क्लाउड केएमएस ऑटोकी की मदद से, संसाधनों को आसानी से एन्क्रिप्ट (सुरक्षित) करें

1. परिचय

Cloud KMS Autokey, ग्राहक की ओर से मैनेज की जाने वाली एन्क्रिप्शन कुंजियां (सीएमईके) बनाने और इस्तेमाल करने की प्रोसेस को आसान बनाता है. यह कुंजियों को अपने-आप उपलब्ध कराता है और उन्हें असाइन करता है. Autokey की मदद से, आपको ज़रूरत पड़ने से पहले की-रिंग, कुंजियों, और सेवा खातों को प्लान और प्रोविज़न करने की ज़रूरत नहीं होती. इसके बजाय, Autokey आपके संसाधनों के बनाए जाने पर, मांग के हिसाब से कुंजियां जनरेट करता है. यह Cloud KMS एडमिन के बजाय, सौंपी गई अनुमतियों पर निर्भर करता है.

Autokey से जनरेट की गई कुंजियों का इस्तेमाल करने से, आपको डेटा सुरक्षा के लिए इंडस्ट्री स्टैंडर्ड और सुझाए गए तरीकों के मुताबिक काम करने में मदद मिल सकती है. इनमें एचएसएम सुरक्षा का स्तर, ज़िम्मेदारियों का बंटवारा, कुंजी रोटेशन, जगह, और कुंजी की खास जानकारी शामिल है. Autokey, ऐसी कुंजियां बनाता है जो सामान्य दिशा-निर्देशों और संसाधन के टाइप के हिसाब से बने दिशा-निर्देशों, दोनों का पालन करती हैं. ये दिशा-निर्देश, Cloud KMS Autokey के साथ इंटिग्रेट होने वाली Google Cloud सेवाओं के लिए होते हैं. बन जाने के बाद, Autokey फ़ंक्शन का इस्तेमाल करके अनुरोध की गई कुंजियां, एक जैसी सेटिंग वाली अन्य Cloud HSM कुंजियों की तरह ही काम करती हैं.

आपको क्या बनाने को मिलेगा

इस कोडलैब में, Cloud KMS Autokey का इस्तेमाल करके सुरक्षित किए गए संसाधनों को लॉन्च किया जाएगा. इसके लिए, आपको ये चीज़ें बनानी होंगी:

• फ़ोल्डर रिसॉर्स
• ऐसा प्रोजेक्ट जिसमें आपके पासकोड शामिल होंगे
• कुंजी मैनेज करने वाले असिस्टेंट के तौर पर काम करने के लिए, सेवा एजेंट
• एक ऐसा प्रोजेक्ट जो आपके सुरक्षित किए गए संसाधनों को होस्ट करेगा
• BigQuery डेटासेट, परसिस्टेंट डिस्क, और Cloud Storage बकेट, Cloud KMS Autokey की मदद से एन्क्रिप्ट (सुरक्षित) किए जाते हैं

आपको इन चीज़ों की ज़रूरत होगी

• Google Cloud संगठन
• इस कोडलैब को पूरा करने के लिए, आपके Google Cloud प्रिंसिपल के पास संगठन के लेवल पर ये भूमिकाएं होनी चाहिए:
• Cloud KMS Autokey Admin (roles/cloudkms.autokeyAdmin)
• फ़ोल्डर के लिए IAM एडमिन (roles/resourcemanager.folderIamAdmin)
• बिलिंग खाते का उपयोगकर्ता (roles/billing.user)
• बिलिंग की सुविधा वाले Google Cloud प्रोजेक्ट
• Linux का बुनियादी अनुभव

2. फ़ोल्डर बनाना

फ़ोल्डर, Cloud Platform रिसॉर्स हैरारकी में नोड होते हैं. किसी फ़ोल्डर में प्रोजेक्ट, अन्य फ़ोल्डर या दोनों हो सकते हैं. संगठन के संसाधन, फ़ोल्डर का इस्तेमाल करके, संगठन के संसाधन नोड के तहत प्रोजेक्ट को ग्रुप कर सकते हैं. कोई फ़ोल्डर बनाने के लिए:

1. Google Cloud Console में, संसाधन मैनेज करें पेज पर जाएं
2. पक्का करें कि पेज पर सबसे ऊपर मौजूद संगठन की ड्रॉप-डाउन सूची में, आपके संगठन के संसाधन का नाम चुना गया हो.
3. 'फ़ोल्डर बनाएं' पर क्लिक करें

4. स्टैंडर्ड फ़ोल्डर चुनें

5. 'फ़ोल्डर का नाम' बॉक्स में, अपने नए फ़ोल्डर का नाम डालें. इस लैब के लिए, "Autokey-Folder" का इस्तेमाल करें
6. डेस्टिनेशन में जाकर, 'ब्राउज़ करें' पर क्लिक करें. इसके बाद, वह संगठन संसाधन या फ़ोल्डर चुनें जिसके तहत आपको नया फ़ोल्डर बनाना है.
7. 'बनाएं' पर क्लिक करें.

3. संसाधन प्रोजेक्ट बनाना

संसाधन प्रोजेक्ट बनाना ज़रूरी है, ताकि उसमें वे संसाधन शामिल किए जा सकें जिन्हें Cloud KMS Autokey की मदद से एन्क्रिप्ट (सुरक्षित) करना है. जैसे, BigQuery डेटासेट, परसिस्टेंट डिस्क, और Cloud Storage बकेट. अगर आपने कुंजी प्रोजेक्ट में Autokey से सुरक्षित किए गए संसाधन बनाने की कोशिश की, तो Autokey नई कुंजी के अनुरोध को अस्वीकार कर देगा. संसाधन प्रोजेक्ट बनाने के लिए:

1. Google Cloud Console में, संसाधन मैनेज करें पेज पर जाएं
2. प्रोजेक्ट बनाएं पर क्लिक करें.

3. पेज पर सबसे ऊपर मौजूद, संगठन चुनें ड्रॉप-डाउन सूची में जाकर, "Autokey-Folder" फ़ोल्डर चुनें.
4. दिखने वाली नई प्रोजेक्ट विंडो में, प्रोजेक्ट का नाम डालें. इसके बाद, लागू होने वाला बिलिंग खाता चुनें. इस लैब के लिए, "ऑटोक़ी एन्क्रिप्ट (सुरक्षित) किए गए संसाधन" का इस्तेमाल करें
5. जगह के बॉक्स में, "Autokey-Folder" फ़ोल्डर चुनें. वह संसाधन, नए प्रोजेक्ट का पैरंट होगा. आपकी सेटिंग कुछ ऐसी दिखनी चाहिए:

6. प्रोजेक्ट आईडी को कॉपी करें. ऊपर दिए गए उदाहरण में, प्रोजेक्ट आईडी "causal-hour-43319-m4" है. हालांकि, आपका आईडी अलग होगा. इसे अपनी पसंद के टेक्स्ट एडिटर में चिपकाएं.
7. बनाएं पर क्लिक करें
8. अपनी स्क्रीन के सबसे ऊपर दाएं कोने में मौजूद, Cloud Shell आइकॉन को चुनें

9. Cloud Shell चालू होने के बाद, Autokey प्रोजेक्ट आईडी को वैरिएबल के तौर पर सेव करें. इसके लिए, यह कमांड चलाएं:

export RESOURCE_PROJECT=<paste your Resource Project ID>

मेरा प्रोजेक्ट आईडी "key-management-433319" है. इसलिए, मेरा निर्देश इस तरह दिखता है:

export AUTOKEY_PROJECT=causal-hour-43319-m4

10. अपने मुख्य प्रोजेक्ट से कमांड चलाने के लिए, यह कमांड चलाएं:

gcloud config set project $RESOURCE_PROJECT

जब आपसे कहा जाए, तब "अनुमति दें" पर क्लिक करके Cloud Shell को अनुमति दें

11. इस प्रोजेक्ट में संसाधन शामिल होंगे. इसलिए, हमें उन सेवाओं के लिए एपीआई चालू करने होंगे जिनकी सुरक्षा Autokey करेगा. यह कमांड चलाएं:

gcloud services enable storage.googleapis.com bigquery.googleapis.com compute.googleapis.com

