इस पेज का अनुवाद Cloud Translation API से किया गया है.

क्लाउड केएमएस ऑटोकी की मदद से, संसाधनों को आसानी से एन्क्रिप्ट (सुरक्षित) करें

1. परिचय

क्लाउड केएमएस ऑटोकी की मदद से, अपने-आप प्रावधान और असाइनमेंट असाइन करके, ग्राहक की ओर से मैनेज की जाने वाली एन्क्रिप्शन कुंजियों (सीएमईके) को बनाना और इस्तेमाल करना आसान हो जाता है. Autokey से, आपको की-रिंग, चाबियों, और सेवा खातों की ज़रूरत नहीं पड़ती. इन्हें सेट अप करने की ज़रूरत नहीं होती. इसके बजाय, Autokey आपके रिसॉर्स बनने के साथ-साथ, मांग पर आपकी कुंजियां जनरेट करता है. इसके लिए, यह Cloud KMS एडमिन की अनुमतियों के बजाय, आपको दी गई अनुमतियों का इस्तेमाल करता है.

Autokey से जनरेट की गई कुंजियों का इस्तेमाल करने से आपको डेटा सुरक्षा के लिए इंडस्ट्री स्टैंडर्ड और सुझाए गए तरीकों के साथ लगातार काम करने में मदद मिल सकती है. इनमें एचएसएम सुरक्षा का लेवल, अलग-अलग ड्यूटी का अलग-अलग होना, की रोटेशन, जगह, और कुंजी की खासियत शामिल हैं. Autokey ऐसी कुंजियां बनाता है जो सामान्य दिशा-निर्देशों और Google Cloud की उन सेवाओं के लिए संसाधन के टाइप से जुड़े दिशा-निर्देशों, दोनों का पालन करती हैं जो Cloud KMS Autokey के साथ इंटिग्रेट होती हैं. इन कुंजियों को बनाने के बाद, इनका अनुरोध उसी तरह की सेटिंग वाले अन्य Cloud HSM कुंजियों की तरह ही, Autokey फ़ंक्शन का इस्तेमाल करके किया जाता है.

आपको क्या बनाना है

इस कोडलैब में, क्लाउड केएमएस ऑटोकी का इस्तेमाल करके सुरक्षित संसाधनों को लॉन्च किया जा रहा है. ऐसा करने के लिए ये बनाएं:

फ़ोल्डर रिसॉर्स
एक प्रोजेक्ट जिसमें आपकी कुंजियां होंगी
सेवा एजेंट, जो आपकी कुंजी मैनेज करने वाली असिस्टेंट के तौर पर काम करेगा
एक ऐसा प्रोजेक्ट जो आपके सुरक्षित संसाधनों को होस्ट करेगा
Cloud KMS ऑटोकी से एन्क्रिप्ट (सुरक्षित) किए गए BigQuery डेटासेट, पर्सिस्टेंट डिस्क, और Cloud Storage की बकेट

आपको इन चीज़ों की ज़रूरत होगी

Google Cloud का संगठन
यह लैब पूरा करने के लिए, आपके Google Cloud प्रिंसिपल के पास संगठन के लेवल पर ये भूमिकाएं होनी चाहिए:
क्लाउड केएमएस Autokey एडमिन (roles/cloudkms.autokeyAdmin)
फ़ोल्डर का IAM एडमिन (roles/resourcemanager.folderIamAdmin)
बिलिंग खाते का उपयोगकर्ता (roles/billing.user)
बिलिंग की सुविधा वाले Google Cloud प्रोजेक्ट
Linux का बुनियादी अनुभव

2. एक फ़ोल्डर बनाएं

फ़ोल्डर, Cloud Platform के रिसॉर्स हैरारकी में नोड होते हैं. फ़ोल्डर में प्रोजेक्ट, अन्य फ़ोल्डर या दोनों हो सकते हैं. संगठन के संसाधन, हैरारकी में संगठन के रिसॉर्स नोड के तहत प्रोजेक्ट का ग्रुप बनाने के लिए, फ़ोल्डर का इस्तेमाल कर सकते हैं. कोई फ़ोल्डर बनाने के लिए:

Google Cloud Console में, संसाधन मैनेज करें पेज पर जाएं
पक्का करें कि आपके संगठन के संसाधन का नाम, पेज के सबसे ऊपर मौजूद संगठन की ड्रॉप-डाउन सूची में चुना गया हो.
'फ़ोल्डर बनाएं' पर क्लिक करें

स्टैंडर्ड फ़ोल्डर चुनना

'फ़ोल्डर का नाम' बॉक्स में, अपने नए फ़ोल्डर का नाम डालें. इस लैब के लिए, "Autokey-Folder" का इस्तेमाल करें
डेस्टिनेशन में, ब्राउज़ करें पर क्लिक करें. इसके बाद, संगठन का वह संसाधन या फ़ोल्डर चुनें जिसमें आपको नया फ़ोल्डर बनाना है.
'बनाएं' पर क्लिक करें.

