ক্লাউড কেএমএস অটোকি দিয়ে সহজে সম্পদ এনক্রিপ্ট করুন

১. ভূমিকা

ক্লাউড কেএমএস অটোকি প্রোভিশনিং এবং অ্যাসাইনমেন্ট স্বয়ংক্রিয় করার মাধ্যমে কাস্টমার-ম্যানেজড এনক্রিপশন কী (CMEK) তৈরি ও ব্যবহার করা সহজ করে তোলে। অটোকির সাহায্যে, আপনার কী রিং, কী এবং সার্ভিস অ্যাকাউন্টগুলো প্রয়োজনের আগে থেকে পরিকল্পনা ও প্রোভিশন করার দরকার হয় না। এর পরিবর্তে, ক্লাউড কেএমএস অ্যাডমিনিস্ট্রেটরদের বদলে ডেলিগেটেড পারমিশনের উপর নির্ভর করে অটোকি আপনার রিসোর্সগুলো তৈরি হওয়ার সাথে সাথে চাহিদা অনুযায়ী কী তৈরি করে দেয়।

Autokey দ্বারা তৈরি কী ব্যবহার করে আপনি ডেটা সুরক্ষার জন্য ইন্ডাস্ট্রির মান এবং প্রস্তাবিত অনুশীলনগুলি ধারাবাহিকভাবে অনুসরণ করতে পারেন, যার মধ্যে HSM সুরক্ষা স্তর, দায়িত্বের বিভাজন, কী রোটেশন, অবস্থান এবং কী-এর নির্দিষ্টতা অন্তর্ভুক্ত। Autokey এমন কী তৈরি করে যা সাধারণ নির্দেশিকা এবং Cloud KMS Autokey-এর সাথে সমন্বিত Google Cloud পরিষেবাগুলির জন্য রিসোর্স টাইপের নির্দিষ্ট নির্দেশিকা উভয়ই অনুসরণ করে। তৈরি হওয়ার পরে, Autokey ব্যবহার করে অনুরোধ করা কীগুলি একই সেটিংস সহ অন্যান্য Cloud HSM কীগুলির মতোই কাজ করে।

আপনি যা তৈরি করবেন

এই কোডল্যাবে, আপনি ক্লাউড কেএমএস অটো-কি (Cloud KMS Autokey) ব্যবহার করে সুরক্ষিত রিসোর্স চালু করতে নিম্নলিখিত বিষয়গুলো তৈরি করবেন:

• একটি ফোল্ডার রিসোর্স
• একটি প্রকল্প যাতে আপনার চাবিগুলো থাকবে
• আপনার চাবি-ব্যবস্থাপনা সহকারী হিসেবে কাজ করার জন্য একজন পরিষেবা প্রতিনিধি।
• এমন একটি প্রকল্প যা আপনার সুরক্ষিত সম্পদসমূহ হোস্ট করবে
• ক্লাউড কেএমএস অটোকি দিয়ে এনক্রিপ্ট করা বিগকোয়েরি ডেটাসেট, পারসিস্টেন্ট ডিস্ক এবং ক্লাউড স্টোরেজ বাকেট।

আপনার যা যা লাগবে

• গুগল ক্লাউড অর্গানাইজেশন
• এই ল্যাবটি সম্পন্ন করার জন্য আপনার গুগল ক্লাউড প্রিন্সিপালের অর্গানাইজেশন লেভেলে নিম্নলিখিত রোলগুলো অবশ্যই থাকতে হবে:
• ক্লাউড কেএমএস অটো-কি অ্যাডমিন (roles/cloudkms.autokeyAdmin)
• ফোল্ডার আইএএম অ্যাডমিন (roles/resourcemanager.folderIamAdmin)
• বিলিং অ্যাকাউন্ট ব্যবহারকারী (roles/billing.user)
• বিলিং সক্ষম গুগল ক্লাউড প্রজেক্ট
• লিনাক্স সম্পর্কে প্রাথমিক অভিজ্ঞতা

২. একটি ফোল্ডার তৈরি করুন

ফোল্ডার হলো ক্লাউড প্ল্যাটফর্ম রিসোর্স হায়ারার্কির নোড। একটি ফোল্ডারে প্রজেক্ট, অন্যান্য ফোল্ডার, অথবা উভয়ের সংমিশ্রণ থাকতে পারে। অর্গানাইজেশন রিসোর্সগুলো একটি হায়ারার্কিতে অর্গানাইজেশন রিসোর্স নোডের অধীনে প্রজেক্টগুলোকে একত্রিত করতে ফোল্ডার ব্যবহার করতে পারে। একটি ফোল্ডার তৈরি করতে:

1. গুগল ক্লাউড কনসোলে রিসোর্স পরিচালনা পৃষ্ঠায় যান
2. নিশ্চিত করুন যে পৃষ্ঠার শীর্ষে থাকা সংস্থা ড্রপ-ডাউন তালিকা থেকে আপনার সংস্থার রিসোর্স নামটি নির্বাচিত আছে।
3. ফোল্ডার তৈরি করতে ক্লিক করুন

4. স্ট্যান্ডার্ড ফোল্ডার নির্বাচন করুন

5. ফোল্ডারের নামের বক্সে আপনার নতুন ফোল্ডারের নাম লিখুন। এই ল্যাবের জন্য, "Autokey-Folder" নামটি বিবেচনা করুন।
6. ডেস্টিনেশন-এর অধীনে, ব্রাউজ-এ ক্লিক করুন, তারপর সেই অর্গানাইজেশন রিসোর্স বা ফোল্ডারটি নির্বাচন করুন যার অধীনে আপনি আপনার নতুন ফোল্ডারটি তৈরি করতে চান।
7. তৈরি করুন-এ ক্লিক করুন।

৩. একটি রিসোর্স প্রজেক্ট তৈরি করুন

Cloud KMS Autokey দিয়ে এনক্রিপ্ট করতে চান এমন রিসোর্স—যেমন BigQuery ডেটাসেট, পারসিস্টেন্ট ডিস্ক, এবং ক্লাউড স্টোরেজ বাকেট—ধারণ করার জন্য একটি রিসোর্স প্রজেক্ট তৈরি করা গুরুত্বপূর্ণ। আপনি যদি কী প্রজেক্টের মধ্যে Autokey দ্বারা সুরক্ষিত রিসোর্স তৈরি করার চেষ্টা করেন, তাহলে Autokey নতুন কী-এর অনুরোধটি প্রত্যাখ্যান করে। রিসোর্স প্রজেক্ট তৈরি করতে:

1. গুগল ক্লাউড কনসোলে রিসোর্স পরিচালনা পৃষ্ঠায় যান
2. প্রজেক্ট তৈরি করুন-এ ক্লিক করুন।

3. পৃষ্ঠার শীর্ষে থাকা 'Select organization' ড্রপ-ডাউন তালিকা থেকে 'Autokey-Folder' ফোল্ডারটি নির্বাচন করুন।
4. প্রদর্শিত নতুন প্রজেক্ট উইন্ডোতে, একটি প্রজেক্টের নাম লিখুন এবং প্রযোজ্য ক্ষেত্রে একটি বিলিং অ্যাকাউন্ট নির্বাচন করুন। এই ল্যাবের জন্য, 'অটোকি এনক্রিপ্টেড রিসোর্সেস' বিবেচনা করুন।
5. লোকেশন বক্সে, "Autokey-Folder" ফোল্ডারটি নির্বাচন করুন। এই রিসোর্সটি নতুন প্রজেক্টের হায়ারারকিক্যাল প্যারেন্ট হবে। আপনার সেটিংস দেখতে অনেকটা এইরকম হবে:

6. প্রজেক্ট আইডিটি কপি করে আপনার পছন্দের টেক্সট এডিটরে পেস্ট করুন — উপরের উদাহরণে প্রজেক্ট আইডিটি হলো "causal-hour-43319-m4", কিন্তু আপনার আইডিটি ভিন্ন হবে।
7. তৈরি করতে ক্লিক করুন
8. আপনার স্ক্রিনের উপরের ডান কোণায় থাকা ক্লাউড শেল আইকনটি নির্বাচন করুন।

9. ক্লাউড শেল সক্রিয় হয়ে গেলে, নিম্নলিখিত কমান্ডটি চালিয়ে আপনার অটোকি প্রজেক্ট আইডি একটি ভেরিয়েবল হিসেবে সংরক্ষণ করুন:

export RESOURCE_PROJECT=<paste your Resource Project ID>

যেহেতু আমার প্রজেক্ট আইডি "key-management-433319", তাই আমার কমান্ডটি দেখতে এইরকম:

export AUTOKEY_PROJECT=causal-hour-43319-m4

10. আপনার কী প্রজেক্ট থেকে কমান্ডগুলো কার্যকর করতে নিম্নলিখিত কমান্ডটি চালান:

gcloud config set project $RESOURCE_PROJECT

অনুরোধ করা হলে, "Authorize" বোতামে ক্লিক করে Cloud Shell-কে অনুমোদন দিন।

11. যেহেতু এই প্রজেক্টে রিসোর্স থাকবে, তাই Autokey যে সার্ভিসগুলোকে সুরক্ষিত করবে সেগুলোর জন্য API সক্রিয় করতে হবে। নিম্নলিখিত কমান্ডটি চালান:

gcloud services enable storage.googleapis.com bigquery.googleapis.com compute.googleapis.com