4. मुख्य प्रोजेक्ट बनाना

हमारा सुझाव है कि Autokey से बनाए गए Cloud KMS संसाधनों को शामिल करने के लिए, एक प्रोजेक्ट बनाएं. इसे "मुख्य प्रोजेक्ट" कहा जाएगा. कुंजी प्रोजेक्ट को उसी फ़ोल्डर में बनाया जा सकता है जहां आपको Autokey की सुविधा चालू करनी है. आपको मुख्य प्रोजेक्ट में अन्य संसाधन नहीं बनाने चाहिए. अगर आपने कुंजी प्रोजेक्ट में Autokey से सुरक्षित किए गए संसाधन बनाने की कोशिश की, तो Autokey नई कुंजी के अनुरोध को अस्वीकार कर देगा. कुंजी प्रोजेक्ट बनाने के लिए:

1. Google Cloud Console में, संसाधन मैनेज करें पेज पर जाएं
2. प्रोजेक्ट बनाएं पर क्लिक करें.

3. पेज पर सबसे ऊपर मौजूद, संगठन चुनें ड्रॉप-डाउन सूची में जाकर, "Autokey-Folder" फ़ोल्डर चुनें.
4. दिखने वाली नई प्रोजेक्ट विंडो में, प्रोजेक्ट का नाम डालें. इसके बाद, लागू होने वाला बिलिंग खाता चुनें. इस लैब के लिए, "कुंजी मैनेजमेंट" को ध्यान में रखें
5. जगह के बॉक्स में, "Autokey-Folder" फ़ोल्डर चुनें. वह संसाधन, नए प्रोजेक्ट का पैरंट होगा. आपकी सेटिंग कुछ ऐसी दिखनी चाहिए:

6. प्रोजेक्ट आईडी को अपनी पसंद के टेक्स्ट एडिटर में कॉपी करें. ऊपर दिए गए उदाहरण में, प्रोजेक्ट आईडी "key-management-433319" है. हालांकि, आपका आईडी अलग होगा.
7. 'बनाएं' पर क्लिक करें.

5. Autokey कुंजी प्रोजेक्ट तैयार करना

अब हर प्रोजेक्ट बन गया है. इसलिए, अब समय है कि Cloud KMS Autokey का इस्तेमाल करने के लिए, मुख्य प्रोजेक्ट को कॉन्फ़िगर किया जाए.

8. अपनी स्क्रीन के सबसे ऊपर दाएं कोने में मौजूद, Cloud Shell आइकॉन को चुनें

9. Cloud Shell चालू होने के बाद, Autokey प्रोजेक्ट आईडी को वैरिएबल के तौर पर सेव करें. इसके लिए, यह कमांड चलाएं:

export AUTOKEY_PROJECT=<paste your Autokey Project ID>

मेरा प्रोजेक्ट आईडी "key-management-433319" है. इसलिए, मेरा निर्देश इस तरह दिखता है:

export AUTOKEY_PROJECT=key-management-433319

10. अपने मुख्य प्रोजेक्ट से कमांड चलाने के लिए, यह कमांड चलाएं:

gcloud config set project $AUTOKEY_PROJECT

जब आपसे कहा जाए, तब "अनुमति दें" पर क्लिक करके Cloud Shell को अनुमति दें

11. नीचे दी गई कमांड चलाकर, Cloud KMS API चालू करें

gcloud services enable cloudkms.googleapis.com  kmsinventory.googleapis.com

12. अपने प्रोजेक्ट नंबर को AUTOKEY_PROJECT_NUMBER नाम के वैरिएबल के तौर पर सेव करने के लिए, यह निर्देश चलाएं

export AUTOKEY_PROJECT_NUMBER=$(gcloud projects list \
--filter="$(gcloud config get-value project)" \
--format="value(PROJECT_NUMBER)")