3. संसाधन प्रोजेक्ट बनाना

BigQuery डेटासेट, परसिस्टेंट डिस्क, और Cloud Storage बकेट - जैसे रिसॉर्स को शामिल करने के लिए एक रिसॉर्स प्रोजेक्ट बनाना ज़रूरी है, जिसे आपको Cloud KMS Autokey से एन्क्रिप्ट करना है. अगर मुख्य प्रोजेक्ट में, ऐसे संसाधन बनाने की कोशिश की जाती है जिन्हें Autokey से सुरक्षित किया गया है, तो Autokey नई कुंजी के अनुरोध को अस्वीकार कर देता है. रिसॉर्स प्रोजेक्ट बनाने के लिए:

Google Cloud Console में, संसाधन मैनेज करें पेज पर जाएं
'प्रोजेक्ट बनाएं' पर क्लिक करें.

पेज पर सबसे ऊपर, 'संगठन चुनें' ड्रॉप-डाउन सूची में, "Autokey-Folder" फ़ोल्डर चुनें.
स्क्रीन पर दिखने वाली नई प्रोजेक्ट विंडो में, प्रोजेक्ट का नाम डालें और बिलिंग खाता (जो भी लागू हो) चुनें. इस लैब के लिए, "अपने-आप एन्क्रिप्ट (सुरक्षित) किए गए संसाधन" देखें
जगह वाले बॉक्स में, "Autokey-Folder" फ़ोल्डर चुनें. वह संसाधन नए प्रोजेक्ट का हैरारकी पैरंट होगा. आपकी सेटिंग इस तरह से दिखनी चाहिए:

प्रोजेक्ट आईडी को कॉपी करें - ऊपर दिए गए उदाहरण में, प्रोजेक्ट आईडी "causal-hour-43319-m4" है लेकिन आपका आईडी अलग होगा - अपनी पसंद के टेक्स्ट एडिटर में.
'बनाएं' पर क्लिक करें
अपनी स्क्रीन के सबसे ऊपर दाएं कोने में मौजूद, Cloud Shell आइकॉन को चुनें

Cloud Shell चालू होने के बाद, नीचे दिया गया निर्देश चलाकर अपने Autokey प्रोजेक्ट आईडी को वैरिएबल के तौर पर सेव करें:

export RESOURCE_PROJECT=<paste your Resource Project ID>

मेरा प्रोजेक्ट आईडी "key-management-433319" है. इसलिए, मेरा निर्देश इस तरह दिखता है:

export AUTOKEY_PROJECT=causal-hour-43319-m4

अपने मुख्य प्रोजेक्ट से कमांड चलाने के लिए, यह कमांड चलाएं:

gcloud config set project $RESOURCE_PROJECT

जब आपसे कहा जाए, तब "अनुमति दें" पर क्लिक करके, Cloud Shell को अनुमति दें

इस प्रोजेक्ट में संसाधन शामिल होंगे. इसलिए, हमें उन सेवाओं के लिए एपीआई चालू करना होगा जिनकी सुरक्षा Autokey से सुरक्षित होगी. नीचे दिया गया निर्देश चलाएं:

gcloud services enable storage.googleapis.com bigquery.googleapis.com compute.googleapis.com

4. मुख्य प्रोजेक्ट बनाना

हमारा सुझाव है कि आप Autokey से बनाए गए Cloud KMS रिसॉर्स को शामिल करने के लिए, कोई प्रोजेक्ट बनाएं. आने वाले समय में, इसे "मुख्य प्रोजेक्ट" कहा जाएगा. मुख्य प्रोजेक्ट को उसी फ़ोल्डर में बनाया जा सकता है जिसमें Autokey चालू करनी है. आपको मुख्य प्रोजेक्ट में कोई अन्य रिसॉर्स नहीं बनाना चाहिए. अगर आपने पासकोड प्रोजेक्ट में, ऑटोकी से सुरक्षित संसाधन बनाने की कोशिश की, तो ऑटोकी नई पासकोड बनाने का अनुरोध अस्वीकार कर देगा. मुख्य प्रोजेक्ट बनाने के लिए:

Google Cloud Console में, संसाधन मैनेज करें पेज पर जाएं
'प्रोजेक्ट बनाएं' पर क्लिक करें.

