গ্রাহক-পরিচালিত এনক্রিপশন কী (CMEK)

ডিফল্টরূপে, MongoDB সামঞ্জস্য সহ ক্লাউড ফায়ারস্টোরে অবশিষ্ট সমস্ত ডেটা Google-এর ডিফল্ট এনক্রিপশন ব্যবহার করে এনক্রিপ্ট করা হয়৷ MongoDB সামঞ্জস্য সহ ক্লাউড ফায়ারস্টোর আপনার পক্ষ থেকে কোনও অতিরিক্ত পদক্ষেপ ছাড়াই আপনার জন্য এই এনক্রিপশনটি পরিচালনা করে এবং পরিচালনা করে।

আপনার ডেটা সুরক্ষিত রাখে এমন কীগুলির সাথে সম্পর্কিত নির্দিষ্ট সম্মতি বা নিয়ন্ত্রক প্রয়োজনীয়তা থাকলে, আপনি MongoDB সামঞ্জস্যের সাথে ক্লাউড ফায়ারস্টোরের জন্য গ্রাহক-পরিচালিত এনক্রিপশন কী (CMEK) ব্যবহার করতে পারেন। Google আপনার ডেটা সুরক্ষিত করে এমন এনক্রিপশন কীগুলি পরিচালনা করার পরিবর্তে, MongoDB সামঞ্জস্যপূর্ণ ডেটাবেসের সাথে আপনার ক্লাউড ফায়ারস্টোর একটি কী ব্যবহার করে সুরক্ষিত থাকে যা আপনি ক্লাউড কী ম্যানেজমেন্ট সার্ভিস (ক্লাউড কেএমএস) এ নিয়ন্ত্রণ করেন এবং পরিচালনা করেন।

এই পৃষ্ঠাটি MongoDB সামঞ্জস্যের সাথে ক্লাউড ফায়ারস্টোরের জন্য CMEK বর্ণনা করে। কখন এবং কেন এটি সক্ষম করতে হবে সহ সাধারণভাবে CMEK সম্পর্কে আরও তথ্যের জন্য, নিম্নলিখিত ক্লাউড কেএমএস ডকুমেন্টেশন দেখুন:

MongoDB সামঞ্জস্যের সাথে ক্লাউড ফায়ারস্টোরের সাথে CMEK-সম্পর্কিত কাজগুলি সম্পাদনের নির্দেশাবলীর জন্য, CMEK ব্যবহার করুন দেখুন।

বৈশিষ্ট্য

  • ডেটা নিয়ন্ত্রণ : CMEK আপনাকে KMS কী পরিচালনা করতে দেয়। আপনি MongoDB সামঞ্জস্যপূর্ণ ডাটাবেসের সাথে আপনার ক্লাউড ফায়ারস্টোরে ডেটা এনক্রিপ্ট করার জন্য ব্যবহৃত কীটি ঘোরাতে, অক্ষম এবং ধ্বংস করতে পারেন।
  • কর্মক্ষমতা : CMEK Cloud Firestore এসএলএ-কে প্রভাবিত করে না।
  • নিরীক্ষাযোগ্যতা : আপনি যদি ক্লাউড KMS-এর জন্য অডিট লগিং সক্ষম করেন , তাহলে কী-এর সমস্ত ক্রিয়াকলাপ Cloud Logging এ লগ করা এবং দেখা যায়৷
  • প্রতিষ্ঠানের নীতির সীমাবদ্ধতা : আপনি আপনার প্রতিষ্ঠানে MongoDB সামঞ্জস্যপূর্ণ ডেটাবেসের সাথে ক্লাউড ফায়ারস্টোরের জন্য এনক্রিপশন সম্মতির প্রয়োজনীয়তা নির্দিষ্ট করতে CMEK সংস্থার নীতির সীমাবদ্ধতা ব্যবহার করতে পারেন।

মূল্য নির্ধারণ

ক্লাউড KMS কীটির খরচ এবং সেই কী ব্যবহার করে সম্পাদিত যেকোনো ক্রিপ্টোগ্রাফিক অপারেশনের জন্য চার্জ করে। আরও তথ্যের জন্য, ক্লাউড কেএমএস মূল্য দেখুন।

