গ্রাহক-পরিচালিত এনক্রিপশন কী (CMEK)

ডিফল্টরূপে, Cloud Firestore থাকা সমস্ত ডেটা Google-এর ডিফল্ট এনক্রিপশন ব্যবহার করে এনক্রিপ্ট করা হয়৷ Cloud Firestore আপনার পক্ষ থেকে কোনো অতিরিক্ত পদক্ষেপ ছাড়াই আপনার জন্য এই এনক্রিপশন পরিচালনা ও পরিচালনা করে।

আপনার ডেটা সুরক্ষিত রাখে এমন কীগুলির সাথে সম্পর্কিত নির্দিষ্ট সম্মতি বা নিয়ন্ত্রক প্রয়োজনীয়তা থাকলে, আপনি Cloud Firestore জন্য গ্রাহক-পরিচালিত এনক্রিপশন কী (CMEK) ব্যবহার করতে পারেন। Google আপনার ডেটা সুরক্ষিত করে এমন এনক্রিপশন কীগুলি পরিচালনা করার পরিবর্তে, আপনার Cloud Firestore ডেটাবেস একটি কী ব্যবহার করে সুরক্ষিত থাকে যা আপনি ক্লাউড কী ম্যানেজমেন্ট সার্ভিস (ক্লাউড কেএমএস) এ নিয়ন্ত্রণ করেন এবং পরিচালনা করেন।

এই পৃষ্ঠাটি Cloud Firestore জন্য CMEK বর্ণনা করে। কখন এবং কেন এটি সক্ষম করতে হবে সহ সাধারণভাবে CMEK সম্পর্কে আরও তথ্যের জন্য, নিম্নলিখিত ক্লাউড কেএমএস ডকুমেন্টেশন দেখুন:

• গ্রাহক-পরিচালিত এনক্রিপশন কী (CMEK)
• CMEK ব্যবহার করার জন্য সর্বোত্তম অনুশীলন

Cloud Firestore সাথে CMEK-সম্পর্কিত কাজ সম্পাদনের নির্দেশাবলীর জন্য, CMEK ব্যবহার করুন দেখুন।

বৈশিষ্ট্য

• ডেটা নিয়ন্ত্রণ : CMEK আপনাকে KMS কী পরিচালনা করতে দেয়। আপনি আপনার Cloud Firestore ডাটাবেসে বিশ্রামে ডেটা এনক্রিপ্ট করতে ব্যবহৃত কীটি ঘোরাতে, নিষ্ক্রিয় করতে এবং ধ্বংস করতে পারেন।
• কর্মক্ষমতা : CMEK Cloud Firestore এসএলএ-কে প্রভাবিত করে না।
• নিরীক্ষাযোগ্যতা : আপনি যদি ক্লাউড KMS-এর জন্য অডিট লগিং সক্ষম করেন , তাহলে কী-তে থাকা সমস্ত ক্রিয়াকলাপ Cloud Logging এ লগ করা এবং দেখা যায়৷
• প্রতিষ্ঠানের নীতির সীমাবদ্ধতা : আপনি আপনার প্রতিষ্ঠানের Cloud Firestore ডাটাবেসের জন্য এনক্রিপশন সম্মতির প্রয়োজনীয়তা নির্দিষ্ট করতে CMEK প্রতিষ্ঠানের নীতির সীমাবদ্ধতা ব্যবহার করতে পারেন।

মূল্য নির্ধারণ

ক্লাউড KMS কীটির খরচ এবং সেই কী ব্যবহার করে সম্পাদিত যেকোনো ক্রিপ্টোগ্রাফিক অপারেশনের জন্য চার্জ করে। আরও তথ্যের জন্য, ক্লাউড কেএমএস মূল্য দেখুন।

