Cloud Firestore Enterprise edition with MongoDB compatibility is now available! Learn more.

এই পৃষ্ঠাটি Cloud Translation API অনুবাদ করেছে।

গ্রাহক-পরিচালিত এনক্রিপশন কী (CMEK)

ডিফল্টরূপে, Cloud Firestore থাকা সমস্ত ডেটা গুগলের ডিফল্ট এনক্রিপশন ব্যবহার করে এনক্রিপ্ট করা হয়। Cloud Firestore আপনার পক্ষ থেকে কোনও অতিরিক্ত পদক্ষেপ ছাড়াই এই এনক্রিপশনটি পরিচালনা করে।

যদি আপনার ডেটা সুরক্ষিত করে এমন কীগুলির সাথে সম্পর্কিত নির্দিষ্ট সম্মতি বা নিয়ন্ত্রক প্রয়োজনীয়তা থাকে, তাহলে আপনি Cloud Firestore জন্য গ্রাহক-পরিচালিত এনক্রিপশন কী (CMEK) ব্যবহার করতে পারেন। আপনার ডেটা সুরক্ষিত করে এমন এনক্রিপশন কীগুলি Google পরিচালনা করার পরিবর্তে, আপনার Cloud Firestore ডাটাবেসটি ক্লাউড কী ম্যানেজমেন্ট সার্ভিস (ক্লাউড KMS) এ আপনার নিয়ন্ত্রণ এবং পরিচালনা করা একটি কী ব্যবহার করে সুরক্ষিত থাকে।

এই পৃষ্ঠাটি Cloud Firestore জন্য CMEK বর্ণনা করে। CMEK সম্পর্কে আরও তথ্যের জন্য, কখন এবং কেন এটি সক্ষম করতে হবে তা সহ, নিম্নলিখিত ক্লাউড KMS ডকুমেন্টেশন দেখুন:

Cloud Firestore সাথে CMEK-সম্পর্কিত কাজগুলি সম্পাদনের নির্দেশাবলীর জন্য, CMEK ব্যবহার করুন দেখুন।

ফিচার

ডেটা নিয়ন্ত্রণ : CMEK আপনাকে KMS কী পরিচালনা করতে দেয়। আপনি আপনার Cloud Firestore ডাটাবেসে ডেটা এনক্রিপ্ট করার জন্য ব্যবহৃত কীটি ঘোরাতে, নিষ্ক্রিয় করতে এবং ধ্বংস করতে পারেন।
কর্মক্ষমতা : CMEK Cloud Firestore SLA-তে কোন প্রভাব ফেলে না।
অডিটেবিলিটি : যদি আপনি ক্লাউড কেএমএসের জন্য অডিট লগিং সক্ষম করেন , তাহলে কী-তে সমস্ত ক্রিয়াকলাপ লগ করা হবে এবং Cloud Logging এ দেখা যাবে।
প্রতিষ্ঠানের নীতিগত সীমাবদ্ধতা : আপনার প্রতিষ্ঠানের Cloud Firestore ডাটাবেসের জন্য এনক্রিপশন সম্মতির প্রয়োজনীয়তা নির্দিষ্ট করতে আপনি CMEK প্রতিষ্ঠানের নীতিগত সীমাবদ্ধতা ব্যবহার করতে পারেন।

মূল্য নির্ধারণ

ক্লাউড কেএমএস কী এবং সেই কী ব্যবহার করে সম্পাদিত যেকোনো ক্রিপ্টোগ্রাফিক ক্রিয়াকলাপের খরচ বহন করে। আরও তথ্যের জন্য, ক্লাউড কেএমএস মূল্য দেখুন।

Cloud Firestore যখন ক্লাউড কেএমএস কী-কে এনক্রিপশন বা ডিক্রিপশন অপারেশন করতে বলে তখন আপনাকে অপারেশন খরচের জন্য বিল করা হয়। গ্রাহক-পরিচালিত কী দ্বারা এনক্রিপশন/ডিক্রিপশন অপারেশন প্রতি 5 মিনিটে ঘটে এবং ডাটাবেস অনুরোধের সাথে সিঙ্ক্রোনাইজ করা হয় না। Cloud Firestore দ্বারা উত্পন্ন ক্রিপ্টোগ্রাফিক অপারেশনের প্রত্যাশিত সংখ্যা বিবেচনা করে খরচ সাধারণত কম হয়। ক্লাউড অডিট লগের খরচ একটি অতিরিক্ত ব্যয়, তবে ক্রিপ্টোগ্রাফিক অপারেশনের প্রত্যাশিত সংখ্যা বিবেচনা করে এটি সাধারণত কম হবে বলে আশা করা হচ্ছে।