पेज पर सबसे ऊपर, 'संगठन चुनें' ड्रॉप-डाउन सूची में, "Autokey-Folder" फ़ोल्डर चुनें.
स्क्रीन पर दिखने वाली नई प्रोजेक्ट विंडो में, प्रोजेक्ट का नाम डालें और बिलिंग खाता (जो भी लागू हो) चुनें. इस लैब के लिए, "की मैनेजमेंट" को चुनें
जगह के बॉक्स में, "Autokey-Folder" फ़ोल्डर चुनें. वह संसाधन नए प्रोजेक्ट का हैरारकी पैरंट होगा. आपकी सेटिंग कुछ इस तरह दिखनी चाहिए:

प्रोजेक्ट आईडी को कॉपी करें - ऊपर दिए गए उदाहरण में प्रोजेक्ट आईडी "key-management-433319" है, लेकिन आपका आईडी अलग होगा - अपनी पसंद के टेक्स्ट एडिटर में.
'बनाएं' पर क्लिक करें.

5. Autokey की सुविधा के लिए कुंजी का प्रोजेक्ट तैयार करना

अब हर प्रोजेक्ट बन चुका है. अब Cloud KMS ऑटोकी का इस्तेमाल करने के लिए, मुख्य प्रोजेक्ट को कॉन्फ़िगर करने का समय आ गया है.

अपनी स्क्रीन के सबसे ऊपर दाएं कोने में मौजूद, क्लाउड शेल आइकॉन चुनें

Cloud Shell चालू होने के बाद, नीचे दिया गया निर्देश चलाकर अपने Autokey प्रोजेक्ट आईडी को वैरिएबल के तौर पर सेव करें:

export AUTOKEY_PROJECT=<paste your Autokey Project ID>

मेरा प्रोजेक्ट आईडी "key-management-433319" है. इसलिए, मेरा निर्देश इस तरह दिखता है:

export AUTOKEY_PROJECT=key-management-433319

अपने मुख्य प्रोजेक्ट से कमांड चलाने के लिए, यह कमांड चलाएं:

gcloud config set project $AUTOKEY_PROJECT

जब आपसे कहा जाए, तब "अनुमति दें" पर क्लिक करके, Cloud Shell को अनुमति दें

यह कमांड चलाकर, Cloud KMS API को चालू करें

gcloud services enable cloudkms.googleapis.com  kmsinventory.googleapis.com

अपने प्रोजेक्ट नंबर को AUTOKEY_PROJECT_NUMBER नाम के वैरिएबल के तौर पर सेव करने के लिए, यह कमांड चलाएं

export AUTOKEY_PROJECT_NUMBER=$(gcloud projects list \
--filter="$(gcloud config get-value project)" \
--format="value(PROJECT_NUMBER)")

अपने प्रिंसिपल का ईमेल पता, वैरिएबल के तौर पर सेव करने के लिए यह निर्देश चलाएं:

export KEY_ADMIN_EMAIL=<paste your Principal's email>

अपने क्लाउड केएमएस एडमिन उपयोगकर्ताओं को मुख्य प्रोजेक्ट के लिए, क्लाउड केएमएस के एडमिन की अनुमतियां दें

gcloud projects add-iam-policy-binding $AUTOKEY_PROJECT_NUMBER \
    --role=roles/cloudkms.admin \
    --member=user:$KEY_ADMIN_EMAIL

6. क्लाउड केएमएस के सर्विस एजेंट सेट अप करना

किसी कुंजी वाले प्रोजेक्ट के लिए Cloud KMS सेवा एजेंट, कुंजियां बनाता है और संसाधन बनाते समय, Cloud KMS एडमिन की ओर से IAM नीति बाइंडिंग लागू करता है. कुंजियां बनाने और उन्हें असाइन करने के लिए, क्लाउड केएमएस सेवा एजेंट को क्लाउड केएमएस एडमिन की अनुमतियां चाहिए.