13. अपने प्रिंसिपल के ईमेल पते को वैरिएबल के तौर पर सेव करने के लिए, यह कमांड चलाएं:

export KEY_ADMIN_EMAIL=<paste your Principal's email>

14. अपने Cloud KMS एडमिन उपयोगकर्ताओं को, कुंजी प्रोजेक्ट पर Cloud KMS एडमिन की अनुमतियां दें

gcloud projects add-iam-policy-binding $AUTOKEY_PROJECT_NUMBER \
    --role=roles/cloudkms.admin \
    --member=user:$KEY_ADMIN_EMAIL

6. Cloud KMS सेवा एजेंट सेट अप करना

कुंजी प्रोजेक्ट के लिए Cloud KMS सेवा एजेंट, संसाधन बनाते समय कुंजियां बनाता है और IAM नीति बाइंडिंग लागू करता है. यह काम, Cloud KMS के एडमिन के तौर पर काम करने वाले व्यक्ति की ओर से किया जाता है. कुंजियां बनाने और असाइन करने के लिए, Cloud KMS सेवा एजेंट को Cloud KMS एडमिन की अनुमतियों की ज़रूरत होती है.

1. नीचे दिए गए निर्देश का इस्तेमाल करके, संगठन का आईडी ढूंढें:

gcloud organizations list | grep -P -i 'ID:' | grep -i '[0-9]'

2. संगठन का आईडी कॉपी करें. यह संख्या वाला वह नतीजा है जिसे लाल रंग में हाइलाइट किया गया है
3. संगठन के आईडी को ORG_ID नाम के वैरिएबल के तौर पर सेव करें:

export ORG_ID=<paste your Organization ID>

4. Cloud KMS सेवा एजेंट बनाने के लिए, यह कमांड चलाएं:

gcloud beta services identity create --service=cloudkms.googleapis.com \
    --project=$AUTOKEY_PROJECT_NUMBER

5. सर्विस एजेंट को Cloud KMS एडमिन की भूमिका असाइन करें:

gcloud projects add-iam-policy-binding $AUTOKEY_PROJECT_NUMBER \
    --role=roles/cloudkms.admin \
    --member=serviceAccount:service-$AUTOKEY_PROJECT_NUMBER@gcp-sa-cloudkms.iam.gserviceaccount.com

6. आईएम नीति बाइंडिंग जोड़ें, ताकि Cloud KMS Key के इस्तेमाल की जानकारी देखी जा सके. 'कुंजी के इस्तेमाल की जानकारी' से, हर कुंजी के बारे में जानकारी मिलती है. इसमें सुरक्षित किए गए संसाधनों, प्रोजेक्ट, और कुंजी का इस्तेमाल करने वाले यूनीक Google Cloud प्रॉडक्ट की संख्या शामिल है. यह जानकारी उस व्यक्ति को दिखती है जिसके पास कुंजी पर Cloud KMS Viewer की भूमिका है. यह कमांड चलाएं:

gcloud organizations add-iam-policy-binding $ORGANIZATION_ID \
    --member="serviceAccount:service-org-$ORGANIZATION_ID@gcp-sa-cloudkms.iam.gserviceaccount.com" \
    --role='roles/cloudkms.orgServiceAgent'

7. अपने Cloud KMS सेवा खाते को, संगठन के संसाधन पर Cloud KMS Organization Service Agent (cloudkms.orgServiceAgent) की भूमिका असाइन करें.