CMEK-সুরক্ষিত ডাটাবেস ব্যবহারের জন্য Cloud Firestore কোনও অতিরিক্ত খরচ নেই এবং Cloud Firestore মূল্য প্রযোজ্য থাকবে।

যদি আপনি আপনার ডাটাবেসের চাবি প্রত্যাহার করেন, তাহলে চাবিটি যেদিন উপলব্ধ ছিল তার আকারের উপর ভিত্তি করে স্টোরেজ খরচ চার্জ করা হবে। ডাটাবেসটি মুছে ফেলা না হওয়া বা চাবিটি আবার উপলব্ধ না হওয়া পর্যন্ত আপনাকে সেই ডাটাবেস আকারে স্টোরেজ খরচ বহন করতে হবে।

CMEK দিয়ে কী সুরক্ষিত?

যখন আপনি একটি Cloud Firestore CMEK-সুরক্ষিত ডাটাবেস তৈরি করেন, তখন আপনার Cloud KMS কীটি ডেটা সুরক্ষিত রাখার জন্য ব্যবহৃত হয়। এর মধ্যে রয়েছে ডিস্ক বা ফ্ল্যাশ ড্রাইভে সংরক্ষণ করা ডেটা, যার মধ্যে ইনডেক্স এবং ব্যাকআপ অন্তর্ভুক্ত। কিছু ব্যতিক্রম প্রযোজ্য। নিম্নলিখিত ডেটা প্রকারগুলি Google ডিফল্ট এনক্রিপশন দিয়ে এনক্রিপ্ট করা হয় এবং CMEK কী দ্বারা নয়:

ট্রানজিটে বা মেমরিতে থাকা ডেটা
ডাটাবেস মেটাডেটা

একটি অনুপলব্ধ কী স্ট্যাটাস কীভাবে পরিচালনা করা হয়

প্রতিটি ডেটা অনুরোধে এনক্রিপ্ট এবং ডিক্রিপ্ট অপারেশন জারি করা হয় না। পরিবর্তে, Cloud Firestore সিস্টেম প্রতি ৫ মিনিটে ক্লাউড কেএমএস জরিপ করে পরীক্ষা করে যে কীটি এখনও উপলব্ধ কিনা এবং তারপর কীটি উপলব্ধ থাকলে এনক্রিপ্ট এবং ডিক্রিপ্ট অপারেশন সম্পাদন করে।

যদি সিস্টেমটি শনাক্ত করে যে কীটি অনুপলব্ধ, তাহলে ১০ মিনিটের মধ্যে Cloud Firestore ডাটাবেসে পরবর্তী যেকোনো কল, যার মধ্যে রিড, রাইট এবং কোয়েরি অন্তর্ভুক্ত, একটি FAILED_PRECONDITION ত্রুটি ফেরত পাঠাবে যেখানে The customer-managed encryption key required by the requested resource is not accessible বার্তাটি থাকবে।

যদি ডাটাবেসের টাইম-টু-লাইভ (TTL) নীতি থাকে, এবং কীটি অনুপলব্ধ থাকাকালীন যদি কোনও মেয়াদ শেষ হওয়ার সময় অতিক্রম করে, তাহলে কীটি পুনঃস্থাপন না হওয়া পর্যন্ত TTL দ্বারা ডেটা মুছে ফেলা বিলম্বিত হবে। যদি ডাটাবেসের দীর্ঘমেয়াদী কার্যক্রম চলমান থাকে, তাহলে সেগুলি নিম্নলিখিতভাবে প্রভাবিত হবে:

ডেটা আমদানি বা রপ্তানি কার্যক্রমের অগ্রগতি বন্ধ হয়ে যাবে এবং Failed হিসেবে চিহ্নিত করা হবে। কীটি পুনঃস্থাপন করা হলে ব্যর্থ কার্যক্রম পুনরায় চেষ্টা করা হবে না ।
ইনডেক্স বিল্ড অপারেশন এবং নতুন TTL নীতি সক্রিয় করার অপারেশনগুলির অগ্রগতি বন্ধ হয়ে যাবে। কীটি পুনঃস্থাপন করা হলে বন্ধ হওয়া অপারেশনগুলি পুনরায় চেষ্টা করা হবে।

Cloud Firestore ইচ্ছাকৃতভাবে কী অ্যাক্সেস করতে বাধা দিলে, যেকোনো পরিস্থিতিতে কীগুলি অনুপলব্ধ বলে বিবেচিত হবে। এর মধ্যে রয়েছে:

অব্যবহৃত কী সংস্করণটি অক্ষম বা ধ্বংস করা । কোনও কী সংস্করণ ধ্বংস করার সময় সতর্ক থাকুন, কারণ এর ফলে অপ্রত্যাশিত ডেটা ক্ষতি হতে পারে ।
Cloud Firestore পরিষেবা অ্যাকাউন্ট থেকে কী অ্যাক্সেস করার অনুমতি সরানো হচ্ছে ।

যদি কীটি পুনঃস্থাপন করা হয়, তাহলে পোলিং অপারেশন সনাক্ত করে যে কীটি আবার উপলব্ধ। অ্যাক্সেস পুনরায় সক্ষম করা হয়, সাধারণত কয়েক মিনিটের মধ্যে, তবে বিরল ক্ষেত্রে এটি কয়েক ঘন্টা পর্যন্ত সময় নিতে পারে। মনে রাখবেন যে ক্লাউড KMS কীগুলিতে কিছু অপারেশন, যেমন একটি কী অক্ষম করা বা ধ্বংস করা, প্রচারিত হতে 3 ঘন্টা পর্যন্ত সময় নিতে পারে। ক্লাউড KMS-এ কার্যকর না হওয়া পর্যন্ত Cloud Firestore কোনও পরিবর্তন সনাক্ত করে না।

পরিস্থিতির উপর নির্ভর করে একটি চাবি পুনঃস্থাপনের ক্ষেত্রে নিম্নলিখিত বিষয়গুলি জড়িত:

একটি নিষ্ক্রিয় কী সংস্করণ পুনরায় সক্ষম করা হচ্ছে ।
একটি ধ্বংসপ্রাপ্ত কী সংস্করণ পুনরুদ্ধার করা । স্থায়ীভাবে ধ্বংস করার আগে, একটি কী সংস্করণ ধ্বংসের জন্য নির্ধারিত হয়। আপনি কেবল সেই সময়ের মধ্যে একটি কী পুনরুদ্ধার করতে পারেন যখন একটি কী সংস্করণ ধ্বংসের জন্য নির্ধারিত হয়। আপনি এমন একটি কী পুনরুদ্ধার করতে পারবেন না যা ইতিমধ্যেই স্থায়ীভাবে ধ্বংস হয়ে গেছে।
Cloud Firestore পরিষেবা এজেন্টকে কী অ্যাক্সেস করার অনুমতি পুনরায় প্রদান করা ।

সতর্কতা: আপনার কী সাত দিনের বেশি সময় ধরে অনুপলব্ধ থাকতে দেবেন না। CMEK-সুরক্ষিত ডাটাবেসগুলি, যাদের কী 7 দিনের বেশি সময় ধরে অনুপলব্ধ থাকে, সেগুলি মুছে ফেলা হতে পারে। যদি কোনও কী অনুপলব্ধ থাকে, তাহলে সাত দিনের সীমার বেশি ডেটা সংরক্ষণ করার জন্য, আমরা সুপারিশ করছি যে আপনি আপনার Cloud Firestore CMEK ডাটাবেসের জন্য প্রয়োজনীয় ধারণ সময়কাল সহ ব্যাকআপ সক্ষম করুন। কীটি প্রত্যাহার করার আগে, নিশ্চিত করুন যে একটি ব্যাকআপ তৈরি করা হয়েছে, কারণ ব্যাকআপ তৈরির জন্য একটি বৈধ কী প্রয়োজন। ব্যাকআপের জন্য অতিরিক্ত চার্জ প্রযোজ্য। ব্যাকআপ মূল্যের বিশদ বিবরণের জন্য, Cloud Firestore মূল্য দেখুন।

