इस पेज का अनुवाद Cloud Translation API से किया गया है.

क्लाउड केएमएस ऑटोकी की मदद से, संसाधनों को आसानी से एन्क्रिप्ट (सुरक्षित) करें

1. परिचय

Cloud KMS ऑटोकी, ग्राहक की ओर से मैनेज की जाने वाली एन्क्रिप्शन (सुरक्षित करने का तरीका) कुंजियों (CMEK) को बनाने और इस्तेमाल करने की प्रोसेस को आसान बनाता है. इसके लिए, यह कुंजियों को असाइन करने और उन्हें उपलब्ध कराने की प्रोसेस को ऑटोमेट करता है. Autokey से, आपको की-रिंग, चाबियों, और सेवा खातों की ज़रूरत नहीं पड़ती. इन्हें सेट अप करने की ज़रूरत नहीं होती. इसके बजाय, जब संसाधन तैयार होते हैं, तो Autokey से आपकी कुंजियां जनरेट होती हैं. ये कुंजियां, क्लाउड केएमएस एडमिन के बजाय दी गई अनुमतियों पर निर्भर होती हैं.

Autokey से जनरेट की गई कुंजियों का इस्तेमाल करने से, आपको डेटा सुरक्षा के लिए इंडस्ट्री स्टैंडर्ड और सुझाए गए तरीकों के साथ लगातार काम करने में मदद मिल सकती है. इनमें एचएसएम सुरक्षा का लेवल, अलग-अलग ड्यूटी का अलग-अलग होना, की रोटेशन, जगह, और कुंजी की खासियत शामिल हैं. Autokey ऐसी कुंजियां बनाता है जो क्लाउड केएमएस ऑटोकी के साथ इंटिग्रेट की गई, Google Cloud की सेवाओं के लिए अलग-अलग संसाधन टाइप के सामान्य दिशा-निर्देशों और दिशा-निर्देशों का पालन करती हैं. इन पासकोड को बनाने के बाद, इनका अनुरोध किया गया Autokey फ़ंक्शन की तरह ही, अन्य Cloud HSM कुंजियों की तरह ही सेटिंग वाली अन्य कुंजियां होती हैं.

आपको क्या बनाना होगा

इस कोडलैब में, क्लाउड केएमएस ऑटोकी का इस्तेमाल करके सुरक्षित संसाधनों को लॉन्च किया जा रहा है. ऐसा करने के लिए ये बनाएं:

फ़ोल्डर संसाधन
एक प्रोजेक्ट जिसमें आपकी कुंजियां होंगी
की-मैनेजिंग असिस्टेंट के तौर पर काम करने वाला सर्विस एजेंट
एक ऐसा प्रोजेक्ट जो आपके सुरक्षित संसाधनों को होस्ट करेगा
BigQuery डेटासेट, परसिस्टेंट डिस्क, और Cloud Storage बकेट, जिन्हें Cloud KMS Autokey से एन्क्रिप्ट (सुरक्षित) किया गया है

आपको इन चीज़ों की ज़रूरत होगी

Google Cloud संगठन
इस लैब को पूरा करने के लिए, Google Cloud के मुख्य खाते के पास संगठन के लेवल पर ये भूमिकाएं होनी चाहिए:
क्लाउड केएमएस ऑटोकी एडमिन (roles/cloudkms.autokeyAdmin)
आईएएम एडमिन फ़ोल्डर (roles/resourcesmanager.फ़ोल्डरIamAdmin)
बिलिंग खाते का उपयोगकर्ता (roles/billing.user)
बिलिंग की सुविधा वाले Google Cloud प्रोजेक्ट
Linux का बुनियादी अनुभव

2. एक फ़ोल्डर बनाएं

फ़ोल्डर, Cloud Platform के संसाधन की हैरारकी में नोड होते हैं. फ़ोल्डर में प्रोजेक्ट, अन्य फ़ोल्डर या दोनों हो सकते हैं. संगठन के संसाधन, हैरारकी में संगठन के रिसॉर्स नोड के तहत प्रोजेक्ट का ग्रुप बनाने के लिए, फ़ोल्डर का इस्तेमाल कर सकते हैं. कोई फ़ोल्डर बनाने के लिए:

Google Cloud Console में संसाधन मैनेज करें पेज पर जाएं
पक्का करें कि आपके संगठन के संसाधन का नाम, पेज के सबसे ऊपर मौजूद संगठन की ड्रॉप-डाउन सूची में चुना गया हो.
'फ़ोल्डर बनाएं' पर क्लिक करें

मानक फ़ोल्डर चुनें

फ़ोल्डर के नाम वाले बॉक्स में, अपने नए फ़ोल्डर का नाम डालें. इस लैब के लिए, "Autokey-फ़ोल्डर" चुनें
'डेस्टिनेशन' में, ब्राउज़ करें पर क्लिक करें. इसके बाद, उस संगठन के संसाधन या फ़ोल्डर को चुनें जिसके तहत आपको नया फ़ोल्डर बनाना है.
'बनाएं' पर क्लिक करें.

3. कोई संसाधन प्रोजेक्ट बनाएं

BigQuery डेटासेट, परसिस्टेंट डिस्क, और Cloud Storage बकेट - जैसे रिसॉर्स को शामिल करने के लिए एक रिसॉर्स प्रोजेक्ट बनाना ज़रूरी है, जिसे आपको Cloud KMS Autokey से एन्क्रिप्ट करना है. अगर मुख्य प्रोजेक्ट में, ऐसे संसाधन बनाने की कोशिश की जाती है जिन्हें Autokey से सुरक्षित किया गया है, तो Autokey नई कुंजी के अनुरोध को अस्वीकार कर देता है. रिसॉर्स प्रोजेक्ट बनाने के लिए:

Google Cloud Console में संसाधन मैनेज करें पेज पर जाएं
'प्रोजेक्ट बनाएं' पर क्लिक करें.

पेज पर सबसे ऊपर, 'संगठन चुनें' ड्रॉप-डाउन सूची पर, "ऑटोकी-फ़ोल्डर" चुनें फ़ोल्डर खोलें.
स्क्रीन पर दिखने वाली नई प्रोजेक्ट विंडो में, प्रोजेक्ट का नाम डालें और बिलिंग खाता (जो भी लागू हो) चुनें. इस लैब के लिए, "अपने-आप एन्क्रिप्ट (सुरक्षित) किए गए संसाधन" देखें
लोकेशन बॉक्स में, "ऑटोकी-फ़ोल्डर" चुनें फ़ोल्डर खोलें. वह संसाधन नए प्रोजेक्ट का हैरारकी पैरंट होगा. आपकी सेटिंग इस तरह से दिखनी चाहिए:

प्रोजेक्ट आईडी को कॉपी करें - ऊपर दिए गए उदाहरण में, प्रोजेक्ट आईडी "causal-hour-43319-m4" है लेकिन आपका आईडी अलग होगा - अपनी पसंद के टेक्स्ट एडिटर में.
'बनाएं' पर क्लिक करें
अपनी स्क्रीन के सबसे ऊपर दाएं कोने में मौजूद, क्लाउड शेल आइकॉन चुनें

Cloud Shell के चालू होने के बाद, इस निर्देश की मदद से अपने ऑटोकी प्रोजेक्ट आईडी को वैरिएबल के तौर पर सेव करें:

export RESOURCE_PROJECT=<paste your Resource Project ID>

क्योंकि मेरा प्रोजेक्ट आईडी "key-management-433319" है मेरा निर्देश ऐसा लगता है:

export AUTOKEY_PROJECT=causal-hour-43319-m4

अपने मुख्य प्रोजेक्ट से कमांड चलाने के लिए, यह कमांड चलाएं:

gcloud config set project $RESOURCE_PROJECT

जब कहा जाए, तब "अनुमति दें" पर क्लिक करके Cloud Shell को अनुमति दें

इस प्रोजेक्ट में संसाधन शामिल होंगे. इसलिए, हमें उन सेवाओं के लिए एपीआई चालू करना होगा जिनकी सुरक्षा Autokey से सुरक्षित होगी. नीचे दिया गया निर्देश चलाएं:

gcloud services enable storage.googleapis.com bigquery.googleapis.com compute.googleapis.com