৪. একটি মূল প্রকল্প তৈরি করুন

আমরা Autokey দ্বারা তৈরি Cloud KMS রিসোর্সগুলো রাখার জন্য একটি প্রজেক্ট তৈরি করার পরামর্শ দিই। এটিকে পরবর্তীতে 'কী প্রজেক্ট' হিসাবে উল্লেখ করা হবে। কী প্রজেক্টটি সেই একই ফোল্ডারের ভিতরে তৈরি করা যেতে পারে যেখানে আপনি Autokey সক্রিয় করার পরিকল্পনা করছেন। আপনার কী প্রজেক্টের ভিতরে অন্য কোনো রিসোর্স তৈরি করা উচিত নয়। আপনি যদি কী প্রজেক্টের মধ্যে Autokey দ্বারা সুরক্ষিত রিসোর্স তৈরি করার চেষ্টা করেন, তাহলে Autokey নতুন কী-এর জন্য অনুরোধটি প্রত্যাখ্যান করবে। কী প্রজেক্ট তৈরি করতে:

1. গুগল ক্লাউড কনসোলে রিসোর্স পরিচালনা পৃষ্ঠায় যান
2. প্রজেক্ট তৈরি করুন-এ ক্লিক করুন।

3. পৃষ্ঠার শীর্ষে থাকা 'Select organization' ড্রপ-ডাউন তালিকা থেকে 'Autokey-Folder' ফোল্ডারটি নির্বাচন করুন।
4. প্রদর্শিত নতুন প্রজেক্ট উইন্ডোতে, একটি প্রজেক্টের নাম লিখুন এবং প্রযোজ্য ক্ষেত্রে একটি বিলিং অ্যাকাউন্ট নির্বাচন করুন। এই ল্যাবের জন্য, 'কী ম্যানেজমেন্ট' বিবেচনা করুন।
5. লোকেশন বক্সে, "Autokey-Folder" ফোল্ডারটি নির্বাচন করুন। এই রিসোর্সটি নতুন প্রজেক্টের হায়ারারকিক্যাল প্যারেন্ট হবে। আপনার সেটিংস দেখতে অনেকটা এইরকম হবে:

6. প্রজেক্ট আইডিটি কপি করে আপনার পছন্দের টেক্সট এডিটরে পেস্ট করুন। উপরের উদাহরণে প্রজেক্ট আইডিটি হলো "key-management-433319", কিন্তু আপনার আইডিটি ভিন্ন হবে।
7. তৈরি করুন-এ ক্লিক করুন।

৫. অটো-কী (Autokey) কী প্রজেক্টটি প্রস্তুত করুন।

প্রতিটি প্রজেক্ট তৈরি হয়ে গেলে, এখন ক্লাউড কেএমএস অটো-কি (Cloud KMS Autokey) ব্যবহার করার জন্য মূল প্রজেক্টটি কনফিগার করার সময় এসেছে।

8. আপনার স্ক্রিনের উপরের ডান কোণায় থাকা ক্লাউড শেল আইকনটি নির্বাচন করুন।

9. ক্লাউড শেল সক্রিয় হয়ে গেলে, নিম্নলিখিত কমান্ডটি চালিয়ে আপনার অটোকি প্রজেক্ট আইডি একটি ভেরিয়েবল হিসেবে সংরক্ষণ করুন:

export AUTOKEY_PROJECT=<paste your Autokey Project ID>

যেহেতু আমার প্রজেক্ট আইডি "key-management-433319", তাই আমার কমান্ডটি দেখতে এইরকম:

export AUTOKEY_PROJECT=key-management-433319

10. আপনার কী প্রজেক্ট থেকে কমান্ডগুলো কার্যকর করতে নিম্নলিখিত কমান্ডটি চালান:

gcloud config set project $AUTOKEY_PROJECT

অনুরোধ করা হলে, "Authorize" বোতামে ক্লিক করে Cloud Shell-কে অনুমোদন দিন।

11. নিম্নলিখিত কমান্ডটি চালিয়ে ক্লাউড কেএমএস এপিআই সক্রিয় করুন।

gcloud services enable cloudkms.googleapis.com  kmsinventory.googleapis.com

12. আপনার প্রজেক্ট নম্বরটি AUTOKEY_PROJECT_NUMBER নামের একটি ভেরিয়েবল হিসেবে সংরক্ষণ করতে নিম্নলিখিত কমান্ডটি চালান।

export AUTOKEY_PROJECT_NUMBER=$(gcloud projects list \
--filter="$(gcloud config get-value project)" \
--format="value(PROJECT_NUMBER)")