MongoDB সামঞ্জস্য সহ ক্লাউড ফায়ারস্টোর যখন ক্লাউড কেএমএস কীকে একটি এনক্রিপশন বা ডিক্রিপশন অপারেশন করতে বলে তখন আপনাকে অপারেশন খরচের জন্য বিল দেওয়া হয়। গ্রাহক-পরিচালিত কী দ্বারা এনক্রিপশন বা ডিক্রিপশন অপারেশন প্রতি 5 মিনিটে ঘটে এবং ডাটাবেস অনুরোধের সাথে সিঙ্ক্রোনাইজ করা হয় না। MongoDB সামঞ্জস্যের সাথে ক্লাউড ফায়ারস্টোর দ্বারা উত্পন্ন প্রত্যাশিত ক্রিপ্টোগ্রাফিক ক্রিয়াকলাপগুলির প্রেক্ষিতে খরচ সাধারণত কম হয়৷ ক্লাউড অডিট লগের জন্য খরচ একটি অতিরিক্ত খরচ, কিন্তু ক্রিপ্টোগ্রাফিক অপারেশনের প্রত্যাশিত সংখ্যার কারণে সাধারণত কম হতে পারে বলেও আশা করা হচ্ছে।

CMEK-সুরক্ষিত ডাটাবেস ব্যবহার করার জন্য MongoDB সামঞ্জস্যের খরচ সহ কোনও অতিরিক্ত ক্লাউড ফায়ারস্টোর নেই এবং MongoDB সামঞ্জস্যের মূল্যের সাথে ক্লাউড ফায়ারস্টোর প্রযোজ্য।

আপনি যদি একটি ডাটাবেসে আপনার কী প্রত্যাহার করেন, তাহলে শেষ দিনে কীটি উপলব্ধ ছিল তার আকারের উপর ভিত্তি করে স্টোরেজ খরচ নেওয়া হবে। ডাটাবেস মুছে ফেলা বা কী আবার উপলব্ধ না হওয়া পর্যন্ত আপনি সেই ডাটাবেস আকারে স্টোরেজ খরচ বহন করতে থাকবেন।

CMEK দিয়ে কি সুরক্ষিত আছে

আপনি যখন MongoDB সামঞ্জস্যপূর্ণ CMEK-সুরক্ষিত ডাটাবেসের সাথে একটি ক্লাউড ফায়ারস্টোর তৈরি করেন, তখন আপনার ক্লাউড KMS কীটি বিশ্রামে ডেটা সুরক্ষিত করতে ব্যবহৃত হয়। সূচীপত্র এবং ব্যাকআপ সহ আপনি একটি ডিস্ক বা ফ্ল্যাশ ড্রাইভে সঞ্চয় করেন এমন ডেটা এর মধ্যে রয়েছে। কিছু ব্যতিক্রম প্রযোজ্য। নিম্নলিখিত ডেটা প্রকারগুলি Google ডিফল্ট এনক্রিপশনের সাথে এনক্রিপ্ট করা হয়েছে এবং CMEK কী দ্বারা নয়:

  • ট্রানজিট বা মেমরিতে ডেটা
  • ডাটাবেস মেটাডেটা

কিভাবে একটি অনুপলব্ধ কী স্ট্যাটাস পরিচালনা করা হয়

প্রতিটি ডেটা অনুরোধে এনক্রিপ্ট এবং ডিক্রিপ্ট অপারেশন জারি করা হয় না। পরিবর্তে, MongoDB সামঞ্জস্যপূর্ণ সিস্টেম সহ ক্লাউড ফায়ারস্টোর কীটি এখনও উপলব্ধ আছে কিনা তা পরীক্ষা করতে প্রতি 5 মিনিটে ক্লাউড কেএমএস পোল করে এবং তারপর কীটি উপলব্ধ থাকলে এনক্রিপ্ট এবং ডিক্রিপ্ট অপারেশনগুলি সম্পাদন করে৷

যদি সিস্টেম শনাক্ত করে যে কীটি অনুপলব্ধ, 10 মিনিটের মধ্যে ক্লাউড ফায়ারস্টোরে MongoDB সামঞ্জস্যপূর্ণ ডেটাবেসের সাথে যে কোনো পরবর্তী কল, পড়া, লেখা এবং প্রশ্ন সহ, নিম্নলিখিত বার্তার সাথে একটি INVALID_ARGUMENT ত্রুটি ফেরত দেয়:

The customer-managed encryption key required by the requested
resource is not accessible.

