গ্রাহক-পরিচালিত এনক্রিপশন কী (CMEK)

ডিফল্টরূপে, MongoDB সামঞ্জস্যপূর্ণ ক্লাউড ফায়ারস্টোরে থাকা সমস্ত ডেটা Google এর ডিফল্ট এনক্রিপশন ব্যবহার করে এনক্রিপ্ট করা হয়। MongoDB সামঞ্জস্যপূর্ণ ক্লাউড ফায়ারস্টোর আপনার পক্ষ থেকে কোনও অতিরিক্ত পদক্ষেপ ছাড়াই এই এনক্রিপশনটি পরিচালনা করে।

যদি আপনার ডেটা সুরক্ষিত করে এমন কীগুলির সাথে সম্পর্কিত নির্দিষ্ট সম্মতি বা নিয়ন্ত্রক প্রয়োজনীয়তা থাকে, তাহলে আপনি MongoDB সামঞ্জস্য সহ ক্লাউড ফায়ারস্টোরের জন্য গ্রাহক-পরিচালিত এনক্রিপশন কী (CMEK) ব্যবহার করতে পারেন। আপনার ডেটা সুরক্ষিত করে এমন এনক্রিপশন কীগুলি Google পরিচালনা করার পরিবর্তে, আপনার MongoDB সামঞ্জস্যপূর্ণ ডাটাবেস সহ ক্লাউড ফায়ারস্টোর একটি কী ব্যবহার করে সুরক্ষিত থাকে যা আপনি ক্লাউড কী ম্যানেজমেন্ট সার্ভিস (ক্লাউড KMS) এ নিয়ন্ত্রণ এবং পরিচালনা করেন।

এই পৃষ্ঠাটি MongoDB সামঞ্জস্যপূর্ণ CLOUD FIRSTORE-এর জন্য CMEK-এর বর্ণনা দেয়। CMEK সম্পর্কে আরও তথ্যের জন্য, কখন এবং কেন এটি সক্ষম করতে হবে তা সহ, নিম্নলিখিত ক্লাউড KMS ডকুমেন্টেশন দেখুন:

MongoDB সামঞ্জস্যপূর্ণ ক্লাউড ফায়ারস্টোরের সাথে CMEK-সম্পর্কিত কাজগুলি সম্পাদনের নির্দেশাবলীর জন্য, CMEK ব্যবহার করুন দেখুন।

ফিচার

  • ডেটা নিয়ন্ত্রণ : CMEK আপনাকে KMS কী পরিচালনা করতে দেয়। আপনি MongoDB সামঞ্জস্যতা ডাটাবেসের সাহায্যে আপনার ক্লাউড ফায়ারস্টোরে ডেটা এনক্রিপ্ট করার জন্য ব্যবহৃত কীটি ঘোরাতে, নিষ্ক্রিয় করতে এবং ধ্বংস করতে পারেন।
  • কর্মক্ষমতা : CMEK Cloud Firestore SLA-তে কোন প্রভাব ফেলে না।
  • অডিটেবিলিটি : যদি আপনি ক্লাউড কেএমএসের জন্য অডিট লগিং সক্ষম করেন , তাহলে কী-তে সমস্ত ক্রিয়াকলাপ লগ করা হবে এবং Cloud Logging এ দেখা যাবে।
  • প্রতিষ্ঠানের নীতিগত সীমাবদ্ধতা : আপনার প্রতিষ্ঠানের MongoDB সামঞ্জস্যতা ডাটাবেসের সাথে ক্লাউড ফায়ারস্টোরের জন্য এনক্রিপশন সম্মতির প্রয়োজনীয়তা নির্দিষ্ট করতে আপনি CMEK প্রতিষ্ঠানের নীতিগত সীমাবদ্ধতা ব্যবহার করতে পারেন।

মূল্য নির্ধারণ

ক্লাউড কেএমএস কী এবং সেই কী ব্যবহার করে সম্পাদিত যেকোনো ক্রিপ্টোগ্রাফিক ক্রিয়াকলাপের খরচ বহন করে। আরও তথ্যের জন্য, ক্লাউড কেএমএস মূল্য দেখুন।