13. নিম্নলিখিত কমান্ডটি চালিয়ে আপনার প্রিন্সিপালের ইমেল একটি ভেরিয়েবল হিসেবে সংরক্ষণ করুন:

export KEY_ADMIN_EMAIL=<paste your Principal's email>

14. আপনার ক্লাউড কেএমএস অ্যাডমিনিস্ট্রেটর ব্যবহারকারীদেরকে মূল প্রজেক্টটিতে ক্লাউড কেএমএস অ্যাডমিনিস্ট্রেটর অনুমতি প্রদান করুন।

gcloud projects add-iam-policy-binding $AUTOKEY_PROJECT_NUMBER \
    --role=roles/cloudkms.admin \
    --member=user:$KEY_ADMIN_EMAIL

৬. ক্লাউড কেএমএস পরিষেবা এজেন্টগুলি সেট আপ করুন

একটি কী প্রজেক্টের জন্য ক্লাউড কেএমএস সার্ভিস এজেন্ট, একজন ক্লাউড কেএমএস অ্যাডমিনিস্ট্রেটরের পক্ষ থেকে রিসোর্স তৈরির সময় কী তৈরি করে এবং আইএএম পলিসি বাইন্ডিং প্রয়োগ করে। কী তৈরি এবং অ্যাসাইন করতে ক্লাউড কেএমএস সার্ভিস এজেন্টের ক্লাউড কেএমএস অ্যাডমিনিস্ট্রেটর পারমিশন প্রয়োজন।

1. নিম্নলিখিত কমান্ডের সাহায্যে সংস্থা আইডিটি খুঁজুন:

gcloud organizations list | grep -P -i 'ID:' | grep -i '[0-9]'

2. অর্গানাইজেশন আইডিটি কপি করুন - এটি হলো সেই সাংখ্যিক ফলাফল যা লাল রঙে হাইলাইট করা আছে।
3. অর্গানাইজেশন আইডিটি ORG_ID নামের একটি ভেরিয়েবল হিসেবে সংরক্ষণ করুন:

export ORG_ID=<paste your Organization ID>

4. নিম্নলিখিত কমান্ডটি চালিয়ে ক্লাউড কেএমএস সার্ভিস এজেন্ট তৈরি করুন:

gcloud beta services identity create --service=cloudkms.googleapis.com \
    --project=$AUTOKEY_PROJECT_NUMBER

5. সার্ভিস এজেন্টকে ক্লাউড কেএমএস অ্যাডমিনিস্ট্রেটর ভূমিকা প্রদান করুন:

gcloud projects add-iam-policy-binding $AUTOKEY_PROJECT_NUMBER \
    --role=roles/cloudkms.admin \
    --member=serviceAccount:service-$AUTOKEY_PROJECT_NUMBER@gcp-sa-cloudkms.iam.gserviceaccount.com

6. একটি IAM পলিসি বাইন্ডিং যোগ করুন যাতে আপনি আপনার ক্লাউড কেএমএস কী-এর ব্যবহার দেখতে পারেন। কী ইউসেজ প্রতিটি কী-এর জন্য তথ্য প্রদান করে, যার মধ্যে রয়েছে সেই কী ব্যবহারকারী সুরক্ষিত রিসোর্স, প্রজেক্ট এবং স্বতন্ত্র গুগল ক্লাউড প্রোডাক্টের সংখ্যা। কী-টির উপর ক্লাউড কেএমএস ভিউয়ার রোল থাকা যে কেউ এই স্তরের বিস্তারিত তথ্য দেখতে পারেন। নিম্নলিখিত কমান্ডটি চালান:

gcloud organizations add-iam-policy-binding $ORGANIZATION_ID \
    --member="serviceAccount:service-org-$ORGANIZATION_ID@gcp-sa-cloudkms.iam.gserviceaccount.com" \
    --role='roles/cloudkms.orgServiceAgent'

