégrations de CMEK, consultez Clés de chiffrement gérées par le client (CMEK).
Les ressources Cloud EKM reposent sur la connectivité entre Google Cloud et un service de gestion de clés externe, en dehors de Google Cloud. Pour les ressources Cloud External Key Manager, sélectionnez un emplacement aussi proche que possible, géographiquement, de l'emplacement de stockage des clés sur le service de gestion des clés externes.
Cloud HSM dépend de la disponibilité du matériel physique dans les centres de données d'un emplacement. Pour les ressources Cloud HSM, sélectionnez un emplacement compatible avec Cloud HSM.
Les ressources Cloud HSM ont des quotas spécifiques aux emplacements. Les quotas Cloud KMS sont globaux.
Les emplacements multirégionaux ont des quotas distincts, indépendants de ceux utilisés pour les emplacements comprenant une seule région. Par exemple, pour créer des ressources Cloud HSM dans l'emplacement multirégional eur5, vous devez disposer d'un quota HSM dans l'emplacement eur5, même si vous avez déjà des quotas dans les régions individuelles qui constituent l'emplacement eur5, telles que europe-west2.
Effectuer des opérations de lecture et d'écriture dans des emplacements multirégionaux
La lecture et l'écriture de ressources ou des métadonnées associées dans des emplacements multirégionaux, y compris l'emplacement global, peuvent être plus lentes que dans une région individuelle.
- Lorsque vous créez ou lisez des versions de clé, un consensus est toujours exigé entre les centres de données stockant le matériel de clé. Les opérations de lecture et d'écriture dans une région individuelle sont souvent plus efficaces que dans un emplacement multirégional.
- Lorsque vous effectuez des opérations de chiffrement, telles que le chiffrement ou le déchiffrement de données, aucun consensus n'est exigé. Pour les opérations de chiffrement, les emplacements multirégionaux fonctionnent de la même manière que les emplacements comprenant une seule région.
- Lorsque vous stockez vos clés dans un ou plusieurs emplacements géographiquement proches des données qu'elles protègent ou que vous validez, les opérations de chiffrement sont généralement plus efficaces.
Les compromis entre performance et disponibilité sont propres à chaque application. Les emplacements multirégionaux, y compris global, conviennent mieux aux charges de travail nécessitant une lecture intensive.
Déterminer les régions disponibles
Vous pouvez utiliser la Google Cloud CLI ou l'API Cloud Key Management Service pour obtenir la liste des régions disponibles.
gcloud
gcloud kms locations list
Dans le résultat de la commande, la colonne HSM_AVAILABLE indique si l'emplacement accepte Cloud HSM. La colonne EKM_AVAILABLE indique si l'emplacement accepte Cloud External Key Manager. Remarque : Les clés EKM via VPC ne sont actuellement disponibles que dans les emplacements régionaux.
API
Utilisez les méthodes Locations.get et Locations.list.
Les réponses des deux méthodes incluent des champs booléens liés aux capacités d'un emplacement :
Si un emplacement est compatible avec les clés Cloud HSM multitenant, la valeur du champ
hsmAvailableesttrue.Si un emplacement est compatible avec les clés Cloud EKM, la valeur du champ
ekmAvailableesttrue.
Étapes suivantes
- En savoir plus sur les zones géographiques et les régions dans Google Cloud
- Consultez la liste complète des emplacements cloud.