MongoDB সামঞ্জস্যপূর্ণ ক্লাউড ফায়ারস্টোর যখন ক্লাউড KMS কীকে এনক্রিপশন বা ডিক্রিপশন অপারেশন করতে বলে তখন আপনাকে অপারেশন খরচের জন্য বিল করা হয়। গ্রাহক-পরিচালিত কী দ্বারা এনক্রিপশন বা ডিক্রিপশন অপারেশন প্রতি 5 মিনিটে ঘটে এবং ডাটাবেস অনুরোধের সাথে সিঙ্ক্রোনাইজ করা হয় না। MongoDB সামঞ্জস্যপূর্ণ ক্লাউড ফায়ারস্টোর দ্বারা উত্পন্ন ক্রিপ্টোগ্রাফিক অপারেশনের প্রত্যাশিত সংখ্যা বিবেচনা করে খরচ সাধারণত কম হয়। ক্লাউড অডিট লগের খরচ একটি অতিরিক্ত ব্যয়, তবে ক্রিপ্টোগ্রাফিক অপারেশনের প্রত্যাশিত সংখ্যা বিবেচনা করে এটি সাধারণত কম হবে বলে আশা করা হচ্ছে।

CMEK-সুরক্ষিত ডাটাবেস ব্যবহারের জন্য MongoDB সহ ক্লাউড ফায়ারস্টোরের সামঞ্জস্যের জন্য কোনও অতিরিক্ত খরচ নেই এবং MongoDB সহ ক্লাউড ফায়ারস্টোরের সামঞ্জস্যের মূল্য প্রযোজ্য থাকবে।

যদি আপনি আপনার ডাটাবেসের চাবি প্রত্যাহার করেন, তাহলে চাবিটি যেদিন উপলব্ধ ছিল তার আকারের উপর ভিত্তি করে স্টোরেজ খরচ চার্জ করা হবে। ডাটাবেসটি মুছে ফেলা না হওয়া বা চাবিটি আবার উপলব্ধ না হওয়া পর্যন্ত আপনাকে সেই ডাটাবেস আকারে স্টোরেজ খরচ বহন করতে হবে।

CMEK দিয়ে কী সুরক্ষিত?

যখন আপনি MongoDB সামঞ্জস্যপূর্ণ CMEK-সুরক্ষিত ডাটাবেস সহ একটি ক্লাউড ফায়ারস্টোর তৈরি করেন, তখন আপনার ক্লাউড KMS কীটি ডেটা সুরক্ষিত রাখতে ব্যবহৃত হয়। এর মধ্যে রয়েছে ডিস্ক বা ফ্ল্যাশ ড্রাইভে সংরক্ষণ করা ডেটা, যার মধ্যে ইনডেক্স এবং ব্যাকআপ অন্তর্ভুক্ত। কিছু ব্যতিক্রম প্রযোজ্য। নিম্নলিখিত ডেটা প্রকারগুলি Google ডিফল্ট এনক্রিপশন দিয়ে এনক্রিপ্ট করা হয় এবং CMEK কী দ্বারা নয়:

  • ট্রানজিটে বা মেমরিতে থাকা ডেটা
  • ডাটাবেস মেটাডেটা

একটি অনুপলব্ধ কী স্ট্যাটাস কীভাবে পরিচালনা করা হয়

প্রতিটি ডেটা অনুরোধে এনক্রিপ্ট এবং ডিক্রিপ্ট অপারেশন জারি করা হয় না। পরিবর্তে, মঙ্গোডিবি সামঞ্জস্যতা সিস্টেম সহ ক্লাউড ফায়ারস্টোর প্রতি ৫ মিনিটে ক্লাউড কেএমএস জরিপ করে পরীক্ষা করে যে কীটি এখনও উপলব্ধ কিনা এবং তারপর যদি কীটি উপলব্ধ থাকে তবে এনক্রিপ্ট এবং ডিক্রিপ্ট অপারেশন সম্পাদন করে।

যদি সিস্টেমটি শনাক্ত করে যে কীটি অনুপলব্ধ, তাহলে ১০ মিনিটের মধ্যে ক্লাউড ফায়ারস্টোর উইথ মঙ্গোডিবি কম্প্যাটিবিলিটি ডাটাবেসে পরবর্তী যেকোনো কল, যার মধ্যে রিড, রাইট এবং কোয়েরি অন্তর্ভুক্ত, নিম্নলিখিত বার্তা সহ একটি INVALID_ARGUMENT ত্রুটি ফেরত পাঠাবে:

The customer-managed encryption key required by the requested
resource is not accessible.