4. मुख्य प्रोजेक्ट बनाएं

हमारा सुझाव है कि आप ऐसा प्रोजेक्ट बनाएं जिसमें Autokey के बनाए गए क्लाउड केएमएस संसाधन शामिल हों. इसे "मुख्य प्रोजेक्ट" कहा जाएगा जा रहा है. मुख्य प्रोजेक्ट को उसी फ़ोल्डर में बनाया जा सकता है जिसमें Autokey चालू करनी है. आपको मुख्य प्रोजेक्ट में अन्य संसाधन नहीं बनाने चाहिए. अगर मुख्य प्रोजेक्ट में, ऐसे संसाधन बनाने की कोशिश की जाती है जिन्हें Autokey से सुरक्षित किया गया है, तो Autokey नई कुंजी के अनुरोध को अस्वीकार कर देता है. मुख्य प्रोजेक्ट बनाने के लिए:

Google Cloud Console में संसाधन मैनेज करें पेज पर जाएं
'प्रोजेक्ट बनाएं' पर क्लिक करें.

पेज पर सबसे ऊपर, 'संगठन चुनें' ड्रॉप-डाउन सूची पर, "ऑटोकी-फ़ोल्डर" चुनें फ़ोल्डर खोलें.
स्क्रीन पर दिखने वाली नई प्रोजेक्ट विंडो में, प्रोजेक्ट का नाम डालें और बिलिंग खाता (जो भी लागू हो) चुनें. इस लैब के लिए, "की मैनेजमेंट" पर विचार करें
लोकेशन बॉक्स में, "ऑटोकी-फ़ोल्डर" चुनें फ़ोल्डर खोलें. वह संसाधन नए प्रोजेक्ट का हैरारकी पैरंट होगा. आपकी सेटिंग इस तरह से दिखनी चाहिए:

प्रोजेक्ट आईडी को कॉपी करें - ऊपर दिए गए उदाहरण में, प्रोजेक्ट आईडी "key-management-433319" है लेकिन आपका आईडी अलग होगा - अपनी पसंद के टेक्स्ट एडिटर में.
'बनाएं' पर क्लिक करें.

5. Autokey कुंजी प्रोजेक्ट तैयार करें

अब हर प्रोजेक्ट बन गया है, इसलिए अब क्लाउड केएमएस ऑटोकी का इस्तेमाल करने के लिए मुख्य प्रोजेक्ट को कॉन्फ़िगर करें.

अपनी स्क्रीन के सबसे ऊपर दाएं कोने में मौजूद, क्लाउड शेल आइकॉन चुनें

Cloud Shell के चालू होने के बाद, इस निर्देश की मदद से अपने ऑटोकी प्रोजेक्ट आईडी को वैरिएबल के तौर पर सेव करें:

export AUTOKEY_PROJECT=<paste your Autokey Project ID>

क्योंकि मेरा प्रोजेक्ट आईडी "key-management-433319" है मेरा निर्देश ऐसा लगता है:

export AUTOKEY_PROJECT=key-management-433319

अपने मुख्य प्रोजेक्ट से कमांड चलाने के लिए, यह कमांड चलाएं:

gcloud config set project $AUTOKEY_PROJECT

जब कहा जाए, तब "अनुमति दें" पर क्लिक करके Cloud Shell को अनुमति दें

नीचे दिए गए निर्देश की मदद से, Cloud KMS API को चालू करें

gcloud services enable cloudkms.googleapis.com  kmsinventory.googleapis.com

अपने प्रोजेक्ट नंबर को AUTOKEY_PROJECT_NUMBER नाम के वैरिएबल के तौर पर सेव करने के लिए, नीचे दिया गया निर्देश चलाएं

export AUTOKEY_PROJECT_NUMBER=$(gcloud projects list \
--filter="$(gcloud config get-value project)" \
--format="value(PROJECT_NUMBER)")

नीचे दिए गए निर्देश की मदद से, अपने प्रिंसिपल के ईमेल को वैरिएबल के तौर पर सेव करें:

export KEY_ADMIN_EMAIL=<paste your Principal's email>

अपने क्लाउड केएमएस एडमिन उपयोगकर्ताओं को मुख्य प्रोजेक्ट के लिए, क्लाउड केएमएस के एडमिन की अनुमतियां दें

gcloud projects add-iam-policy-binding $AUTOKEY_PROJECT_NUMBER \
    --role=roles/cloudkms.admin \
    --member=user:$KEY_ADMIN_EMAIL

6. क्लाउड केएमएस के सर्विस एजेंट सेट अप करना

किसी मुख्य प्रोजेक्ट के लिए, क्लाउड केएमएस का सेवा एजेंट, कुंजियां बनाता है और संसाधन बनाते समय, क्लाउड केएमएस एडमिन की ओर से IAM नीति बाइंडिंग लागू करता है. कुंजियां बनाने और उन्हें असाइन करने के लिए, क्लाउड केएमएस सेवा एजेंट को क्लाउड केएमएस एडमिन की अनुमतियां चाहिए.