gcloud organizations add-iam-policy-binding $ORG_ID \
    --member="serviceAccount:service-org-$ORG_ID@gcp-sa-cloudkms.iam.gserviceaccount.com" \
    --role='roles/cloudkms.orgServiceAgent'

8. जिस व्यक्ति को कुंजी के इस्तेमाल की जानकारी देखनी है उसे अपने संगठन के संसाधन पर, Cloud KMS Protected Resources Viewer की भूमिका असाइन करें.

gcloud organizations add-iam-policy-binding $ORG_ID \
    --member="user:$KEY_ADMIN_EMAIL" \
    --role='roles/cloudkms.protectedResourcesViewer'

7. Autokey के उपयोगकर्ताओं को भूमिकाएं असाइन करना

डेवलपर को Autokey का इस्तेमाल करने की अनुमति देने से पहले, आपको उन्हें ज़रूरी भूमिका देनी होगी. यह भूमिका, फ़ोल्डर लेवल या प्रोजेक्ट लेवल पर दी जा सकती है. इस भूमिका की मदद से डेवलपर, उस फ़ोल्डर या प्रोजेक्ट में संसाधन बनाते समय, Cloud KMS सेवा एजेंट से कुंजियों का अनुरोध कर सकते हैं.

भूमिका असाइन करने के लिए, फ़ोल्डर आईडी सेव करना पहला चरण है.

1. नीचे दी गई कमांड का इस्तेमाल करके, फ़ोल्डर आईडी ढूंढें:

gcloud projects describe $AUTOKEY_PROJECT | grep 'id' | grep -P -i '[0-9]+'

2. फ़ोल्डर आईडी कॉपी करें. यह वह हिस्सा है जिसे लाल रंग से हाइलाइट किया गया है
3. फ़ोल्डर आईडी को FOLDER_ID नाम के वैरिएबल के तौर पर सेव करें

export FOLDER_ID=<paste the folder ID>

इस लैब के लिए, हम मुख्य एडमिन को Autokey उपयोगकर्ता के तौर पर तय करेंगे. हालांकि, प्रोडक्शन के इस्तेमाल के मामलों में और एक से ज़्यादा लोगों वाले संगठनों में, मुख्य एडमिन वह व्यक्ति होना चाहिए जो Autokey का इस्तेमाल करने वाला डेवलपर न हो.

4. फ़ोल्डर लेवल पर, roles/cloudkms.autokeyUser भूमिका असाइन करें:

gcloud resource-manager folders add-iam-policy-binding \
    $FOLDER_ID --role=roles/cloudkms.autokeyUser \
    --member=user:$KEY_ADMIN_EMAIL

8. किसी संसाधन फ़ोल्डर पर Cloud KMS Autokey चालू करना

इस चरण में, आपको किसी संसाधन फ़ोल्डर पर Cloud KMS Autokey की सुविधा चालू करनी होगी. साथ ही, उस Cloud KMS प्रोजेक्ट की पहचान करनी होगी जिसमें उस फ़ोल्डर के लिए Autokey संसाधन शामिल होंगे. इस फ़ोल्डर में Autokey की सुविधा चालू करने से, फ़ोल्डर में मौजूद सभी संसाधन प्रोजेक्ट के लिए Autokey की सुविधा चालू हो जाती है.

1. Google Cloud Console में, KMS कंट्रोल पेज पर जाएं.
2. 'फ़ोल्डर चुनें' पर क्लिक करें

3. कॉन्टेक्स्ट पिकर से, वह फ़ोल्डर चुनें जिसमें आपको Autokey की सुविधा चालू करनी है. यह वही फ़ोल्डर होगा जिसे आपने पहले बनाया था. इसमें आपका रिसॉर्स प्रोजेक्ट और कुंजी मैनेजमेंट प्रोजेक्ट शामिल होगा. यह ऐसा दिखना चाहिए:

4. 'चालू करें' पर क्लिक करें.
5. कुंजी प्रोजेक्ट चुनने के लिए, 'ब्राउज़ करें' पर क्लिक करें
6. कुंजी मैनेजमेंट प्रोजेक्ट चुनें. इसके बाद, सबमिट करें पर क्लिक करें.

