গ্রাহক-পরিচালিত এনক্রিপশন কী দিয়ে ডেটা এনক্রিপ্ট করুন

ক্লাউড কী ম্যানেজমেন্ট সার্ভিসের মাধ্যমে ক্লাউড পরিষেবাতে বিশ্রামে থাকা ডেটা এনক্রিপ্ট করতে এবং নিয়ন্ত্রণ করতে গ্রাহক-পরিচালিত এনক্রিপশন কী (CMEK) কীভাবে ব্যবহার করবেন এই নথিটি দেখায়। জেমিনি কোড অ্যাসিস্টের জন্য CMEK কোড কাস্টমাইজেশনের সাথে একীভূত। জেমিনি কোড অ্যাসিস্ট ক্লাউড EKM কীগুলির ব্যবহার সমর্থন করে না।

এই নথিতে, আপনি নিম্নলিখিতগুলি করবেন:

  • কিভাবে একটি CMEK তৈরি করতে হয় তা জানুন।
  • জেমিনি কোড অ্যাসিস্ট পরিষেবা অ্যাকাউন্টে অনুমতি দিন।
  • একটি CMEK দিয়ে একটি কোড সংগ্রহস্থল সূচক তৈরি করুন।
  • একটি CMEK সংগ্রহস্থল অ্যাক্সেস সরান.

ডিফল্টরূপে, Google ক্লাউডের জন্য Gemini বিশ্রামে গ্রাহকের সামগ্রী এনক্রিপ্ট করে । জেমিনি আপনার পক্ষ থেকে কোনো অতিরিক্ত ক্রিয়া ছাড়াই আপনার জন্য এনক্রিপশন পরিচালনা করে। এই বিকল্পটিকে Google ডিফল্ট এনক্রিপশন বলা হয়।

আপনি CMEK-এর সাথে আপনার সংস্থানগুলি সেট আপ করার পরে, আপনার জেমিনি সংস্থানগুলি অ্যাক্সেস করার অভিজ্ঞতা Google ডিফল্ট এনক্রিপশন ব্যবহার করার মতোই। আপনার এনক্রিপশন বিকল্পগুলি সম্পর্কে আরও তথ্যের জন্য, গ্রাহক-পরিচালিত এনক্রিপশন কী (CMEK) দেখুন।

আপনি শুরু করার আগে

  1. নিম্নলিখিত উন্নয়ন পরিবেশের একটিতে, gcloud CLI সেট আপ করুন:

    আপনি যদি একটি বহিরাগত পরিচয় প্রদানকারী (IdP) ব্যবহার করেন, তাহলে আপনাকে প্রথমে আপনার ফেডারেটেড পরিচয় দিয়ে gcloud CLI-তে সাইন ইন করতে হবে।

  2. যে ডেভেলপমেন্ট এনভায়রনমেন্টে আপনি gcloud CLI সেট আপ করেন, সেখানে gcloud components update কমান্ডটি চালান যাতে আপনি gcloud- এর সমস্ত ইনস্টল করা উপাদান সর্বশেষ সংস্করণে আপডেট করেছেন।

    gcloud components update

একটি CMEK তৈরি করুন এবং অনুমতি দিন

একটি CMEK তৈরি করতে এবং কীটিতে জেমিনি কোড অ্যাসিস্ট পরিষেবা অ্যাকাউন্টের অনুমতি দিতে, নিম্নলিখিত কাজগুলি সম্পাদন করুন:

  1. Google ক্লাউড প্রকল্পে যেখানে আপনি আপনার কীগুলি পরিচালনা করতে চান, নিম্নলিখিতগুলি করুন:

    1. ক্লাউড কী ব্যবস্থাপনা পরিষেবা API সক্ষম করুন

    2. ক্লাউড কেএমএসে সরাসরি কী রিং এবং কী তৈরি করুন।

  2. জেমিনি কোড অ্যাসিস্ট পরিষেবা অ্যাকাউন্টে CryptoKey এনক্রিপ্টার/ডিক্রিপ্টার IAM ভূমিকা ( roles/cloudkms.cryptoKeyEncrypterDecrypter ) প্রদান করুন৷ আপনার তৈরি করা কীটিতে এই অনুমতি দিন।