7. আপনার অর্গানাইজেশন রিসোর্সে আপনার ক্লাউড কেএমএস সার্ভিস অ্যাকাউন্টকে ক্লাউড কেএমএস অর্গানাইজেশন সার্ভিস এজেন্ট (cloudkms.orgServiceAgent) রোলটি প্রদান করুন।

gcloud organizations add-iam-policy-binding $ORG_ID \
    --member="serviceAccount:service-org-$ORG_ID@gcp-sa-cloudkms.iam.gserviceaccount.com" \
    --role='roles/cloudkms.orgServiceAgent'

8. যাদের মূল ব্যবহারের বিবরণ দেখার প্রয়োজন, তাদেরকে আপনার প্রতিষ্ঠানের রিসোর্সের উপর ক্লাউড কেএমএস সুরক্ষিত রিসোর্স ভিউয়ার (Cloud KMS Protected Resources Viewer) রোলটি প্রদান করুন।

gcloud organizations add-iam-policy-binding $ORG_ID \
    --member="user:$KEY_ADMIN_EMAIL" \
    --role='roles/cloudkms.protectedResourcesViewer'

৭. অটো-কি ব্যবহারকারীকে ভূমিকা প্রদান করুন

আপনার ডেভেলপাররা অটো-কি (Autokey) ব্যবহার করার আগে, আপনাকে অবশ্যই তাদের প্রয়োজনীয় রোলটি প্রদান করতে হবে। আপনি ফোল্ডার লেভেলে অথবা প্রজেক্ট লেভেলে এই রোলটি প্রদান করতে পারেন। এই রোলটি ডেভেলপারদেরকে সেই ফোল্ডার বা প্রজেক্টে রিসোর্স তৈরি করার সময় ক্লাউড কেএমএস (Cloud KMS) সার্ভিস এজেন্টের কাছ থেকে কী (key) অনুরোধ করার সুযোগ দেয়।

ভূমিকাটি মঞ্জুর করার প্রথম ধাপ হলো ফোল্ডার আইডিটি সংরক্ষণ করা।

1. নিম্নলিখিত কমান্ডের সাহায্যে ফোল্ডার আইডিটি খুঁজুন:

gcloud projects describe $AUTOKEY_PROJECT | grep 'id' | grep -P -i '[0-9]+'

2. ফোল্ডার আইডিটি কপি করুন - এটিই সেই অংশ যা লাল রঙে হাইলাইট করা আছে।
3. ফোল্ডার আইডিটি FOLDER_ID নামের একটি ভেরিয়েবল হিসেবে সংরক্ষণ করুন।

export FOLDER_ID=<paste the folder ID>

এই ল্যাবের উদ্দেশ্যে, আমরা অটো-কি (Autokey) ব্যবহারকারীকে কী অ্যাডমিনিস্ট্রেটর হিসেবে সংজ্ঞায়িত করব। তবে, প্রোডাকশন ব্যবহারের ক্ষেত্রে এবং একাধিক ব্যক্তি কর্মরত প্রতিষ্ঠানে, কী অ্যাডমিনিস্ট্রেটর অটো-কি ব্যবহারকারী ডেভেলপারের থেকে ভিন্ন হওয়া উচিত।

4. ফোল্ডার স্তরে roles/cloudkms.autokeyUser রোলটি প্রদান করুন:

gcloud resource-manager folders add-iam-policy-binding \
    $FOLDER_ID --role=roles/cloudkms.autokeyUser \
    --member=user:$KEY_ADMIN_EMAIL

৮. একটি রিসোর্স ফোল্ডারে ক্লাউড কেএমএস অটো-কি সক্রিয় করুন।

এই ধাপে, আপনি একটি রিসোর্স ফোল্ডারে ক্লাউড কেএমএস অটো-কি (Cloud KMS Autokey) সক্রিয় করবেন এবং সেই ক্লাউড কেএমএস প্রজেক্টটি শনাক্ত করবেন যেটি ঐ ফোল্ডারের জন্য অটো-কি রিসোর্স ধারণ করবে। এই ফোল্ডারে অটো-কি সক্রিয় করা হলে, ফোল্ডারের মধ্যে থাকা সমস্ত রিসোর্স প্রজেক্টের জন্যও অটো-কি সক্রিয় হয়ে যায়।

1. গুগল ক্লাউড কনসোলে, কেএমএস কন্ট্রোলস পৃষ্ঠায় যান।
2. ফোল্ডার নির্বাচন করতে ক্লিক করুন