মূল ঘূর্ণন বিবেচনা

যখন আপনি CMEK কীটি ঘোরান, তখন Cloud Firestore CMEK কী-এর সর্বশেষ প্রাথমিক সংস্করণ দিয়ে ডাটাবেসটি পুনরায় এনক্রিপ্ট করে। পুনরায় এনক্রিপশন প্রক্রিয়া চলাকালীন, পুরাতন এবং নতুন কী সংস্করণ উভয়ই উপলব্ধ রাখুন। পুনরায় এনক্রিপশন শেষ হয়ে গেলে, CMEK কী-এর পুরানো সংস্করণগুলি নিষ্ক্রিয় বা মুছে ফেলার ফলে ডাটাবেসে অ্যাক্সেস বন্ধ হবে না কারণ এটি নতুন প্রাথমিক কী সংস্করণ দিয়ে এনক্রিপ্ট করা হয়েছে।

আপনি ডাটাবেস সুরক্ষিত করার জন্য ব্যবহৃত কী সংস্করণগুলিও দেখতে পারেন। আরও তথ্যের জন্য, ব্যবহৃত কীটি দেখুন ।

বাহ্যিক মূল বিবেচ্য বিষয়গুলি

যখন আপনি একটি ক্লাউড EKM কী ব্যবহার করেন, তখন এক্সটার্নাল কী ম্যানেজমেন্ট পার্টনার সিস্টেমে আপনার এক্সটার্নাল-ম্যানেজড কী-এর প্রাপ্যতার উপর Google-এর কোনও নিয়ন্ত্রণ থাকে না।

যদি বাহ্যিকভাবে পরিচালিত কোনও কী অনুপলব্ধ থাকে, তাহলে Cloud Firestore সর্বোচ্চ এক ঘন্টা পর্যন্ত সর্বোচ্চ প্রচেষ্টার ভিত্তিতে সম্পূর্ণ ডাটাবেস কার্যক্রম সমর্থন করে।

এক ঘন্টা পরেও যদি Cloud Firestore ক্লাউড কেএমএসের সাথে সংযোগ স্থাপন করতে না পারে, তাহলে Cloud Firestore সুরক্ষামূলক ব্যবস্থা হিসেবে ডাটাবেসটিকে অফলাইনে নেওয়া শুরু করে। ডাটাবেসে কল করলে একটি FAILED_PRECONDITION ত্রুটি দেখা দেবে যার মধ্যে অতিরিক্ত বিবরণ থাকবে।

বাহ্যিক কী ব্যবহার সম্পর্কে আরও তথ্যের জন্য ক্লাউড এক্সটার্নাল কী ম্যানেজার ডকুমেন্টেশন দেখুন।

ব্যাকআপ এবং পুনরুদ্ধার

একটি ব্যাকআপ আপনি যে ডাটাবেস থেকে এটি তৈরি করেছেন সেই ডাটাবেসের মতো একই এনক্রিপশন প্রক্রিয়া ব্যবহার করে। যখন একটি CMEK-সুরক্ষিত Cloud Firestore ডাটাবেস একটি ব্যাকআপ তৈরি করে, তখন এটি ব্যাকআপ তৈরির সময় ব্যবহৃত প্রাথমিক কী সংস্করণ দিয়ে ব্যাকআপটি এনক্রিপ্ট করে।

ব্যাকআপ সময়সূচী সক্ষম করার 24 ঘন্টা পরে Cloud Firestore একটি CMEK ডাটাবেসের প্রথম ব্যাকআপ তৈরি করে।

Cloud Firestore ব্যাকআপ সম্পর্কে আরও তথ্যের জন্য, ব্যাক আপ এবং ডেটা পুনরুদ্ধার দেখুন।

ব্যাকআপ থেকে পুনরুদ্ধার করা একটি ডাটাবেস ডিফল্টরূপে ব্যাকআপের মতো একই এনক্রিপশন প্রক্রিয়া ব্যবহার করে। যখন আপনি একটি ডাটাবেস পুনরুদ্ধার করেন, তখন আপনি নিম্নলিখিত উপায়গুলির মধ্যে একটিতে একটি ভিন্ন এনক্রিপশন প্রকার নির্দিষ্ট করতে পারেন:

একটি নতুন নির্দিষ্ট কী দিয়ে একটি CMEK ডাটাবেসে পুনরুদ্ধার করুন।
Google এর ডিফল্ট এনক্রিপশন ব্যবহার করে এমন একটি নন-CMEK ডাটাবেসে পুনরুদ্ধার করুন।
ব্যাকআপের মতো একই এনক্রিপশন ব্যবহার করে এমন একটি ডাটাবেসে পুনরুদ্ধার করুন।

ব্যাকআপ থেকে Cloud Firestore ডাটাবেস পুনরুদ্ধার সম্পর্কে আরও তথ্যের জন্য, ডাটাবেস ব্যাকআপ থেকে ডেটা পুনরুদ্ধার দেখুন। ব্যাকআপ থেকে CMEK-সুরক্ষিত Cloud Firestore ডাটাবেস পুনরুদ্ধার সম্পর্কে আরও তথ্যের জন্য, CMEK-সুরক্ষিত ডাটাবেস পুনরুদ্ধার দেখুন।

ক্লোন

ডিফল্টরূপে, অন্য ডাটাবেস থেকে ক্লোন করা একটি ডাটাবেস সোর্স ডাটাবেসের মতো একই এনক্রিপশন প্রক্রিয়া ব্যবহার করে। যখন আপনি একটি ডাটাবেস ক্লোন করেন, তখন আপনি নিম্নলিখিত উপায়গুলির মধ্যে একটিতে একটি ভিন্ন এনক্রিপশন প্রকার নির্দিষ্ট করতে পারেন:

একটি নতুন নির্দিষ্ট কী দিয়ে একটি CMEK ডাটাবেসে ক্লোন করুন।
CMEK-বহির্ভূত একটি ডাটাবেসে ক্লোন করুন যা Google-এর ডিফল্ট এনক্রিপশন ব্যবহার করে।
(ডিফল্ট) এমন একটি ডাটাবেসে ক্লোন করুন যা সোর্স ডাটাবেসের মতো একই এনক্রিপশন ব্যবহার করে।

Cloud Firestore ডাটাবেস ক্লোনিং সম্পর্কে আরও তথ্যের জন্য, একটি ডাটাবেস ক্লোন করুন দেখুন। CMEK-সুরক্ষিত Cloud Firestore ডাটাবেস ক্লোনিং সম্পর্কে আরও তথ্যের জন্য, একটি CMEK-সুরক্ষিত ডাটাবেস ক্লোন করুন দেখুন।

কী ট্র্যাকিং

আপনি কী ট্র্যাকিং ব্যবহার করে রিসোর্সগুলি দেখতে পারেন, উদাহরণস্বরূপ, Cloud Firestore ডাটাবেস, যা একটি কী সুরক্ষিত করে। কী ট্র্যাকিং সম্পর্কে আরও তথ্যের জন্য, কী ব্যবহার দেখুন দেখুন।

সিএমইকে এবং চাবির প্রাপ্যতা

যখন কীগুলি অনুপলব্ধ বা অক্ষম থাকে, তখন CMEK-সক্ষম ডাটাবেসে নিম্নলিখিত আচরণগুলি ঘটতে পারে সে সম্পর্কে সচেতন থাকুন:

আপনি CMEK-সক্ষম ডাটাবেসে Cloud Firestore পয়েন্ট-ইন-টাইম রিকভারি (PITR) সেটিংস পরিবর্তন করতে পারেন, এমনকি যদি কীটি অনুপলব্ধ থাকে কারণ PITR সেটিংস হল ডাটাবেস মেটাডেটা, যা CMEK দ্বারা এনক্রিপ্ট করা হয় না।
আপনি এমন একটি CMEK ডাটাবেস মুছে ফেলতে পারেন যার কীগুলি অনুপলব্ধ।
যখন আপনি একটি CMEK-সক্ষম ডাটাবেস তৈরি করেন, তখন Google ক্লাউড কনসোলে উপলব্ধ কীগুলির তালিকায় অক্ষম কীগুলি প্রদর্শিত হয় না। আপনি যদি ম্যানুয়ালি একটি অক্ষম কী ইনপুট করেন, তাহলে ডাটাবেস তৈরির প্রক্রিয়াটি FAILED_PRECONDITION ত্রুটি 400 সহ ব্যর্থ হবে।