    কনসোল

    1. কী ব্যবস্থাপনায় যান।

      কী ব্যবস্থাপনায় যান

    2. আপনার তৈরি করা কী নির্বাচন করুন।

    3. জেমিনি কোড অ্যাসিস্ট পরিষেবা অ্যাকাউন্টে অ্যাক্সেস মঞ্জুর করুন:

      1. অ্যাড প্রিন্সিপাল ক্লিক করুন।
      2. জেমিনি কোড অ্যাসিস্ট পরিষেবা অ্যাকাউন্ট যোগ করুন। পরিষেবা অ্যাকাউন্টটি হল service- PROJECT_NUMBER @gcp-sa-cloudaicompanions. , যেখানে PROJECT_NUMBER হল Google ক্লাউড প্রজেক্টের প্রজেক্ট নম্বর যেখানে জেমিনি কোড অ্যাসিস্ট সক্ষম করা আছে৷
      3. একটি ভূমিকা নির্বাচন করুন- এ, ক্লাউড কেএমএস > ক্লাউড কেএমএস ক্রিপ্টোকি এনক্রিপ্টার/ডিক্রিপ্টার নির্বাচন করুন।
      4. সংরক্ষণ করুন ক্লিক করুন.

    4. একটি CMEK-এর সাথে কোড রিপোজিটরি ইনডেক্স তৈরি করবে এমন অ্যাকাউন্টে অ্যাক্সেস দেওয়ার জন্য আগের ধাপটি পুনরাবৃত্তি করুন।

    5. কী ব্যবস্থাপনা পৃষ্ঠায় ফিরে যান এবং আবার কী নির্বাচন করুন।

    6. তথ্য প্যানেল দেখান নির্বাচন করুন। আপনার ভূমিকা/সদস্য কলামে ভূমিকা দেখতে হবে।

    জিক্লাউড

    1. শেল এনভায়রনমেন্টে জেমিনি কোড অ্যাসিস্ট সার্ভিস অ্যাকাউন্টে অ্যাক্সেস মঞ্জুর করতে, kms keys add-iam-policy-binding কমান্ড ব্যবহার করুন:

      gcloud kms keys add-iam-policy-binding KEY_NAME \
    --project=PROJECT_ID \
    --location=LOCATION \
    --keyring=KEYRING_NAME \
    --member="serviceAccount:service-PROJECT_NUMBER@gcp-sa-cloudaicompanion." \
    --role="roles/cloudkms.cryptoKeyEncrypterDecrypter"

      নিম্নলিখিতগুলি প্রতিস্থাপন করুন:

      • KEY_NAME : মূল নাম।
      • PROJECT_ID : প্রজেক্টের আইডি যাতে কী থাকে।
      • LOCATION : মূল অবস্থান।
      • KEYRING_NAME : কী রিং নাম।
      • PROJECT_NUMBER : জেমিনি কোড অ্যাসিস্ট সক্ষম সহ Google ক্লাউড প্রকল্পের প্রকল্প নম্বর

    2. একটি CMEK-এর সাথে কোড রিপোজিটরি ইনডেক্স তৈরি করবে এমন অ্যাকাউন্টে অ্যাক্সেস দেওয়ার জন্য আগের ধাপটি পুনরাবৃত্তি করুন।

    এই কমান্ড সম্পর্কে আরও তথ্যের জন্য, gcloud kms keys add-iam-policy-binding ডকুমেন্টেশন দেখুন।

আপনি এখন API ব্যবহার করে একটি CMEK এর সাথে একটি কোড সংগ্রহস্থল সূচী তৈরি করতে পারেন এবং এনক্রিপশনের জন্য ব্যবহার করার কীটি নির্দিষ্ট করতে পারেন।