3. কন্টেক্সট পিকার থেকে, সেই ফোল্ডারটি নির্বাচন করুন যেখানে আপনি অটো-কি (Autokey) সক্রিয় করতে চান। এটি সেই একই ফোল্ডার হবে যা আপনি আগে তৈরি করেছিলেন এবং যেটিতে আপনার রিসোর্স প্রজেক্ট ও কি ম্যানেজমেন্ট প্রজেক্ট রয়েছে। এটি দেখতে এইরকম হবে:

4. সক্ষম করুন-এ ক্লিক করুন।
5. মূল প্রকল্পটি নির্বাচন করতে ব্রাউজ-এ ক্লিক করুন।
6. আপনার মূল ব্যবস্থাপনা প্রকল্পটি নির্বাচন করুন এবং তারপর সাবমিট-এ ক্লিক করুন।

একটি বার্তা নিশ্চিত করে যে ফোল্ডারটিতে ক্লাউড কেএমএস অটো-কি (Cloud KMS Autokey) সক্রিয় করা হয়েছে। কেএমএস কন্ট্রোলস (KMS Controls) পৃষ্ঠাটি দেখতে এইরকম হবে:

৯. ক্লাউড কেএমএস অটো-কি ব্যবহার করে সুরক্ষিত রিসোর্স তৈরি করুন।

কম্পিউট ইঞ্জিন স্থায়ী ডিস্ক

অটোকি প্রতিটি ডিস্ক, ইমেজ এবং মেশিন ইমেজের জন্য, যে রিসোর্সটি তৈরি করা হচ্ছে তার একই অবস্থানে একটি নতুন কী তৈরি করে।

একটি ডিস্ক তৈরি করতে, নিম্নলিখিত ধাপগুলো সম্পন্ন করুন:

1. গুগল ক্লাউড কনসোলে, ডিস্ক পৃষ্ঠায় যান।
2. Create disk-এ ক্লিক করুন এবং নতুন ডিস্কটির জন্য প্রোপার্টিগুলো প্রবেশ করান।
3. এনক্রিপশন-এর অধীনে, ক্লাউড কেএমএস কী নির্বাচন করুন।

4. Key type-এর জন্য, Cloud KMS with Autokey নির্বাচন করুন এবং তারপর Request a new key-তে ক্লিক করুন। আপনার কী সফলভাবে তৈরি হয়ে গেলে এবং ব্যবহারের জন্য প্রস্তুত হলে একটি বার্তা তা জানিয়ে দেবে।

5. ডিস্ক তৈরি সম্পন্ন করতে, Create-এ ক্লিক করুন।

সুরক্ষিত ভিএম ইনস্ট্যান্স, ইমেজ এবং মেশিন ইমেজ রিসোর্স তৈরি করতে আপনি একই ধরনের প্রক্রিয়া অনুসরণ করতে পারেন।

গুগল ক্লাউড স্টোরেজ বাকেট

অটোকি বাকেটের একই অবস্থানে একটি নতুন কী তৈরি করে। অটোকি দ্বারা তৈরি করা কী-টি বাকেটের ডিফল্ট কী হিসেবে নির্ধারিত হয়।

অটোকি অবজেক্টের জন্য কী তৈরি করে না। ডিফল্টরূপে, একটি বাকেটে তৈরি করা অবজেক্টগুলো বাকেটের ডিফল্ট কী ব্যবহার করে। আপনি যদি বাকেটের ডিফল্ট কী ছাড়া অন্য কোনো কী ব্যবহার করে একটি অবজেক্ট এনক্রিপ্ট করতে চান, তাহলে আপনি ম্যানুয়ালি একটি CMEK তৈরি করতে পারেন এবং অবজেক্টটি তৈরি করার সময় সেই কী-টি ব্যবহার করতে পারেন।

1. গুগল ক্লাউড কনসোলে, 'Create a bucket ' পেজে যান।
2. একটি বিশ্বব্যাপী অনন্য ও স্থায়ী নাম বেছে নিন।
3. ডেটার অবস্থান নির্বাচন করুন।
4. "অবজেক্ট ডেটা কীভাবে সুরক্ষিত করবেন তা বেছে নিন" বিভাগে যান।

5. বিভাগটি প্রসারিত করতে 'অবজেক্ট ডেটা কীভাবে সুরক্ষিত করবেন তা বেছে নিন'-এ ক্লিক করুন।