সীমাবদ্ধতা

CMEK-সুরক্ষিত ডাটাবেসের জন্য আপনি কোনও কী পরিবর্তন করতে পারবেন না। আপনি কীগুলি ঘোরাতে, সক্ষম করতে এবং অক্ষম করতে পারেন।
CMEK-সুরক্ষিত ডাটাবেসগুলি কেবল সত্তা এবং নথির ডেটার জন্য কী ভিজ্যুয়ালাইজার সমর্থন করে, সূচক ডেটার জন্য নয়।
বিদ্যমান ডাটাবেসে আপনি CMEK সক্ষম করতে পারবেন না। আপনি কেবল নতুন ডাটাবেসে CMEK সক্ষম করতে পারবেন এবং ডাটাবেস তৈরি করার সময় আপনাকে এটি সক্ষম করতে হবে। বিদ্যমান নন-CMEK ডাটাবেসের ডেটা CMEK-সুরক্ষিত ডাটাবেসে স্থানান্তর করতে, আপনার ডেটা রপ্তানি করুন এবং তারপরে একটি নতুন CMEK-সুরক্ষিত ডাটাবেসে ডেটা আমদানি করুন। আপনি নন-CMEK ডাটাবেস থেকে একটি CMEK ডাটাবেসে ডেটা পুনরুদ্ধার বা ক্লোন করতে পারেন।
Cloud Firestore সীমিত সংখ্যক CMEK-সুরক্ষিত ডাটাবেস সমর্থন করে।
আমরা ক্লাউড ফাংশন (প্রথম প্রজন্ম) ইন্টিগ্রেশনের সাথে CMEK সুরক্ষা সমর্থন করি না। আপনি যদি CMEK সুরক্ষা পেতে চান, Cloud Run ফাংশন Firestore Triggers (দ্বিতীয় প্রজন্ম) ব্যবহার করুন।

কীভাবে ডেটা CMEK-সুরক্ষিত ডাটাবেস ছেড়ে যেতে পারে

আপনার অ্যাপ্লিকেশন দ্বারা অনুলিপি করা ডেটা ব্যবহারকারীরা ইচ্ছামত উপায়ে সংরক্ষণ করতে পারেন। Cloud Firestore ডেটা অ্যাক্সেস করা যেকোনো অ্যাপ্লিকেশনের জন্য উপযুক্ত সুরক্ষা নিয়ন্ত্রণ প্রয়োজন যাতে নিশ্চিত করা যায় যে কেবলমাত্র যথাযথ অনুমোদনপ্রাপ্ত ব্যক্তিরা ডেটা অ্যাক্সেস করতে পারেন। আরও বিস্তারিত জানার জন্য সুরক্ষা নিয়ম এবং IAM দেখুন।
CMEK-সুরক্ষিত ডাটাবেস থেকে ডেটা ব্যাকআপ এবং পুনরুদ্ধার , ক্লোন , অথবা আমদানি এবং রপ্তানি ব্যবহার করে একটি নন-CMEK ডাটাবেসে স্থানান্তরিত করা যেতে পারে। কেবলমাত্র অনুমোদিত ব্যবহারকারীদের এই ক্রিয়াকলাপের অনুমতি দেওয়ার জন্য উপযুক্ত IAM নিয়ন্ত্রণ ব্যবহার করুন। অতিরিক্তভাবে, CMEK সংস্থার নীতিগত সীমাবদ্ধতাগুলি পুনরুদ্ধার বা ক্লোন দ্বারা তৈরি যেকোনো ডাটাবেস এবং আমদানির জন্য ব্যবহৃত যেকোনো Cloud Storage বাকেট CMEK-সুরক্ষিত রাখার জন্য ব্যবহার করা যেতে পারে।

এরপর কি?

Cloud Firestore সাথে CMEK কীভাবে ব্যবহার করবেন তা শিখুন।