যদি ডাটাবেসে টাইম-টু-লাইভ (TTL) নীতি থাকে এবং কীটি অনুপলব্ধ থাকাকালীন মেয়াদ শেষ হওয়ার সময় অতিক্রম করে, তাহলে কীটি পুনঃস্থাপিত না হওয়া পর্যন্ত TTL দ্বারা ডেটা মুছে ফেলা বিলম্বিত হবে। যদি ডাটাবেসের দীর্ঘমেয়াদী কার্যক্রম চলমান থাকে, তাহলে তারা নিম্নরূপ প্রভাবিত হবে:

ইচ্ছাকৃতভাবে MongoDB সামঞ্জস্যের সাথে ক্লাউড ফায়ারস্টোরকে কী অ্যাক্সেস করার অনুমতি না দেয় এমন কোনও পরিস্থিতিতে কীগুলি অনুপলব্ধ বলে বিবেচিত হয়। এর মধ্যে রয়েছে:

যদি চাবিটি পুনঃস্থাপন করা হয়, পোলিং অপারেশন সনাক্ত করে যে চাবিটি আবার উপলব্ধ। অ্যাক্সেস পুনরায় সক্ষম করা হয়, সাধারণত কয়েক মিনিটের মধ্যে, তবে এটি বিরল ক্ষেত্রে কয়েক ঘন্টা পর্যন্ত সময় নিতে পারে। নোট করুন যে ক্লাউড KMS কীগুলির কিছু ক্রিয়াকলাপ, যেমন একটি কী অক্ষম করা বা ধ্বংস করা, প্রচার করতে 3 ঘন্টা পর্যন্ত সময় নিতে পারে৷ MongoDB সামঞ্জস্য সহ ক্লাউড ফায়ারস্টোর ক্লাউড কেএমএসে কার্যকর না হওয়া পর্যন্ত কোনো পরিবর্তন সনাক্ত করে না।

পরিস্থিতির উপর নির্ভর করে একটি কী পুনঃস্থাপনের সাথে নিম্নলিখিতগুলি জড়িত:

  • একটি অক্ষম কী সংস্করণ পুনরায় সক্ষম করা হচ্ছে
  • একটি ধ্বংস হওয়া কী সংস্করণ পুনরুদ্ধার করা হচ্ছে । স্থায়ীভাবে ধ্বংস হওয়ার আগে, একটি মূল সংস্করণ ধ্বংসের জন্য নির্ধারিত হয়। আপনি শুধুমাত্র সেই সময়কালে একটি কী পুনরুদ্ধার করতে পারেন যখন একটি কী সংস্করণ ধ্বংসের জন্য নির্ধারিত হয়। আপনি একটি কী পুনরুদ্ধার করতে পারবেন না যা ইতিমধ্যে স্থায়ীভাবে ধ্বংস হয়ে গেছে।
  • Cloud Firestore পরিষেবা এজেন্টকে কী অ্যাক্সেস করার অনুমতি দেওয়া হচ্ছে

মূল ঘূর্ণন বিবেচনা

আপনি যখন CMEK কী ঘোরান, তখন MongoDB সামঞ্জস্য সহ ক্লাউড ফায়ারস্টোর CMEK কী-এর সর্বশেষ প্রাথমিক সংস্করণের সাথে ডাটাবেসটিকে পুনরায় এনক্রিপ্ট করে। পুনরায় এনক্রিপশন প্রক্রিয়া চলাকালীন, আগের এবং নতুন কী সংস্করণ উভয়ই উপলব্ধ রাখুন। পুনরায় এনক্রিপশন শেষ হয়ে গেলে, সিএমইকে কী এর আগের সংস্করণগুলি নিষ্ক্রিয় বা মুছে ফেলার ফলে ডাটাবেসের অ্যাক্সেস অক্ষম হবে না কারণ এটি নতুন প্রাথমিক কী সংস্করণের সাথে এনক্রিপ্ট করা হয়েছে।

আপনি ডাটাবেস রক্ষা করতে ব্যবহৃত মূল সংস্করণগুলিও দেখতে পারেন। আরও তথ্যের জন্য, ব্যবহার করা কী দেখুন দেখুন।

বাহ্যিক মূল বিবেচনা

আপনি যখন একটি ক্লাউড EKM কী ব্যবহার করেন, তখন বহিরাগত কী ব্যবস্থাপনা অংশীদার সিস্টেমে আপনার বাহ্যিকভাবে পরিচালিত কী-এর উপলব্ধতার উপর Google-এর কোনো নিয়ন্ত্রণ থাকে না।