একটি CMEK দিয়ে একটি কোড সংগ্রহস্থল সূচক তৈরি করুন

CMEK সুরক্ষা আছে এমন একটি নতুন সংগ্রহস্থল তৈরি করতে, নিম্নলিখিতগুলির মধ্যে একটি করুন:

জিক্লাউড

gemini code-repository-indexes create কমান্ড ব্যবহার করুন:

gcloud gemini code-repository-indexes create CODE_REPOSITORY_INDEX_NAME \
    --location=LOCATION \
    --kms-key="projects/KEY_PROJECT_ID/locations/LOCATION/keyRings/KEYRING_NAME/cryptoKeys/KEY_NAME"

নিম্নলিখিতগুলি প্রতিস্থাপন করুন:

  • CODE_REPOSITORY_INDEX_NAME : নতুন কোড রিপোজিটরি ইনডেক্সের নাম যা আপনি তৈরি করবেন।
  • LOCATION : মূল অবস্থান।
  • KEY_PROJECT_ID : মূল প্রকল্প আইডি।
  • KEYRING_NAME : কী রিং নাম।
  • KEY_NAME : মূল নাম।

API

  1. একটি JSON ফাইল তৈরি করুন যাতে নিম্নলিখিত তথ্য রয়েছে:

      {
    "kmsKey": "projects/KEY_PROJECT_ID/locations/KEY_LOCATION/keyRings/KEYRING_NAME/cryptoKeys/KEY_NAME"
  }

    নিম্নলিখিতগুলি প্রতিস্থাপন করুন:

    • KEY_PROJECT_ID : মূল প্রকল্প আইডি
    • KEY_LOCATION : মূল অবস্থান
    • KEYRING_NAME : কী রিং নাম
    • KEY_NAME : মূল নাম

  2. projects.locations.codeRepositoryIndexes.create পদ্ধতিতে কল করতে একটি cURL কমান্ড ব্যবহার করুন:

    curl -X POST --data-binary @JSON_FILE_NAME \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json" \
    "https://cloudaicompanion.googleapis.com/v1/projects/PROJECT_ID/locations/KEY_LOCATION/codeRepositoryIndexes?codeRepositoryIndexId=CODE_REPOSITORY_INDEX_NAME"

    নিম্নলিখিতগুলি প্রতিস্থাপন করুন:

    • JSON_FILE_NAME : JSON ফাইলের পাথ যা আপনি পূর্ববর্তী ধাপে তৈরি করেছেন।
    • PROJECT_ID : রিপোজিটরি তৈরি করার জন্য প্রকল্পের আইডি।
    • KEY_LOCATION : যে অবস্থানে সংগ্রহস্থল তৈরি করতে হবে, সেটি অবশ্যই সেই অবস্থানের সাথে মিলবে যেখানে CMEK বিদ্যমান।
    • CODE_REPOSITORY_INDEX_NAME : নতুন কোড রিপোজিটরি ইনডেক্সের নাম যা আপনি তৈরি করবেন। উদাহরণস্বরূপ, zg-btf-0001

প্রতিক্রিয়া লগ এন্ট্রিগুলির একটি সেট প্রদান করে।

একটি CMEK সংগ্রহস্থল অ্যাক্সেস সরান

একটি CMEK-এনক্রিপ্ট করা সংগ্রহস্থলে অ্যাক্সেস সরানোর বিভিন্ন উপায় রয়েছে:

আমরা সুপারিশ করি যে আপনি একটি কী নিষ্ক্রিয় বা ধ্বংস করার আগে জেমিনি কোড অ্যাসিস্ট পরিষেবা অ্যাকাউন্ট থেকে অনুমতিগুলি প্রত্যাহার করুন৷ অনুমতিতে পরিবর্তনগুলি সেকেন্ডের মধ্যে সামঞ্জস্যপূর্ণ, তাই আপনি একটি কী অক্ষম বা ধ্বংস করার প্রভাবগুলি পর্যবেক্ষণ করতে পারেন।