Cloud Firestore যখন ক্লাউড কেএমএস কীকে এনক্রিপশন বা ডিক্রিপশন অপারেশন করতে বলে তখন আপনাকে অপারেশন খরচের জন্য বিল দেওয়া হয়। গ্রাহক-পরিচালিত কী দ্বারা এনক্রিপশন/ডিক্রিপশন অপারেশন প্রতি 5 মিনিটে ঘটে এবং ডাটাবেস অনুরোধের সাথে সিঙ্ক্রোনাইজ করা হয় না। Cloud Firestore দ্বারা উত্পন্ন ক্রিপ্টোগ্রাফিক ক্রিয়াকলাপগুলির প্রত্যাশিত সংখ্যার ভিত্তিতে খরচগুলি সাধারণত কম হয়৷ ক্লাউড অডিট লগের জন্য খরচ একটি অতিরিক্ত খরচ, কিন্তু ক্রিপ্টোগ্রাফিক অপারেশনের প্রত্যাশিত সংখ্যার কারণে সাধারণত কম হতে পারে বলেও আশা করা হচ্ছে।

CMEK-সুরক্ষিত ডাটাবেস ব্যবহার করার জন্য কোনো অতিরিক্ত Cloud Firestore খরচ নেই এবং Cloud Firestore মূল্য প্রযোজ্য অব্যাহত রয়েছে।

আপনি যদি একটি ডাটাবেসে আপনার কী প্রত্যাহার করেন, তাহলে শেষ দিনে কীটি উপলব্ধ ছিল তার আকারের উপর ভিত্তি করে স্টোরেজ খরচ নেওয়া হবে। ডাটাবেস মুছে ফেলা বা কী আবার উপলব্ধ না হওয়া পর্যন্ত আপনি সেই ডাটাবেস আকারে স্টোরেজ খরচ বহন করতে থাকবেন।

CMEK দিয়ে কি সুরক্ষিত আছে

আপনি যখন একটি Cloud Firestore CMEK-সুরক্ষিত ডাটাবেস তৈরি করেন, তখন আপনার ক্লাউড KMS কীটি বিশ্রামে ডেটা সুরক্ষিত করতে ব্যবহৃত হয়। সূচীপত্র এবং ব্যাকআপ সহ আপনি একটি ডিস্ক বা ফ্ল্যাশ ড্রাইভে সঞ্চয় করেন এমন ডেটা এর মধ্যে রয়েছে। কিছু ব্যতিক্রম প্রযোজ্য। নিম্নলিখিত ডেটা প্রকারগুলি Google ডিফল্ট এনক্রিপশনের সাথে এনক্রিপ্ট করা হয়েছে এবং CMEK কী দ্বারা নয়:

• ট্রানজিট বা মেমরিতে ডেটা
• ডাটাবেস মেটাডেটা

কিভাবে একটি অনুপলব্ধ কী স্ট্যাটাস পরিচালনা করা হয়

প্রতিটি ডেটা অনুরোধে এনক্রিপ্ট এবং ডিক্রিপ্ট অপারেশন জারি করা হয় না। পরিবর্তে, Cloud Firestore সিস্টেম কীটি এখনও উপলব্ধ আছে কিনা তা পরীক্ষা করার জন্য প্রতি 5 মিনিটে ক্লাউড কেএমএস পোল করে এবং তারপর কীটি উপলব্ধ থাকলে এনক্রিপ্ট এবং ডিক্রিপ্ট অপারেশন করে।

যদি সিস্টেম সনাক্ত করে যে কীটি অনুপলব্ধ, 10 মিনিটের মধ্যে Cloud Firestore ডাটাবেসে যে কোনো পরবর্তী কল, পড়া, লেখা এবং ক্যোয়ারী সহ, একটি FAILED_PRECONDITION ত্রুটি ফিরিয়ে দেয় The customer-managed encryption key required by the requested resource is not accessible ৷

যদি ডাটাবেসে টাইম-টু-লাইভ (TTL) নীতি থাকে এবং কীটি অনুপলব্ধ থাকাকালীন মেয়াদ শেষ হওয়ার সময় অতিক্রম করে, তাহলে কীটি পুনঃস্থাপিত না হওয়া পর্যন্ত TTL দ্বারা ডেটা মুছে ফেলা বিলম্বিত হবে। যদি ডাটাবেসের দীর্ঘমেয়াদী কার্যক্রম চলমান থাকে, তাহলে তারা নিম্নরূপ প্রভাবিত হবে:

• ডেটা আমদানি বা রপ্তানি ক্রিয়াকলাপ অগ্রগতি বন্ধ করবে এবং Failed হিসাবে চিহ্নিত হবে৷ কী পুনঃস্থাপন করা হলে ব্যর্থ অপারেশনগুলি পুনরায় চেষ্টা করা হবে না ।
• ইনডেক্স বিল্ড ক্রিয়াকলাপ, এবং নতুন TTL নীতিগুলি সক্ষম করে এমন ক্রিয়াকলাপগুলি অগ্রগতি বন্ধ করবে। বন্ধ করা ক্রিয়াকলাপগুলি পুনরায় চেষ্টা করা হবে যদি কীটি পুনঃস্থাপন করা হয়।

ইচ্ছাকৃতভাবে Cloud Firestore কী অ্যাক্সেস করতে নিষেধ করে এমন কোনও পরিস্থিতিতে কীগুলি অনুপলব্ধ বলে বিবেচিত হয়৷ এর মধ্যে রয়েছে:

• ইন-ইউজ কী সংস্করণ নিষ্ক্রিয় বা ধ্বংস করা । একটি মূল সংস্করণ ধ্বংস করার সময় সতর্কতা অবলম্বন করুন, কারণ এটি অপুনরুদ্ধারযোগ্য ডেটা ক্ষতির কারণ হতে পারে ।
• Cloud Firestore পরিষেবা অ্যাকাউন্ট থেকে কী অ্যাক্সেস করার অনুমতি সরানো হচ্ছে ।

যদি চাবিটি পুনঃস্থাপন করা হয়, পোলিং অপারেশন সনাক্ত করে যে চাবিটি আবার উপলব্ধ। অ্যাক্সেস পুনরায় সক্ষম করা হয়, সাধারণত কয়েক মিনিটের মধ্যে, তবে এটি বিরল ক্ষেত্রে কয়েক ঘন্টা পর্যন্ত সময় নিতে পারে। নোট করুন যে ক্লাউড KMS কীগুলির কিছু ক্রিয়াকলাপ, যেমন একটি কী অক্ষম করা বা ধ্বংস করা, প্রচার করতে 3 ঘন্টা পর্যন্ত সময় নিতে পারে৷ ক্লাউড কেএমএসে কার্যকর না হওয়া পর্যন্ত Cloud Firestore কোনো পরিবর্তন শনাক্ত করে না।

পরিস্থিতির উপর নির্ভর করে একটি কী পুনঃস্থাপনের সাথে নিম্নলিখিতগুলি জড়িত:

• একটি অক্ষম কী সংস্করণ পুনরায় সক্ষম করা হচ্ছে ৷
• একটি ধ্বংস হওয়া কী সংস্করণ পুনরুদ্ধার করা হচ্ছে । স্থায়ীভাবে ধ্বংস হওয়ার আগে, একটি মূল সংস্করণ ধ্বংসের জন্য নির্ধারিত হয়। আপনি শুধুমাত্র সেই সময়কালে একটি কী পুনরুদ্ধার করতে পারেন যখন একটি কী সংস্করণ ধ্বংসের জন্য নির্ধারিত হয়। আপনি একটি কী পুনরুদ্ধার করতে পারবেন না যা ইতিমধ্যে স্থায়ীভাবে ধ্বংস হয়ে গেছে।
• Cloud Firestore পরিষেবা এজেন্টকে কী অ্যাক্সেস করার অনুমতি দেওয়া হচ্ছে ।

মূল ঘূর্ণন বিবেচনা

আপনি যখন CMEK কী ঘোরান, Cloud Firestore CMEK কী-এর সর্বশেষ প্রাথমিক সংস্করণের সাথে ডাটাবেসটিকে পুনরায় এনক্রিপ্ট করে। পুনরায় এনক্রিপশন প্রক্রিয়া চলাকালীন, পুরানো এবং নতুন উভয় কী সংস্করণ উপলব্ধ রাখুন। পুনরায় এনক্রিপশন শেষ হয়ে গেলে, CMEK কী-এর পুরানো সংস্করণগুলিকে নিষ্ক্রিয় করা বা মুছে ফেলার ফলে ডাটাবেসের অ্যাক্সেস অক্ষম হবে না কারণ এটি নতুন প্রাথমিক কী সংস্করণের সাথে এনক্রিপ্ট করা হয়েছে।