संगठन आईडी को यहां दिए गए निर्देश से ढूंढें:

gcloud organizations list | grep -P -i 'ID:' | grep -i '[0-9]'

संगठन आईडी को कॉपी करें - यह अंकों वाला वह नतीजा है जिसे लाल रंग से हाइलाइट किया गया है
संगठन आईडी को ORG_ID नाम वाले वैरिएबल के तौर पर सेव करें:

export ORG_ID=<paste your Organization ID>

नीचे दिए गए निर्देश की मदद से, क्लाउड केएमएस का सर्विस एजेंट बनाएं:

gcloud beta services identity create --service=cloudkms.googleapis.com \
    --project=$AUTOKEY_PROJECT_NUMBER

सर्विस एजेंट को Cloud केएमएस एडमिन की भूमिका दें:

gcloud projects add-iam-policy-binding $AUTOKEY_PROJECT_NUMBER \
    --role=roles/cloudkms.admin \
    --member=serviceAccount:service-$AUTOKEY_PROJECT_NUMBER@gcp-sa-cloudkms.iam.gserviceaccount.com

IAM नीति की बाइंडिंग जोड़ें, ताकि आप अपने क्लाउड केएमएस कुंजी के इस्तेमाल की जानकारी देख सकें. कुंजी के इस्तेमाल से, हर कुंजी की जानकारी मिलती है. इसमें, सुरक्षित किए गए संसाधनों, प्रोजेक्ट, और Google Cloud के उन यूनीक प्रॉडक्ट की संख्या शामिल है जो उस कुंजी का इस्तेमाल करते हैं. इस लेवल की जानकारी उन सभी लोगों के लिए उपलब्ध है जिनके पास कुंजी पर क्लाउड केएमएस व्यूअर की भूमिका है. नीचे दिया गया निर्देश चलाएं:

gcloud organizations add-iam-policy-binding $ORGANIZATION_ID \
    --member="serviceAccount:service-org-$ORGANIZATION_ID@gcp-sa-cloudkms.iam.gserviceaccount.com" \
    --role='roles/cloudkms.orgServiceAgent'

अपने संगठन के संसाधन पर, क्लाउड केएमएस सेवा खाते को क्लाउड केएमएस संगठन सेवा एजेंट (cloudkms.orgServiceAgent) की भूमिका दें.

gcloud organizations add-iam-policy-binding $ORG_ID \
    --member="serviceAccount:service-org-$ORG_ID@gcp-sa-cloudkms.iam.gserviceaccount.com" \
    --role='roles/cloudkms.orgServiceAgent'

अपने संगठन के संसाधन पर, 'क्लाउड केएमएस की सुरक्षा वाले संसाधन के व्यूअर' की भूमिका उन लोगों को दें जिन्हें इस्तेमाल की मुख्य जानकारी देखने की ज़रूरत है.

gcloud organizations add-iam-policy-binding $ORG_ID \
    --member="user:$KEY_ADMIN_EMAIL" \
    --role='roles/cloudkms.protectedResourcesViewer'

7. Autokey उपयोगकर्ता की भूमिकाएं देना

इससे पहले कि आपके डेवलपर, Autokey का इस्तेमाल कर सकें, आपको उन्हें ज़रूरी भूमिका देनी होगी. आपके पास फ़ोल्डर लेवल या प्रोजेक्ट लेवल पर भूमिका देने का विकल्प होता है. इस भूमिका की मदद से, डेवलपर उस फ़ोल्डर या प्रोजेक्ट में संसाधन बनाते समय, Cloud केएमएस सेवा एजेंट से कुंजियों का अनुरोध कर सकते हैं.

भूमिका देने के लिए, सबसे पहले आपको फ़ोल्डर आईडी सेव करना होता है.