যদি ডাটাবেসের টাইম-টু-লাইভ (TTL) নীতি থাকে, এবং কীটি অনুপলব্ধ থাকাকালীন যদি কোনও মেয়াদ শেষ হওয়ার সময় অতিক্রম করে, তাহলে কীটি পুনঃস্থাপন না হওয়া পর্যন্ত TTL দ্বারা ডেটা মুছে ফেলা বিলম্বিত হবে। যদি ডাটাবেসের দীর্ঘমেয়াদী কার্যক্রম চলমান থাকে, তাহলে সেগুলি নিম্নলিখিতভাবে প্রভাবিত হবে:

MongoDB সামঞ্জস্যপূর্ণ ক্লাউড ফায়ারস্টোরকে ইচ্ছাকৃতভাবে কী অ্যাক্সেস করতে বাধা দিলে, যেকোনো পরিস্থিতিতে কীগুলি অনুপলব্ধ বলে বিবেচিত হবে। এর মধ্যে রয়েছে:

যদি কীটি পুনঃস্থাপন করা হয়, তাহলে পোলিং অপারেশন সনাক্ত করে যে কীটি আবার উপলব্ধ। অ্যাক্সেস পুনরায় সক্ষম করা হয়, সাধারণত কয়েক মিনিটের মধ্যে, তবে বিরল ক্ষেত্রে এটি কয়েক ঘন্টা পর্যন্ত সময় নিতে পারে। মনে রাখবেন যে ক্লাউড KMS কীগুলিতে কিছু অপারেশন, যেমন একটি কী অক্ষম করা বা ধ্বংস করা, প্রচারিত হতে 3 ঘন্টা পর্যন্ত সময় নিতে পারে। MongoDB সামঞ্জস্য সহ ক্লাউড ফায়ারস্টোর ক্লাউড KMS-এ কার্যকর না হওয়া পর্যন্ত কোনও পরিবর্তন সনাক্ত করে না।

পরিস্থিতির উপর নির্ভর করে একটি চাবি পুনঃস্থাপনের ক্ষেত্রে নিম্নলিখিত বিষয়গুলি জড়িত:

  • একটি নিষ্ক্রিয় কী সংস্করণ পুনরায় সক্ষম করা হচ্ছে
  • একটি ধ্বংসপ্রাপ্ত কী সংস্করণ পুনরুদ্ধার করা । স্থায়ীভাবে ধ্বংস করার আগে, একটি কী সংস্করণ ধ্বংসের জন্য নির্ধারিত হয়। আপনি কেবল সেই সময়ের মধ্যে একটি কী পুনরুদ্ধার করতে পারেন যখন একটি কী সংস্করণ ধ্বংসের জন্য নির্ধারিত হয়। আপনি এমন একটি কী পুনরুদ্ধার করতে পারবেন না যা ইতিমধ্যেই স্থায়ীভাবে ধ্বংস হয়ে গেছে।
  • Cloud Firestore পরিষেবা এজেন্টকে কী অ্যাক্সেস করার অনুমতি পুনরায় প্রদান করা

মূল ঘূর্ণন বিবেচনা

যখন আপনি CMEK কীটি ঘোরান, তখন MongoDB সামঞ্জস্যপূর্ণ ক্লাউড ফায়ারস্টোর CMEK কী-এর সর্বশেষ প্রাথমিক সংস্করণ দিয়ে ডাটাবেসটিকে পুনরায় এনক্রিপ্ট করে। পুনরায় এনক্রিপশন প্রক্রিয়া চলাকালীন, পূর্ববর্তী এবং নতুন কী সংস্করণ উভয়ই উপলব্ধ রাখুন। পুনরায় এনক্রিপশন শেষ হয়ে গেলে, CMEK কী-এর পূর্ববর্তী সংস্করণগুলি নিষ্ক্রিয় বা মুছে ফেলা ডাটাবেসে অ্যাক্সেস বন্ধ করবে না কারণ এটি নতুন প্রাথমিক কী সংস্করণের সাথে এনক্রিপ্ট করা আছে।

আপনি ডাটাবেস সুরক্ষিত করার জন্য ব্যবহৃত কী সংস্করণগুলিও দেখতে পারেন। আরও তথ্যের জন্য, ব্যবহৃত কীটি দেখুন

বাহ্যিক মূল বিবেচ্য বিষয়গুলি

যখন আপনি একটি ক্লাউড EKM কী ব্যবহার করেন, তখন এক্সটার্নাল কী ম্যানেজমেন্ট পার্টনার সিস্টেমে আপনার এক্সটার্নাল-ম্যানেজড কী-এর প্রাপ্যতার উপর Google-এর কোনও নিয়ন্ত্রণ থাকে না।