संगठन का आईडी देखने के लिए, यह कमांड इस्तेमाल करें:

gcloud organizations list | grep -P -i 'ID:' | grep -i '[0-9]'

संगठन आईडी को कॉपी करें - यह अंकों वाला वह नतीजा है जिसे लाल रंग से हाइलाइट किया गया है
संगठन आईडी को ORG_ID नाम वाले वैरिएबल के तौर पर सेव करें:

export ORG_ID=<paste your Organization ID>

नीचे दिए गए निर्देश की मदद से, क्लाउड केएमएस का सर्विस एजेंट बनाएं:

gcloud beta services identity create --service=cloudkms.googleapis.com \
    --project=$AUTOKEY_PROJECT_NUMBER

सर्विस एजेंट को Cloud केएमएस एडमिन की भूमिका दें:

gcloud projects add-iam-policy-binding $AUTOKEY_PROJECT_NUMBER \
    --role=roles/cloudkms.admin \
    --member=serviceAccount:service-$AUTOKEY_PROJECT_NUMBER@gcp-sa-cloudkms.iam.gserviceaccount.com

IAM नीति बाइंडिंग जोड़ें, ताकि आप अपनी Cloud KMS पासकोड के इस्तेमाल को देख सकें. पासकोड के इस्तेमाल से, हर पासकोड के बारे में जानकारी मिलती है. इसमें, सुरक्षित किए गए संसाधनों, प्रोजेक्ट, और पासकोड का इस्तेमाल करने वाले यूनीक Google Cloud प्रॉडक्ट की संख्या शामिल है. इस लेवल की जानकारी, कुंजी पर Cloud KMS व्यूअर की भूमिका वाले किसी भी व्यक्ति के लिए उपलब्ध है. नीचे दिया गया निर्देश चलाएं:

gcloud organizations add-iam-policy-binding $ORGANIZATION_ID \
    --member="serviceAccount:service-org-$ORGANIZATION_ID@gcp-sa-cloudkms.iam.gserviceaccount.com" \
    --role='roles/cloudkms.orgServiceAgent'

अपने संगठन के संसाधन पर, क्लाउड केएमएस सेवा खाते को क्लाउड केएमएस संगठन सेवा एजेंट (cloudkms.orgServiceAgent) की भूमिका दें.

gcloud organizations add-iam-policy-binding $ORG_ID \
    --member="serviceAccount:service-org-$ORG_ID@gcp-sa-cloudkms.iam.gserviceaccount.com" \
    --role='roles/cloudkms.orgServiceAgent'

अपने संगठन के संसाधन पर, Cloud KMS के सुरक्षित संसाधनों के दर्शक की भूमिका उन सभी लोगों को दें जिन्हें पासकोड के इस्तेमाल की जानकारी देखनी है.

gcloud organizations add-iam-policy-binding $ORG_ID \
    --member="user:$KEY_ADMIN_EMAIL" \
    --role='roles/cloudkms.protectedResourcesViewer'

7. Autokey के लिए उपयोगकर्ता की भूमिकाएं देना

इससे पहले कि आपके डेवलपर, Autokey का इस्तेमाल कर सकें, आपको उन्हें ज़रूरी भूमिका देनी होगी. यह भूमिका, फ़ोल्डर लेवल या प्रोजेक्ट लेवल पर दी जा सकती है. इस भूमिका की मदद से, डेवलपर उस फ़ोल्डर या प्रोजेक्ट में संसाधन बनाते समय, Cloud KMS सेवा एजेंट से कुंजियों का अनुरोध कर सकते हैं.

भूमिका देने के लिए, सबसे पहले फ़ोल्डर आईडी सेव करें.

इस निर्देश से फ़ोल्डर आईडी ढूंढें:

gcloud projects describe $AUTOKEY_PROJECT | grep 'id' | grep -P -i '[0-9]+'

फ़ोल्डर आईडी कॉपी करें - यह वह हिस्सा है जिसे लाल रंग से हाइलाइट किया गया है
फ़ोल्डर आईडी को COUNTRY_ID नाम के वैरिएबल के तौर पर सेव करें

export FOLDER_ID=<paste the folder ID>

इस लैब के लिए, हम पासकोड एडमिन को Autokey उपयोगकर्ता के तौर पर तय करेंगे. हालांकि, प्रोडक्शन के इस्तेमाल के मामलों में और एक से ज़्यादा व्यक्तियों वाले संगठनों में, मुख्य एडमिन को Autokey का इस्तेमाल करने वाले डेवलपर से अलग होना चाहिए.