इस निर्देश से फ़ोल्डर आईडी ढूंढें:

gcloud projects describe $AUTOKEY_PROJECT | grep 'id' | grep -P -i '[0-9]+'

फ़ोल्डर आईडी कॉपी करें - यह वह हिस्सा है जिसे लाल रंग से हाइलाइट किया गया है
फ़ोल्डर आईडी को COUNTRY_ID नाम के वैरिएबल के तौर पर सेव करें

export FOLDER_ID=<paste the folder ID>

इस लैब के लिए, हम मुख्य एडमिन को ऑटोकी उपयोगकर्ता के तौर पर तय करेंगे. हालांकि, प्रोडक्शन के इस्तेमाल के मामलों में और एक से ज़्यादा व्यक्ति वाले संगठनों में, मुख्य एडमिन को Autokey का इस्तेमाल करने वाले डेवलपर से अलग होना चाहिए.

फ़ोल्डर लेवल पर, भूमिकाएं/clouds.autokeyUser की भूमिका दें:

gcloud resource-manager folders add-iam-policy-binding \
    $FOLDER_ID --role=roles/cloudkms.autokeyUser \
    --member=user:$KEY_ADMIN_EMAIL

8. संसाधन फ़ोल्डर पर क्लाउड केएमएस ऑटोकी चालू करें

यह तरीका अपनाकर, किसी संसाधन फ़ोल्डर पर Cloud KMS Autokey को चालू किया जा सकता है. साथ ही, उस क्लाउड केएमएस प्रोजेक्ट की पहचान की जा सकती है जिसमें उस फ़ोल्डर के लिए ऑटोकी संसाधन होंगे. इस फ़ोल्डर पर Autokey चालू करने से, उसमें मौजूद सभी संसाधन प्रोजेक्ट के लिए Autokey चालू हो जाता है.

Google Cloud Console में, केएमएस कंट्रोल पेज पर जाएं.
'फ़ोल्डर चुनें' पर क्लिक करें

कॉन्टेक्स्ट पिकर से वह फ़ोल्डर चुनें जिसमें आपको Autokey चालू करना है. यह वही फ़ोल्डर होगा जिसे आपने पहले बनाया था. इसमें आपका संसाधन प्रोजेक्ट और पासकोड मैनेजमेंट प्रोजेक्ट शामिल होगा. यह कुछ ऐसा दिखना चाहिए:

'चालू करें' पर क्लिक करें.
मुख्य प्रोजेक्ट चुनने के लिए, ‘ब्राउज़ करें’ पर क्लिक करें
मुख्य मैनेजमेंट प्रोजेक्ट चुनें और 'सबमिट करें' पर क्लिक करें.

यह पुष्टि करने वाला एक मैसेज है कि इस फ़ोल्डर पर क्लाउड केएमएस ऑटोकी चालू है. केएमएस कंट्रोल पेज ऐसा दिखना चाहिए:

9. क्लाउड केएमएस ऑटोकी का इस्तेमाल करके सुरक्षित संसाधन बनाएं

Compute Engine परसिस्टेंट डिस्क

Autokey हर डिस्क, इमेज, और मशीन इमेज के लिए एक नई कुंजी बनाता है. यह कुंजी उसी जगह पर बनाई जाती है जहां संसाधन बनाया जा रहा है.

डिस्क बनाने के लिए, इन चरणों को पूरा करें:

Google Cloud Console में, डिस्क पेज पर जाएं.
'डिस्क बनाएं' पर क्लिक करें और नई डिस्क के लिए प्रॉपर्टी डालें.
एन्क्रिप्ट (सुरक्षित) करने के तरीके में जाकर, क्लाउड केएमएस कुंजी चुनें.

कुंजी टाइप के लिए, Autokey के साथ क्लाउड केएमएस चुनें. इसके बाद, 'नई कुंजी के लिए अनुरोध करें' पर क्लिक करें. एक मैसेज से पता चलता है कि आपकी कुंजी कब बन गई है और इस्तेमाल के लिए तैयार है.

डिस्क बनाने की प्रोसेस पूरी करने के लिए, 'बनाएं' पर क्लिक करें.

सुरक्षित वीएम इंस्टेंस, इमेज, और मशीन इमेज रिसॉर्स बनाने के लिए, इसी तरह की प्रोसेस अपनाई जा सकती है.