যদি একটি বাহ্যিকভাবে-পরিচালিত কী অনুপলব্ধ হয়, তাহলে MongoDB সামঞ্জস্য সহ ক্লাউড ফায়ারস্টোর এক ঘন্টা পর্যন্ত কীটির একটি ক্যাশে করা সংস্করণ ব্যবহার করে সম্পূর্ণ ডাটাবেস ক্রিয়াকলাপ সমর্থন করে।

এক ঘন্টা পরে, যদি MongoDB সামঞ্জস্যের সাথে ক্লাউড ফায়ারস্টোর এখনও ক্লাউড KMS-এর সাথে সংযোগ করতে অক্ষম হয়, তাহলে MongoDB সামঞ্জস্যের সাথে ক্লাউড ফায়ারস্টোর একটি সুরক্ষামূলক ব্যবস্থা হিসাবে ডাটাবেসটিকে অফলাইনে নেওয়া শুরু করে। ডাটাবেসে কলগুলি একটি INVALID_ARGUMENT ত্রুটির সাথে ব্যর্থ হবে যাতে অতিরিক্ত বিবরণ রয়েছে৷

এক্সটার্নাল কী ব্যবহার করার সময় আরও বিবেচনার জন্য ক্লাউড এক্সটার্নাল কী ম্যানেজার ডকুমেন্টেশন দেখুন।

ব্যাকআপ এবং পুনরুদ্ধার

একটি ব্যাকআপ একই এনক্রিপশন প্রক্রিয়া ব্যবহার করে যে ডাটাবেস থেকে আপনি এটি তৈরি করেছেন। যখন MongoDB সামঞ্জস্যপূর্ণ ডাটাবেসের সাথে একটি CMEK-সুরক্ষিত ক্লাউড ফায়ারস্টোর একটি ব্যাকআপ তৈরি করে, তখন এটি ব্যাকআপ তৈরির সময় ব্যবহৃত প্রাথমিক কী সংস্করণের সাথে ব্যাকআপ এনক্রিপ্ট করে।

MongoDB সামঞ্জস্য সহ ক্লাউড ফায়ারস্টোর আপনার ব্যাকআপ সময়সূচী সক্ষম করার মুহূর্ত থেকে 24 ঘন্টা কেটে যাওয়ার পরে একটি CMEK ডাটাবেসের প্রথম ব্যাকআপ তৈরি করে।

MongoDB সামঞ্জস্যপূর্ণ ব্যাকআপগুলির সাথে ক্লাউড ফায়ারস্টোর সম্পর্কে আরও তথ্যের জন্য, ডেটা ব্যাক আপ এবং পুনরুদ্ধার করুন দেখুন৷

একটি ব্যাকআপ থেকে পুনরুদ্ধার করা একটি ডাটাবেস ডিফল্টরূপে ব্যাকআপ হিসাবে একই এনক্রিপশন প্রক্রিয়া ব্যবহার করে। যখন আপনি একটি ডাটাবেস পুনরুদ্ধার করেন, আপনি নিম্নলিখিত উপায়গুলির মধ্যে একটিতে একটি ভিন্ন এনক্রিপশন প্রকার নির্দিষ্ট করতে পারেন:

  • একটি নতুন নির্দিষ্ট কী দিয়ে একটি CMEK ডাটাবেসে পুনরুদ্ধার করুন।
  • Google এর ডিফল্ট এনক্রিপশন ব্যবহার করে এমন একটি নন-CMEK ডাটাবেসে পুনরুদ্ধার করুন।
  • একটি ডাটাবেসে পুনরুদ্ধার করুন যা ব্যাকআপের মতো একই এনক্রিপশন ব্যবহার করে।

একটি ব্যাকআপ থেকে MongoDB সামঞ্জস্যপূর্ণ ডাটাবেসের সাথে একটি ক্লাউড ফায়ারস্টোর পুনরুদ্ধার করার বিষয়ে আরও তথ্যের জন্য, একটি ডাটাবেস ব্যাকআপ থেকে ডেটা পুনরুদ্ধার করুন দেখুন। একটি ব্যাকআপ থেকে MongoDB সামঞ্জস্যপূর্ণ ডাটাবেসের সাথে একটি CMEK-সুরক্ষিত ক্লাউড ফায়ারস্টোর পুনরুদ্ধার করার বিষয়ে আরও তথ্যের জন্য, একটি CMEK-সুরক্ষিত ডাটাবেস পুনরুদ্ধার করুন দেখুন।