6. ডেটা এনক্রিপশন বিভাগটি প্রসারিত করুন এবং ক্লাউড কেএমএস কী নির্বাচন করুন।
7. Key type-এর জন্য, Cloud KMS with Autokey নির্বাচন করুন এবং তারপর Request a new key-তে ক্লিক করুন। আপনার কী সফলভাবে তৈরি হয়ে গেলে এবং ব্যবহারের জন্য প্রস্তুত হলে একটি বার্তা তা জানিয়ে দেবে।

8. বাকেট তৈরি সম্পন্ন করতে, Create-এ ক্লিক করুন। যদি "পাবলিক অ্যাক্সেস প্রতিরোধ করা হবে" লেখা একটি ডায়ালগ বক্স আসে, তাহলে Confirm-এ ক্লিক করুন।

বিগকোয়েরি ডেটাসেট

প্রতিটি নতুন ডেটাসেটের জন্য, অটো-কি রিসোর্সটির নিজস্ব অবস্থানে একটি নতুন কী তৈরি করে, যা ডেটাসেটের ডিফল্ট কী হয়ে যায়। অটো-কি টেবিল, কোয়েরি, টেম্পোরারি টেবিল বা মডেলের জন্য কী তৈরি করে না। ডিফল্টরূপে, এই রিসোর্সগুলো ডেটাসেটের ডিফল্ট কী দ্বারা সুরক্ষিত থাকে। আপনি যদি ডেটাসেটের ডিফল্ট কী ছাড়া অন্য কোনো কী ব্যবহার করে ডেটাসেটের কোনো রিসোর্স সুরক্ষিত করতে চান, তাহলে আপনি ম্যানুয়ালি একটি CMEK তৈরি করতে পারেন এবং রিসোর্সটি তৈরি করার সময় সেই কী-টি ব্যবহার করতে পারেন।

BigQuery ডেটাসেট তৈরি করতে হলে, প্রথমে আপনার BigQuery User রোল থাকতে হবে।

1. ক্লাউড শেলে ফিরে যান
2. রিসোর্স প্রজেক্ট থেকে কমান্ড কার্যকর করার জন্য আপনার ক্লাউড শেল সেট করুন।

gcloud config set project $RESOURCE_PROJECT

3. আপনার প্রজেক্ট নম্বরটি RESOURCE_PROJECT_NUMBER নামের একটি ভেরিয়েবল হিসেবে সংরক্ষণ করতে নিম্নলিখিত কমান্ডটি চালান।

export RESOURCE_PROJECT_NUMBER=$(gcloud projects list --filter="$(gcloud config get-value project)" --format="value(PROJECT_NUMBER)")

4. নিজেকে BigQuery ব্যবহারকারীর ভূমিকা প্রদান করুন

gcloud projects add-iam-policy-binding $RESOURCE_PROJECT_NUMBER \
    --role=roles/bigquery.user \
    --member=user:$KEY_ADMIN_EMAIL

এখন যেহেতু আপনার BigQuery User রোল আছে, আপনি একটি ডেটাসেট তৈরি করতে এবং Autokey দিয়ে এটিকে সুরক্ষিত করতে পারবেন!

5. গুগল ক্লাউড কনসোলে, BigQuery পৃষ্ঠায় যান।
6. ডেটা সেট তৈরি করার জন্য নির্দেশাবলী অনুসরণ করতে থাকুন যতক্ষণ না আপনি অ্যাডভান্সড অপশন > এনক্রিপশন-এ পৌঁছান।
7. এনক্রিপশনের অধীনে ক্লাউড কেএমএস কী নির্বাচন করুন।
8. Key type-এর জন্য, Cloud KMS with Autokey নির্বাচন করুন এবং তারপর Request a new key-তে ক্লিক করুন। আপনার কী সফলভাবে তৈরি হয়ে গেলে এবং ব্যবহারের জন্য প্রস্তুত হলে একটি বার্তা তা জানিয়ে দেবে।
9. ডেটা সেট তৈরি করা শেষ করতে, 'Create dataset'-এ ক্লিক করুন।