Google Cloud Storage बकेट

Autokey, बकेट के तौर पर एक ही जगह पर नई कुंजी बनाता है. Autokey से बनाई गई कुंजी को बकेट डिफ़ॉल्ट बटन के तौर पर असाइन किया जाता है.

Autokey, ऑब्जेक्ट के लिए कुंजियां नहीं बनाती. डिफ़ॉल्ट रूप से, बकेट में बनाए गए ऑब्जेक्ट बकेट के डिफ़ॉल्ट बटन का इस्तेमाल करते हैं. अगर आपको बकेट डिफ़ॉल्ट कुंजी के बजाय किसी दूसरी कुंजी का इस्तेमाल करके किसी ऑब्जेक्ट को एन्क्रिप्ट करना है, तो आप मैन्युअल रूप से CMEK बना सकते हैं. साथ ही, ऑब्जेक्ट बनाते समय उस कुंजी का इस्तेमाल कर सकते हैं.

Google Cloud Console में, बकेट बनाएं पेज पर जाएं.
दुनिया भर में इस्तेमाल होने वाला यूनीक और स्थायी नाम चुनें.
डेटा सेव करने की जगह चुनें.
"ऑब्जेक्ट डेटा को सुरक्षित रखने का तरीका चुनें" पर जाएं सेक्शन

"ऑब्जेक्ट डेटा को सुरक्षित रखने का तरीका चुनें" पर क्लिक करें सेक्शन को बड़ा करने के लिए

डेटा एन्क्रिप्शन वाले सेक्शन को बड़ा करें और क्लाउड केएमएस कुंजी चुनें.
कुंजी टाइप के लिए, Autokey के साथ क्लाउड केएमएस चुनें. इसके बाद, 'नई कुंजी के लिए अनुरोध करें' पर क्लिक करें. एक मैसेज से पता चलता है कि आपकी कुंजी कब बन गई है और इस्तेमाल के लिए तैयार है.

बकेट बनाने की प्रक्रिया पूरी करने के लिए, 'बनाएं' पर क्लिक करें. अगर आपको डायलॉग बॉक्स दिया गया हो, जिसमें यह बताया गया हो कि "सार्वजनिक ऐक्सेस पर रोक लगा दी जाएगी" 'पुष्टि करें' पर क्लिक करें.

BigQuery डेटासेट

हर नए डेटासेट के लिए, Autokey एक नई कुंजी बनाता है. यह कुंजी, संसाधन वाली जगह पर ही बनाई जाती है, जो डेटासेट की डिफ़ॉल्ट कुंजी बन जाती है. Autokey से टेबल, क्वेरी, अस्थायी टेबल या मॉडल के लिए कुंजियां नहीं बनाई जातीं. डिफ़ॉल्ट रूप से, इन संसाधनों को डेटासेट की डिफ़ॉल्ट कुंजी से सुरक्षित रखा जाता है. अगर आपको डेटासेट डिफ़ॉल्ट कुंजी के बजाय, किसी दूसरी कुंजी का इस्तेमाल करके डेटासेट में संसाधन को सुरक्षित करना है, तो मैन्युअल तरीके से सीएमईके बनाया जा सकता है. साथ ही, संसाधन बनाते समय उस कुंजी का इस्तेमाल भी किया जा सकता है.

BigQuery डेटासेट बनाने के लिए, पहले आपके पास BigQuery उपयोगकर्ता की भूमिका होनी चाहिए.

Cloud Shell पर वापस जाएं
रिसॉर्स प्रोजेक्ट से कमांड चलाने के लिए, अपना Cloud Shell सेट करें

gcloud config set project $RESOURCE_PROJECT

अपने प्रोजेक्ट नंबर को Resource_PROJECT_NUMBER नाम वाले वैरिएबल के तौर पर सेव करने के लिए, नीचे दिया गया निर्देश चलाएं

export RESOURCE_PROJECT_NUMBER=$(gcloud projects list --filter="$(gcloud config get-value project)" --format="value(PROJECT_NUMBER)")

खुद को BigQuery उपयोगकर्ता की भूमिका देना

gcloud projects add-iam-policy-binding $RESOURCE_PROJECT_NUMBER \
    --role=roles/bigquery.user \
    --member=user:$KEY_ADMIN_EMAIL

अब आपके पास BigQuery उपयोगकर्ता की भूमिका है. इसलिए, अब डेटासेट बनाया जा सकता है और Autokey से सुरक्षित किया जा सकता है!