आपको एक मैसेज मिलता है. इसमें यह पुष्टि की जाती है कि फ़ोल्डर पर Cloud KMS Autokey की सुविधा चालू है. KMS Controls पेज ऐसा दिखना चाहिए:

9. Cloud KMS Autokey का इस्तेमाल करके सुरक्षित संसाधन बनाना

Compute Engine की परसिस्टेंट डिस्क

Autokey, हर डिस्क, इमेज, और मशीन इमेज के लिए एक नई कुंजी बनाता है. यह कुंजी, उस संसाधन की जगह पर ही बनाई जाती है जिसे बनाया जा रहा है.

डिस्क बनाने के लिए, यह तरीका अपनाएं:

1. Google Cloud Console में, डिस्क पेज पर जाएं.
2. 'डिस्क बनाएं' पर क्लिक करें और नई डिस्क के लिए प्रॉपर्टी डालें.
3. एन्क्रिप्शन में जाकर, Cloud KMS कुंजी चुनें.

4. 'कुंजी का टाइप' के लिए, 'ऑटोकी के साथ Cloud KMS' चुनें. इसके बाद, 'नई कुंजी का अनुरोध करें' पर क्लिक करें. आपको एक मैसेज मिलेगा, जिसमें बताया जाएगा कि आपका डिजिटल बटन बन गया है और इस्तेमाल के लिए तैयार है.

5. डिस्क बनाने की प्रोसेस पूरी करने के लिए, बनाएं पर क्लिक करें.

सुरक्षित वीएम इंस्टेंस, इमेज, और मशीन इमेज रिसॉर्स बनाने के लिए, इसी तरह की प्रोसेस अपनाई जा सकती है.

Google Cloud Storage बकेट

Autokey, बकेट की तरह ही जगह पर एक नई कुंजी बनाता है. Autokey से बनाई गई कुंजी को बकेट की डिफ़ॉल्ट कुंजी के तौर पर असाइन किया जाता है.

Autokey, ऑब्जेक्ट के लिए कुंजियां नहीं बनाता है. डिफ़ॉल्ट रूप से, किसी बकेट में बनाए गए ऑब्जेक्ट, बकेट की डिफ़ॉल्ट कुंजी का इस्तेमाल करते हैं. अगर आपको बकेट की डिफ़ॉल्ट कुंजी के अलावा किसी दूसरी कुंजी का इस्तेमाल करके ऑब्जेक्ट को एन्क्रिप्ट (सुरक्षित) करना है, तो मैन्युअल तरीके से सीएमईके बनाएं. इसके बाद, ऑब्जेक्ट बनाते समय उस कुंजी का इस्तेमाल करें.

1. Google Cloud Console में, बकेट बनाएं पेज पर जाएं.
2. कोई ऐसा नाम चुनें जो दुनिया भर में यूनीक हो और जिसे बदला न जा सके.
3. डेटा की जगह चुनें.
4. "ऑब्जेक्ट डेटा को सुरक्षित रखने का तरीका चुनें" सेक्शन पर जाएं

5. सेक्शन को बड़ा करने के लिए, "ऑब्जेक्ट डेटा को सुरक्षित रखने का तरीका चुनें" पर क्लिक करें

6. डेटा एन्क्रिप्शन सेक्शन को बड़ा करें और Cloud KMS कुंजी चुनें.
7. 'कुंजी का टाइप' के लिए, 'ऑटोकी के साथ Cloud KMS' चुनें. इसके बाद, 'नई कुंजी का अनुरोध करें' पर क्लिक करें. आपको एक मैसेज मिलेगा, जिसमें बताया जाएगा कि आपका डिजिटल बटन बन गया है और इस्तेमाल के लिए तैयार है.