फ़ोल्डर लेवल पर, भूमिकाएं/clouds.autokeyUser की भूमिका दें:

gcloud resource-manager folders add-iam-policy-binding \
    $FOLDER_ID --role=roles/cloudkms.autokeyUser \
    --member=user:$KEY_ADMIN_EMAIL

8. संसाधन फ़ोल्डर पर क्लाउड केएमएस ऑटोकी चालू करें

इस चरण में, आपको किसी संसाधन फ़ोल्डर पर Cloud KMS ऑटोकी की सुविधा चालू करनी होगी. साथ ही, उस Cloud KMS प्रोजेक्ट की पहचान करनी होगी जिसमें उस फ़ोल्डर के लिए ऑटोकी संसाधन शामिल होंगे. इस फ़ोल्डर पर Autokey चालू करने से, उसमें मौजूद सभी संसाधन प्रोजेक्ट के लिए Autokey चालू हो जाता है.

Google Cloud Console में, केएमएस (KMS) कंट्रोल पेज पर जाएं.
'फ़ोल्डर चुनें' पर क्लिक करें

कॉन्टेक्स्ट पिकर से वह फ़ोल्डर चुनें जिसमें आपको अपने-आप कुंजी मैनेज करने की सुविधा चालू करनी है. यह वही फ़ोल्डर होगा जिसे आपने पहले बनाया था. इसमें आपका संसाधन प्रोजेक्ट और पासकोड मैनेजमेंट प्रोजेक्ट शामिल होगा. यह कुछ ऐसा दिखेगा:

'चालू करें' पर क्लिक करें.
मुख्य प्रोजेक्ट चुनने के लिए, ‘ब्राउज़ करें’ पर क्लिक करें
मुख्य मैनेजमेंट प्रोजेक्ट चुनें और 'सबमिट करें' पर क्लिक करें.

आपको एक मैसेज मिलेगा, जिसमें बताया जाएगा कि फ़ोल्डर में Cloud KMS ऑटोकी की सुविधा चालू है. KMS कंट्रोल पेज ऐसा दिखना चाहिए:

9. Cloud KMS ऑटोकी का इस्तेमाल करके, सुरक्षित संसाधन बनाना

Compute Engine के परसिस्टेंट डिस्क

Autokey, हर डिस्क, इमेज, और मशीन इमेज के लिए एक नई कुंजी बनाता है. यह कुंजी, उसी जगह पर बनाई जाती है जहां संसाधन बनाया जा रहा है.

डिस्क बनाने के लिए, यह तरीका अपनाएं:

Google Cloud Console में, डिस्क पेज पर जाएं.
'डिस्क बनाएं' पर क्लिक करें और नई डिस्क की प्रॉपर्टी डालें.
एन्क्रिप्शन में जाकर, Cloud KMS कुंजी चुनें.

कुंजी टाइप के लिए, Autokey के साथ क्लाउड केएमएस चुनें. इसके बाद, 'नई कुंजी के लिए अनुरोध करें' पर क्लिक करें. डिजिटल बटन बन जाने और इस्तेमाल के लिए तैयार होने पर, आपको एक मैसेज मिलेगा.

डिस्क बनाने की प्रोसेस पूरी करने के लिए, 'बनाएं' पर क्लिक करें.

सुरक्षित वीएम इंस्टेंस, इमेज, और मशीन इमेज रिसॉर्स बनाने के लिए, इसी तरह की प्रोसेस अपनाई जा सकती है.

Google Cloud Storage बकेट

Autokey, बकेट के तौर पर एक ही जगह पर नई कुंजी बनाता है. Autokey से बनाई गई कुंजी को बकेट डिफ़ॉल्ट बटन के तौर पर असाइन किया जाता है.

ऑटोकी, ऑब्जेक्ट के लिए बटन नहीं बनाती. डिफ़ॉल्ट रूप से, बकेट में बनाए गए ऑब्जेक्ट, बकेट की डिफ़ॉल्ट कुंजी का इस्तेमाल करते हैं. अगर आपको बकेट डिफ़ॉल्ट कुंजी के बजाय किसी दूसरी कुंजी का इस्तेमाल करके किसी ऑब्जेक्ट को एन्क्रिप्ट करना है, तो आप मैन्युअल रूप से CMEK बना सकते हैं. साथ ही, ऑब्जेक्ट बनाते समय उस कुंजी का इस्तेमाल कर सकते हैं.