Google Cloud Console में, BigQuery पेज पर जाएं.
जब तक आप बेहतर विकल्प पर नहीं पहुंच जाएं, तब तक डेटासेट बनाने के लिए निर्देशों का पालन करें > एन्क्रिप्ट (सुरक्षित) करने का तरीका.
एन्क्रिप्ट (सुरक्षित) करने के तरीके में जाकर, क्लाउड केएमएस कुंजी चुनें.
कुंजी टाइप के लिए, Autokey के साथ क्लाउड केएमएस चुनें. इसके बाद, 'नई कुंजी के लिए अनुरोध करें' पर क्लिक करें. एक मैसेज से पता चलता है कि आपकी कुंजी कब बन गई है और इस्तेमाल के लिए तैयार है.
डेटासेट बनाने की प्रोसेस पूरी करने के लिए, 'डेटासेट बनाएं' पर क्लिक करें.

10. अपनी चाबियां एक्सप्लोर करें

इस चरण में, मुख्य इन्वेंट्री पेज पर जाकर, आपकी ओर से बनाई गई Cloud KMS Autokey की कुंजियों के बारे में जाना जा सकता है. मुख्य इन्वेंट्री पेज पर, आपके प्रोजेक्ट में मौजूद क्रिप्टोग्राफ़िक कुंजियों के बारे में पूरी जानकारी मिलती है. ध्यान दें कि डेटा मिलने में देरी हो सकती है. उदाहरण के लिए, कोई नया सुरक्षित संसाधन बनाने पर, सुरक्षित संसाधन और उससे जुड़ा कुंजी वर्शन 'इस्तेमाल का ट्रैकिंग' टैब में तुरंत नहीं जुड़ जाता. अन्य सीमाएं यहां देखें.

Google Cloud Console में, मुख्य इन्वेंट्री पेज पर जाएं.
ज़रूरी नहीं: कुंजियों की सूची को फ़िल्टर करने के लिए, filter_list फ़िल्टर बॉक्स में अपनी खोज के लिए शब्द डालें और फिर Enter दबाएं. उदाहरण के लिए, बटन को जगह, की-रिंग, स्टेटस या अन्य प्रॉपर्टी के हिसाब से फ़िल्टर किया जा सकता है.
उस कुंजी के नाम पर क्लिक करें जिसके इस्तेमाल की जानकारी आपको देखनी है.
"खास जानकारी" पर क्लिक करें. ध्यान दें कि आपके पास बनाए गए हर संसाधन के लिए एक कुंजी है. हर कुंजी के नाम में उस संसाधन का नाम शामिल होता है जिसकी सुरक्षा कुंजी करता है. उदाहरण के लिए, "compute-disk" या "storage-bucket"). Cloud KMS की ऑटोकी सुविधा यह पक्का करती है कि हर पासकोड बनाने के 365 दिनों बाद, उसे बदल दिया जाए. साथ ही, हर पासकोड को "एचएसएम" सुरक्षा लेवल असाइन किया जाता है.

उपयोग ट्रैकिंग टैब पर क्लिक करें. दी गई जानकारी के लेवल पर ध्यान दें: यहां वे सभी संसाधन दिखाए गए हैं जिन्हें कुंजी एन्क्रिप्ट (सुरक्षित) किया जा रहा है. साथ ही, उन्हें प्रोजेक्ट, जगह, और उसे बनाने की तारीख के साथ दिखाया गया है.
ज़रूरी नहीं: सुरक्षित किए गए संसाधनों की सूची को फ़िल्टर करने के लिए, filter_list फ़िल्टर बॉक्स में अपनी खोज के लिए शब्द डालें और फिर Enter दबाएं.

11. बधाई हो

बधाई हो, आपने Google Cloud के संसाधन बना लिए हैं. साथ ही, Cloud KMS Autokey की मदद से, उन्हें मांग पर अपने-आप एन्क्रिप्ट (सुरक्षित) कर लिया है!

अब आपको ऑटोकी सेट अप करने के ज़रूरी चरणों के बारे में पता है. साथ ही, इसका इस्तेमाल क्लाउड केएमएस कुंजियों की मदद से आपके संसाधनों पर अपने-आप एन्क्रिप्ट (सुरक्षित) करने के लिए भी किया जा सकता है.