যদি বাহ্যিকভাবে পরিচালিত কোনও কী অনুপলব্ধ থাকে, তাহলে MongoDB সামঞ্জস্যপূর্ণ ক্লাউড ফায়ারস্টোর এক ঘন্টা পর্যন্ত কী-এর ক্যাশেড সংস্করণ ব্যবহার করে সম্পূর্ণ ডাটাবেস ক্রিয়াকলাপ সমর্থন করে।

এক ঘন্টা পরেও, যদি MongoDB সামঞ্জস্যপূর্ণ ক্লাউড ফায়ারস্টোর এখনও ক্লাউড KMS-এর সাথে সংযোগ স্থাপন করতে না পারে, তাহলে MongoDB সামঞ্জস্যপূর্ণ ক্লাউড ফায়ারস্টোর সুরক্ষামূলক ব্যবস্থা হিসেবে ডাটাবেসটিকে অফলাইনে নেওয়া শুরু করে। ডাটাবেসে কল করা ব্যর্থ হবে যদি একটি INVALID_ARGUMENT ত্রুটি থাকে যার মধ্যে অতিরিক্ত বিবরণ অন্তর্ভুক্ত থাকে।

বাহ্যিক কী ব্যবহার করার সময় আরও বিবেচ্য বিষয়গুলির জন্য ক্লাউড এক্সটার্নাল কী ম্যানেজার ডকুমেন্টেশন দেখুন।

ব্যাকআপ এবং পুনরুদ্ধার

একটি ব্যাকআপে আপনি যে ডাটাবেস থেকে এটি তৈরি করেছেন সেই একই এনক্রিপশন প্রক্রিয়া ব্যবহার করা হয়। যখন একটি CMEK-সুরক্ষিত ক্লাউড ফায়ারস্টোর MongoDB সামঞ্জস্যপূর্ণ ডাটাবেস সহ একটি ব্যাকআপ তৈরি করে, তখন এটি ব্যাকআপ তৈরির সময় ব্যবহৃত প্রাথমিক কী সংস্করণের সাথে ব্যাকআপটি এনক্রিপ্ট করে।

ব্যাকআপ শিডিউল সক্ষম করার ২৪ ঘন্টা পর MongoDB সামঞ্জস্যপূর্ণ ক্লাউড ফায়ারস্টোর একটি CMEK ডাটাবেসের প্রথম ব্যাকআপ তৈরি করে।

MongoDB সামঞ্জস্যপূর্ণ ব্যাকআপ সহ ক্লাউড ফায়ারস্টোর সম্পর্কে আরও তথ্যের জন্য, ব্যাক আপ এবং ডেটা পুনরুদ্ধার দেখুন।

ব্যাকআপ থেকে পুনরুদ্ধার করা একটি ডাটাবেস ডিফল্টরূপে ব্যাকআপের মতো একই এনক্রিপশন প্রক্রিয়া ব্যবহার করে। যখন আপনি একটি ডাটাবেস পুনরুদ্ধার করেন, তখন আপনি নিম্নলিখিত উপায়গুলির মধ্যে একটিতে একটি ভিন্ন এনক্রিপশন প্রকার নির্দিষ্ট করতে পারেন:

  • একটি নতুন নির্দিষ্ট কী দিয়ে একটি CMEK ডাটাবেসে পুনরুদ্ধার করুন।
  • Google এর ডিফল্ট এনক্রিপশন ব্যবহার করে এমন একটি নন-CMEK ডাটাবেসে পুনরুদ্ধার করুন।
  • ব্যাকআপের মতো একই এনক্রিপশন ব্যবহার করে এমন একটি ডাটাবেসে পুনরুদ্ধার করুন।

ব্যাকআপ থেকে MongoDB সামঞ্জস্যপূর্ণ ডাটাবেস সহ একটি ক্লাউড ফায়ারস্টোর পুনরুদ্ধার সম্পর্কে আরও তথ্যের জন্য, একটি ডাটাবেস ব্যাকআপ থেকে ডেটা পুনরুদ্ধার করুন দেখুন। ব্যাকআপ থেকে MongoDB সামঞ্জস্যপূর্ণ ডাটাবেস সহ একটি CMEK-সুরক্ষিত ক্লাউড ফায়ারস্টোর পুনরুদ্ধার সম্পর্কে আরও তথ্যের জন্য, একটি CMEK-সুরক্ষিত ডাটাবেস পুনরুদ্ধার করুন দেখুন।