১০. আপনার চাবিগুলো অন্বেষণ করুন

এই ধাপে, আপনি 'কী ইনভেন্টরি' পেজে গিয়ে ক্লাউড কেএমএস অটো-কী দ্বারা আপনার জন্য তৈরি করা কীগুলো অন্বেষণ করবেন। 'কী ইনভেন্টরি' পেজটি আপনার প্রোজেক্টের ক্রিপ্টোগ্রাফিক কীগুলো সম্পর্কে বিস্তারিত তথ্য প্রদান করে। মনে রাখবেন যে ডেটা পেতে দেরি হতে পারে। উদাহরণস্বরূপ, আপনি যদি একটি নতুন সুরক্ষিত রিসোর্স তৈরি করেন, তবে সেই সুরক্ষিত রিসোর্স এবং এর সাথে সম্পর্কিত কী ভার্সনটি সাথে সাথে 'ইউসেজ ট্র্যাকিং' ট্যাবে যুক্ত হয় না। আরও সীমাবদ্ধতা এখানে দেখুন।

1. Google Cloud কনসোলে, Key Inventory পৃষ্ঠায় যান।
2. ঐচ্ছিক: চাবিগুলির তালিকা ফিল্টার করতে, `filter_list` ফিল্টার বক্সে আপনার অনুসন্ধানের বিষয়গুলি লিখুন এবং তারপর এন্টার চাপুন। উদাহরণস্বরূপ, আপনি অবস্থান, কী রিং, অবস্থা বা চাবিগুলির অন্যান্য বৈশিষ্ট্য অনুসারে ফিল্টার করতে পারেন।
3. যে কী-টির ব্যবহারের তথ্য দেখতে চান, সেটির নামে ক্লিক করুন।
4. 'ওভারভিউ'-তে ক্লিক করুন। লক্ষ্য করুন যে প্রতিটি রিসোর্সের জন্য একটি করে কী তৈরি করা হয়েছে। প্রতিটি কী-এর নামে সেই রিসোর্সের নাম অন্তর্ভুক্ত থাকে, যেটিকে কী-টি সুরক্ষিত করছে (যেমন 'কম্পিউট-ডিস্ক' বা 'স্টোরেজ-বাকেট')। ক্লাউড কেএমএস অটো-কী নিশ্চিত করে যে প্রতিটি কী তৈরির ৩৬৫ দিন পর রোটেশনের জন্য নির্ধারিত হয় এবং প্রতিটি কী-কে 'HSM' সুরক্ষা স্তর প্রদান করা হয়।

4. ইউসেজ ট্র্যাকিং ট্যাবে ক্লিক করুন। প্রদর্শিত তথ্যের স্তরটি লক্ষ্য করুন: কী-টি যে প্রতিটি রিসোর্স এনক্রিপ্ট করছে, তা এখানে প্রজেক্ট, অবস্থান এবং তৈরির তারিখ সহ দেখানো হয়েছে।
5. ঐচ্ছিক: সুরক্ষিত রিসোর্সের তালিকা ফিল্টার করতে, `filter_list` ফিল্টার বক্সে আপনার অনুসন্ধানের বিষয়গুলো লিখে এন্টার চাপুন।

১১. অভিনন্দন

অভিনন্দন, আপনি সফলভাবে গুগল ক্লাউড রিসোর্স তৈরি করেছেন এবং ক্লাউড কেএমএস অটোকি (Cloud KMS Autokey) ব্যবহার করে সেগুলোকে চাহিদা অনুযায়ী স্বয়ংক্রিয়ভাবে এনক্রিপ্ট করেছেন!

ক্লাউড কেএমএস কী ব্যবহার করে আপনার রিসোর্সগুলো স্বয়ংক্রিয়ভাবে এনক্রিপ্ট করতে অটো-কী সেট আপ করার জন্য প্রয়োজনীয় মূল ধাপগুলো এখন আপনি জানেন।

১২. এরপর কী?

আপনার অটো-কি এনক্রিপ্টেড রিসোর্সগুলিতে ডেটা আপলোড করুন

• একটি গুগল কম্পিউট ইঞ্জিন (GCE) ইনস্ট্যান্স তৈরি করুন
• আপনার অটো-কি-সুরক্ষিত পারসিস্টেন্ট ডিস্কটি আপনার GCE ইনস্ট্যান্সের সাথে সংযুক্ত করুন।
• আপনার BigQuery ডেটাসেটে ডেটা আপলোড করুন
• গুগল ক্লাউড স্টোরেজ বাকেটে অবজেক্ট আপলোড করুন
• গুগল ক্লাউড স্টোরেজের ডেটা BigQuery-তে লোড করুন

রেফারেন্স নথি

• অটোকি ওভারভিউ
• ক্লাউড কেএমএস অটো-কি সক্রিয় করুন
• ক্লাউড কেএমএস অটোকি ব্যবহার করে সুরক্ষিত রিসোর্স তৈরি করুন
• মূল ব্যবহার দেখুন