8. बकेट बनाने की प्रोसेस पूरी करने के लिए, बनाएं पर क्लिक करें. अगर आपको एक डायलॉग बॉक्स दिखता है, जिसमें बताया गया है कि "सार्वजनिक तौर पर ऐक्सेस नहीं किया जा सकेगा", तो पुष्टि करें पर क्लिक करें.

BigQuery डेटासेट

हर नए डेटासेट के लिए, Autokey एक नई कुंजी बनाता है. यह कुंजी, संसाधन की जगह पर ही बनती है. यह कुंजी, डेटासेट की डिफ़ॉल्ट कुंजी बन जाती है. Autokey, टेबल, क्वेरी, अस्थायी टेबल या मॉडल के लिए कुंजियां नहीं बनाता है. डिफ़ॉल्ट रूप से, इन संसाधनों को डेटासेट की डिफ़ॉल्ट कुंजी से सुरक्षित किया जाता है. अगर आपको डेटासेट में मौजूद किसी संसाधन को डेटासेट की डिफ़ॉल्ट कुंजी के बजाय किसी दूसरी कुंजी का इस्तेमाल करके सुरक्षित करना है, तो सीएमईके को मैन्युअल तरीके से बनाया जा सकता है. इसके बाद, संसाधन बनाते समय उस कुंजी का इस्तेमाल किया जा सकता है.

BigQuery डेटासेट बनाने के लिए, आपके पास BigQuery उपयोगकर्ता की भूमिका होनी चाहिए.

1. Cloud Shell पर वापस जाएं
2. संसाधन प्रोजेक्ट से निर्देश चलाने के लिए, Cloud Shell को सेट करें

gcloud config set project $RESOURCE_PROJECT

3. अपने प्रोजेक्ट नंबर को RESOURCE_PROJECT_NUMBER नाम के वैरिएबल के तौर पर सेव करने के लिए, यह कमांड चलाएं

export RESOURCE_PROJECT_NUMBER=$(gcloud projects list --filter="$(gcloud config get-value project)" --format="value(PROJECT_NUMBER)")

4. खुद को BigQuery उपयोगकर्ता की भूमिका असाइन करना

gcloud projects add-iam-policy-binding $RESOURCE_PROJECT_NUMBER \
    --role=roles/bigquery.user \
    --member=user:$KEY_ADMIN_EMAIL

अब आपके पास BigQuery उपयोगकर्ता की भूमिका है. इसलिए, आपके पास डेटासेट बनाने और उसे Autokey की मदद से सुरक्षित करने का विकल्प है!

5. Google Cloud Console में, BigQuery पेज पर जाएं.
6. डेटासेट बनाने के लिए दिए गए निर्देशों का पालन करें. इसके बाद, बेहतर विकल्प > एन्क्रिप्शन पर जाएं.
7. एन्क्रिप्शन में जाकर, Cloud KMS कुंजी चुनें.
8. 'कुंजी का टाइप' के लिए, 'ऑटोकी के साथ Cloud KMS' चुनें. इसके बाद, 'नई कुंजी का अनुरोध करें' पर क्लिक करें. आपको एक मैसेज मिलेगा, जिसमें बताया जाएगा कि आपका डिजिटल बटन बन गया है और इस्तेमाल के लिए तैयार है.
9. डेटासेट बनाने के लिए, डेटासेट बनाएं पर क्लिक करें.