ক্লোন

ডিফল্টরূপে, অন্য ডাটাবেস থেকে ক্লোন করা একটি ডাটাবেস সোর্স ডাটাবেসের মতো একই এনক্রিপশন প্রক্রিয়া ব্যবহার করে। যখন আপনি একটি ডাটাবেস ক্লোন করেন, তখন আপনি নিম্নলিখিত উপায়গুলির মধ্যে একটিতে একটি ভিন্ন এনক্রিপশন প্রকার নির্দিষ্ট করতে পারেন:

  • একটি নতুন নির্দিষ্ট কী দিয়ে একটি CMEK ডাটাবেসে ক্লোন করুন।
  • CMEK-বহির্ভূত একটি ডাটাবেসে ক্লোন করুন যা Google-এর ডিফল্ট এনক্রিপশন ব্যবহার করে।
  • (ডিফল্ট) এমন একটি ডাটাবেসে ক্লোন করুন যা সোর্স ডাটাবেসের মতো একই এনক্রিপশন ব্যবহার করে।

MongoDB সামঞ্জস্যপূর্ণ ডাটাবেস সহ একটি Cloud Firestore ক্লোনিং সম্পর্কে আরও তথ্যের জন্য, একটি ডাটাবেস ক্লোন করুন দেখুন। MongoDB সামঞ্জস্যপূর্ণ ডাটাবেস সহ একটি CMEK-সুরক্ষিত ক্লাউড ফায়ারস্টোর ক্লোনিং সম্পর্কে আরও তথ্যের জন্য, একটি CMEK-সুরক্ষিত ডাটাবেস ক্লোন করুন দেখুন।

কী ট্র্যাকিং

আপনি রিসোর্সগুলি দেখতে কী ট্র্যাকিং ব্যবহার করতে পারেন, উদাহরণস্বরূপ, MongoDB সামঞ্জস্যপূর্ণ ডাটাবেস সহ ক্লাউড ফায়ারস্টোর, যা একটি কী সুরক্ষিত করে। কী ট্র্যাকিং সম্পর্কে আরও তথ্যের জন্য, কী ব্যবহার দেখুন

সিএমইকে এবং চাবির প্রাপ্যতা

যখন কীগুলি অনুপলব্ধ বা অক্ষম থাকে, তখন CMEK-সক্ষম ডাটাবেসে নিম্নলিখিত আচরণগুলি ঘটতে পারে সে সম্পর্কে সচেতন থাকুন:

  • আপনি এমন একটি CMEK ডাটাবেস মুছে ফেলতে পারেন যার কীগুলি অনুপলব্ধ।

  • যখন আপনি একটি CMEK-সক্ষম ডাটাবেস তৈরি করেন, তখন Google ক্লাউড কনসোলে উপলব্ধ কীগুলির তালিকায় অক্ষম কীগুলি প্রদর্শিত হয় না। আপনি যদি ম্যানুয়ালি একটি অক্ষম কী ইনপুট করেন, তাহলে ডাটাবেস তৈরির প্রক্রিয়াটি INVALID_ARGUMENT ত্রুটি 400 সহ ব্যর্থ হবে।

সীমাবদ্ধতা

  • CMEK-সুরক্ষিত ডাটাবেসের জন্য আপনি কোনও কী পরিবর্তন করতে পারবেন না। আপনি কীগুলি ঘোরাতে, সক্ষম করতে এবং অক্ষম করতে পারেন।

  • বিদ্যমান ডাটাবেসে আপনি CMEK সক্ষম করতে পারবেন না। আপনি কেবল নতুন ডাটাবেসে CMEK সক্ষম করতে পারবেন এবং ডাটাবেস তৈরি করার সময় আপনাকে এটি সক্ষম করতে হবে। বিদ্যমান নন-CMEK ডাটাবেসের ডেটা CMEK-সুরক্ষিত ডাটাবেসে স্থানান্তর করতে, আপনার ডেটা রপ্তানি করুন এবং তারপরে একটি নতুন CMEK-সুরক্ষিত ডাটাবেসে ডেটা আমদানি করুন। আপনি নন-CMEK ডাটাবেস থেকে একটি CMEK ডাটাবেসে ডেটা পুনরুদ্ধার বা ক্লোন করতে পারেন।

  • Cloud Firestore সীমিত সংখ্যক CMEK-সুরক্ষিত ডাটাবেস সমর্থন করে।

এরপর কি?