ক্লোন

ডিফল্টরূপে, অন্য ডাটাবেস থেকে ক্লোন করা একটি ডাটাবেস উৎস ডাটাবেসের মতো একই এনক্রিপশন প্রক্রিয়া ব্যবহার করে। আপনি যখন একটি ডাটাবেস ক্লোন করেন, আপনি নিম্নলিখিত উপায়গুলির মধ্যে একটিতে একটি ভিন্ন এনক্রিপশন প্রকার নির্দিষ্ট করতে পারেন:

  • একটি নতুন নির্দিষ্ট কী দিয়ে একটি CMEK ডাটাবেসে ক্লোন করুন।
  • Google এর ডিফল্ট এনক্রিপশন ব্যবহার করে এমন একটি নন-সিএমইকে ডাটাবেসে ক্লোন করুন।
  • (ডিফল্ট) একটি ডাটাবেসে ক্লোন করুন যা উৎস ডাটাবেসের মতো একই এনক্রিপশন ব্যবহার করে।

MongoDB সামঞ্জস্যপূর্ণ ডাটাবেসের সাথে একটি ক্লাউড ফায়ারস্টোর ক্লোন করার বিষয়ে আরও তথ্যের জন্য, একটি ডাটাবেস ক্লোন করুন দেখুন। MongoDB সামঞ্জস্যপূর্ণ ডাটাবেসের সাথে একটি CMEK-সুরক্ষিত ক্লাউড ফায়ারস্টোর ক্লোন করার বিষয়ে আরও তথ্যের জন্য, একটি CMEK-সুরক্ষিত ডাটাবেস ক্লোন করুন দেখুন।

কী ট্র্যাকিং

আপনি সম্পদগুলি দেখতে কী ট্র্যাকিং ব্যবহার করতে পারেন, উদাহরণস্বরূপ, MongoDB সামঞ্জস্যপূর্ণ ডেটাবেসের সাথে ক্লাউড ফায়ারস্টোর, যা একটি কী রক্ষা করে। কী ট্র্যাকিং সম্পর্কে আরও তথ্যের জন্য, কী ব্যবহার দেখুন দেখুন।

CMEK এবং কী প্রাপ্যতা

যখন কীগুলি অনুপলব্ধ বা নিষ্ক্রিয় থাকে, তখন নিম্নলিখিত আচরণগুলি সম্পর্কে সচেতন হন যা CMEK- সক্ষম ডাটাবেসে ঘটতে পারে:

  • আপনি একটি CMEK ডাটাবেস মুছে ফেলতে পারেন যেখানে অনুপলব্ধ কী রয়েছে৷

  • আপনি যখন একটি CMEK-সক্ষম ডাটাবেস তৈরি করেন, তখন Google ক্লাউড কনসোলে উপলব্ধ কীগুলির তালিকায় নিষ্ক্রিয় কীগুলি দেখায় না৷ আপনি যদি ম্যানুয়ালি একটি অক্ষম কী ইনপুট করেন, তাহলে ডাটাবেস তৈরির প্রক্রিয়াটি একটি INVALID_ARGUMENT ত্রুটি 400 সহ ব্যর্থ হবে৷

সীমাবদ্ধতা

  • আপনি একটি CMEK-সুরক্ষিত ডাটাবেসের জন্য একটি কী পরিবর্তন করতে পারবেন না। আপনি কীগুলি ঘোরাতে, সক্ষম এবং নিষ্ক্রিয় করতে পারেন৷

  • আপনি বিদ্যমান ডাটাবেসে CMEK সক্ষম করতে পারবেন না। আপনি শুধুমাত্র নতুন ডাটাবেসে CMEK সক্ষম করতে পারেন এবং আপনি যখন ডাটাবেস তৈরি করবেন তখন আপনাকে অবশ্যই এটি সক্ষম করতে হবে। একটি CMEK-সুরক্ষিত ডাটাবেসে বিদ্যমান নন-CMEK ডাটাবেসে ডেটা স্থানান্তর করতে, আপনার ডেটা রপ্তানি করুন এবং তারপরে একটি নতুন CMEK-সুরক্ষিত ডাটাবেসে ডেটা আমদানি করুন। আপনি একটি নন-সিএমইকে ডাটাবেস থেকে একটি সিএমইকে ডাটাবেসে ডেটা পুনরুদ্ধার বা ক্লোন করতে পারেন।

  • Cloud Firestore সীমিত সংখ্যক CMEK-সুরক্ষিত ডাটাবেস সমর্থন করে।

এরপর কি