10. अपनी कुंजियां एक्सप्लोर करना

इस चरण में, आपको Key Inventory पेज पर जाकर, Cloud KMS Autokey की बनाई गई कुंजियों के बारे में पता चलेगा. मुख्य इन्वेंट्री पेज पर, आपके प्रोजेक्ट में मौजूद क्रिप्टोग्राफ़िक कुंजियों के बारे में पूरी जानकारी मिलती है. ध्यान दें कि डेटा मिलने में देरी हो सकती है. उदाहरण के लिए, अगर आपने कोई नया सुरक्षित संसाधन बनाया है, तो सुरक्षित संसाधन और उससे जुड़ा कुंजी वर्शन, इस्तेमाल को ट्रैक करने वाले टैब में तुरंत नहीं जोड़ा जाता. यहां ज़्यादा सीमाएं देखें.

1. Google Cloud Console में, कुंजी की इन्वेंट्री पेज पर जाएं.
2. ज़रूरी नहीं: कुंजियों की सूची को फ़िल्टर करने के लिए, filter_list फ़िल्टर बॉक्स में खोज के लिए शब्द डालें. इसके बाद, Enter दबाएं. उदाहरण के लिए, कुंजियों को उनकी जगह, की रिंग, स्टेटस या अन्य प्रॉपर्टी के हिसाब से फ़िल्टर किया जा सकता है.
3. उस कुंजी के नाम पर क्लिक करें जिसके इस्तेमाल की जानकारी आपको देखनी है.
4. "खास जानकारी" पर क्लिक करें. ध्यान दें कि बनाए गए हर संसाधन के लिए, आपके पास एक कुंजी होती है. हर कुंजी के नाम में, उस संसाधन का नाम शामिल होता है जिसकी सुरक्षा के लिए कुंजी का इस्तेमाल किया जा रहा है. उदाहरण के लिए, "compute-disk" या "storage-bucket". Cloud KMS Autokey यह पक्का करता है कि हर कुंजी को बनाने के 365 दिनों के बाद, उसे रोटेट करने के लिए शेड्यूल किया गया हो. साथ ही, हर कुंजी को "HSM" सुरक्षा स्तर असाइन किया गया हो.

4. 'इस्तेमाल को ट्रैक करना' टैब पर क्लिक करें. यहां दी गई जानकारी के लेवल पर ध्यान दें: यहां हर उस संसाधन को दिखाया गया है जिसे कुंजी एन्क्रिप्ट (सुरक्षित) कर रही है. साथ ही, प्रोजेक्ट, जगह, और बनाने की तारीख भी दिखाई गई है.
5. ज़रूरी नहीं: सुरक्षित किए गए संसाधनों की सूची को फ़िल्टर करने के लिए, filter_list फ़िल्टर बॉक्स में खोज के लिए शब्द डालें. इसके बाद, Enter दबाएं.

11. बधाई हो

बधाई हो, आपने Google Cloud संसाधन बना लिए हैं. साथ ही, Cloud KMS Autokey की मदद से, उन्हें मांग पर अपने-आप एन्क्रिप्ट (सुरक्षित) कर लिया है!

अब आपको Autokey को सेट अप करने और Cloud KMS की कुंजियों की मदद से, अपने संसाधनों को अपने-आप एन्क्रिप्ट (सुरक्षित) करने के लिए इस्तेमाल करने के ज़रूरी चरणों के बारे में पता चल गया है.

12. आगे क्या करना है?

ऑटोक़ी से एन्क्रिप्ट किए गए संसाधनों में डेटा अपलोड करना

• Google Compute Engine (GCE) इंस्टेंस बनाना
• Autokey से सुरक्षित परसिस्टेंट डिस्क को अपने GCE इंस्टेंस से अटैच करें
• अपने BigQuery डेटासेट में डेटा अपलोड करना
• Google Cloud Storage बकेट में ऑब्जेक्ट अपलोड करना
• Google Cloud Storage के डेटा को BigQuery में लोड करना

रेफ़रंस दस्तावेज़

• ऑटोक़ी की खास जानकारी
• Cloud KMS Autokey की सुविधा चालू करना
• Cloud KMS Autokey का इस्तेमाल करके सुरक्षित किए गए संसाधन बनाना
• कुंजी के इस्तेमाल की जानकारी देखना