আপনি ডাটাবেস রক্ষা করতে ব্যবহৃত মূল সংস্করণগুলিও দেখতে পারেন। আরও তথ্যের জন্য, ব্যবহার করা কী দেখুন দেখুন।

বাহ্যিক মূল বিবেচনা

আপনি যখন একটি ক্লাউড EKM কী ব্যবহার করেন, তখন বহিরাগত কী ব্যবস্থাপনা অংশীদার সিস্টেমে আপনার বাহ্যিকভাবে পরিচালিত কী-এর উপলব্ধতার উপর Google-এর কোনো নিয়ন্ত্রণ থাকে না।

যদি একটি বহিরাগত-পরিচালিত কী অনুপলব্ধ হয়, Cloud Firestore এক ঘন্টা পর্যন্ত সর্বোত্তম প্রচেষ্টার ভিত্তিতে সম্পূর্ণ ডাটাবেস ক্রিয়াকলাপকে সমর্থন করতে থাকে।

এক ঘন্টা পরে, যদি Cloud Firestore এখনও ক্লাউড কেএমএসের সাথে সংযোগ করতে অক্ষম হয়, Cloud Firestore একটি সুরক্ষামূলক ব্যবস্থা হিসাবে ডাটাবেসটিকে অফলাইনে নেওয়া শুরু করে৷ ডাটাবেসে কলগুলি একটি FAILED_PRECONDITION ত্রুটির সাথে ব্যর্থ হবে যাতে অতিরিক্ত বিবরণ অন্তর্ভুক্ত থাকে৷

এক্সটার্নাল কী ব্যবহার সম্পর্কে আরও তথ্যের জন্য ক্লাউড এক্সটার্নাল কী ম্যানেজার ডকুমেন্টেশন দেখুন।

ব্যাকআপ এবং পুনরুদ্ধার

একটি ব্যাকআপ একই এনক্রিপশন প্রক্রিয়া ব্যবহার করে যে ডাটাবেস থেকে আপনি এটি তৈরি করেছেন। যখন একটি CMEK-সুরক্ষিত Cloud Firestore ডাটাবেস একটি ব্যাকআপ তৈরি করে, তখন এটি ব্যাকআপ তৈরির সময় ব্যবহৃত প্রাথমিক কী সংস্করণের সাথে ব্যাকআপ এনক্রিপ্ট করে।

Cloud Firestore আপনার ব্যাকআপ সময়সূচী সক্ষম করার মুহূর্ত থেকে 24 ঘন্টা কেটে যাওয়ার পরে একটি CMEK ডাটাবেসের প্রথম ব্যাকআপ তৈরি করে।

Cloud Firestore ব্যাকআপ সম্পর্কে আরও তথ্যের জন্য, ব্যাক আপ এবং ডেটা পুনরুদ্ধার দেখুন।

একটি ব্যাকআপ থেকে পুনরুদ্ধার করা একটি ডাটাবেস ডিফল্টরূপে ব্যাকআপ হিসাবে একই এনক্রিপশন প্রক্রিয়া ব্যবহার করে। যখন আপনি একটি ডাটাবেস পুনরুদ্ধার করেন, আপনি নিম্নলিখিত উপায়গুলির মধ্যে একটিতে একটি ভিন্ন এনক্রিপশন প্রকার নির্দিষ্ট করতে পারেন:

• একটি নতুন নির্দিষ্ট কী দিয়ে একটি CMEK ডাটাবেসে পুনরুদ্ধার করুন।
• Google এর ডিফল্ট এনক্রিপশন ব্যবহার করে এমন একটি নন-CMEK ডাটাবেসে পুনরুদ্ধার করুন।
• একটি ডাটাবেসে পুনরুদ্ধার করুন যা ব্যাকআপের মতো একই এনক্রিপশন ব্যবহার করে।

একটি ব্যাকআপ থেকে একটি Cloud Firestore ডাটাবেস পুনরুদ্ধার সম্পর্কে আরও তথ্যের জন্য, একটি ডাটাবেস ব্যাকআপ থেকে ডেটা পুনরুদ্ধার করুন দেখুন৷ একটি ব্যাকআপ থেকে একটি CMEK-সুরক্ষিত Cloud Firestore ডেটাবেস পুনরুদ্ধার করার বিষয়ে আরও তথ্যের জন্য, একটি CMEK-সুরক্ষিত ডেটাবেস পুনরুদ্ধার করুন দেখুন।

কী ট্র্যাকিং

আপনি সম্পদগুলি দেখতে কী ট্র্যাকিং ব্যবহার করতে পারেন, উদাহরণস্বরূপ, Cloud Firestore ডেটাবেস, যা একটি কী রক্ষা করে। কী ট্র্যাকিং সম্পর্কে আরও তথ্যের জন্য, কী ব্যবহার দেখুন দেখুন।

CMEK এবং কী প্রাপ্যতা

যখন কীগুলি অনুপলব্ধ বা নিষ্ক্রিয় থাকে, তখন নিম্নলিখিত আচরণগুলি সম্পর্কে সচেতন হন যা CMEK- সক্ষম ডাটাবেসে ঘটতে পারে:

• আপনি একটি CMEK-সক্ষম ডাটাবেসে Cloud Firestore পয়েন্ট-ইন-টাইম রিকভারি (PITR) সেটিংস পরিবর্তন করতে পারেন যদিও কীটি অনুপলব্ধ থাকে কারণ PITR সেটিংস হল ডাটাবেস মেটাডেটা, যা CMEK দ্বারা এনক্রিপ্ট করা হয়নি৷
• আপনি একটি CMEK ডাটাবেস মুছে ফেলতে পারেন যেখানে অনুপলব্ধ কী রয়েছে৷
• আপনি যখন একটি CMEK-সক্ষম ডাটাবেস তৈরি করেন, তখন Google ক্লাউড কনসোলে উপলব্ধ কীগুলির তালিকায় নিষ্ক্রিয় কীগুলি দেখায় না৷ আপনি যদি ম্যানুয়ালি একটি অক্ষম কী ইনপুট করেন, ডাটাবেস তৈরির প্রক্রিয়াটি FAILED_PRECONDITION ত্রুটি 400 এর সাথে ব্যর্থ হবে৷

সীমাবদ্ধতা

• আপনি একটি CMEK-সুরক্ষিত ডাটাবেসের জন্য একটি কী পরিবর্তন করতে পারবেন না। আপনি কীগুলি ঘোরাতে, সক্ষম এবং নিষ্ক্রিয় করতে পারেন৷
• সিএমইকে-সুরক্ষিত ডাটাবেসগুলি কেবলমাত্র সত্তা এবং নথির ডেটার জন্য কী ভিজ্যুয়ালাইজার সমর্থন করে, সূচক ডেটার জন্য নয়।
• আপনি বিদ্যমান ডাটাবেসে CMEK সক্ষম করতে পারবেন না। আপনি শুধুমাত্র নতুন ডাটাবেসে CMEK সক্ষম করতে পারেন এবং আপনি যখন ডাটাবেস তৈরি করবেন তখন আপনাকে অবশ্যই এটি সক্ষম করতে হবে। একটি CMEK-সুরক্ষিত ডাটাবেসে বিদ্যমান নন-CMEK ডাটাবেসে ডেটা স্থানান্তর করতে, আপনার ডেটা রপ্তানি করুন এবং তারপরে একটি নতুন CMEK-সুরক্ষিত ডাটাবেসে ডেটা আমদানি করুন। আপনি একটি নন-সিএমইকে ডাটাবেস থেকে একটি সিএমইকে ডাটাবেসে ডেটা পুনরুদ্ধার করতে পারেন।
• Cloud Firestore সীমিত সংখ্যক CMEK-সুরক্ষিত ডাটাবেস সমর্থন করে।
• আমরা ক্লাউড ফাংশন (1ম প্রজন্ম) ইন্টিগ্রেশনের সাথে CMEK সুরক্ষা সমর্থন করি না। আপনি যদি CMEK সুরক্ষা পেতে চান তবে Cloud Run ফাংশন ফায়ারস্টোর ট্রিগারস (২য় জেনার) ব্যবহার করুন।

এরপর কি

• Cloud Firestore সাথে কীভাবে CMEK ব্যবহার করবেন তা শিখুন।