Google Cloud Console में, बकेट बनाएं पेज पर जाएं.
दुनिया भर में इस्तेमाल होने वाला यूनीक और स्थायी नाम चुनें.
डेटा की जगह चुनें.
"ऑब्जेक्ट के डेटा को सुरक्षित रखने का तरीका चुनें" सेक्शन पर जाएं

"ऑब्जेक्ट डेटा को सुरक्षित रखने का तरीका चुनें" पर क्लिक करें सेक्शन को बड़ा करने के लिए

डेटा एन्क्रिप्ट (सुरक्षित) करने के तरीके वाले सेक्शन को बड़ा करें और क्लाउड केएमएस कुंजी चुनें. अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है
कुंजी टाइप के लिए, Autokey के साथ क्लाउड केएमएस चुनें. इसके बाद, 'नई कुंजी के लिए अनुरोध करें' पर क्लिक करें. डिजिटल बटन बन जाने और इस्तेमाल के लिए तैयार होने पर, आपको एक मैसेज मिलेगा.

बकेट बनाने की प्रक्रिया पूरी करने के लिए, 'बनाएं' पर क्लिक करें. अगर आपको डायलॉग बॉक्स दिया गया हो, जिसमें यह बताया गया हो कि "सार्वजनिक ऐक्सेस पर रोक लगा दी जाएगी" 'पुष्टि करें' पर क्लिक करें.

BigQuery डेटासेट

हर नए डेटासेट के लिए, ऑटोकी एक नई कुंजी बनाती है. यह कुंजी, संसाधन के उसी फ़ोल्डर में बनती है जहां संसाधन मौजूद होता है. यह कुंजी, डेटासेट की डिफ़ॉल्ट कुंजी बन जाती है. ऑटोकी, टेबल, क्वेरी, अस्थायी टेबल या मॉडल के लिए कुंजियां नहीं बनाती. डिफ़ॉल्ट रूप से, इन संसाधनों को डेटासेट की डिफ़ॉल्ट कुंजी से सुरक्षित रखा जाता है. अगर आपको डेटासेट की डिफ़ॉल्ट कुंजी के बजाय किसी दूसरी कुंजी का इस्तेमाल करके, डेटासेट में संसाधन को सुरक्षित करना है, तो मैन्युअल तरीके से सीएमईके बनाया जा सकता है. साथ ही, संसाधन बनाते समय उस कुंजी का इस्तेमाल भी किया जा सकता है.

BigQuery डेटासेट बनाने के लिए, पहले आपके पास BigQuery उपयोगकर्ता की भूमिका होनी चाहिए.

Cloud Shell पर वापस जाएं
रिसॉर्स प्रोजेक्ट से निर्देशों को लागू करने के लिए, अपने Cloud Shell को सेट करना

gcloud config set project $RESOURCE_PROJECT

अपने प्रोजेक्ट नंबर को RESOURCE_PROJECT_NUMBER नाम के वैरिएबल के तौर पर सेव करने के लिए, यह कमांड चलाएं

export RESOURCE_PROJECT_NUMBER=$(gcloud projects list --filter="$(gcloud config get-value project)" --format="value(PROJECT_NUMBER)")

अपने लिए BigQuery उपयोगकर्ता की भूमिका सेट करना

gcloud projects add-iam-policy-binding $RESOURCE_PROJECT_NUMBER \
    --role=roles/bigquery.user \
    --member=user:$KEY_ADMIN_EMAIL

अब आपके पास BigQuery उपयोगकर्ता की भूमिका है. इसलिए, अब डेटासेट बनाया जा सकता है और Autokey से सुरक्षित किया जा सकता है!

Google Cloud Console में, BigQuery पेज पर जाएं.
जब तक आप बेहतर विकल्प पर नहीं पहुंच जाएं, तब तक डेटासेट बनाने के लिए निर्देशों का पालन करें > एन्क्रिप्ट (सुरक्षित) करने का तरीका.
एन्क्रिप्शन में जाकर, Cloud KMS कुंजी चुनें.
कुंजी टाइप के लिए, Autokey के साथ क्लाउड केएमएस चुनें. इसके बाद, 'नई कुंजी के लिए अनुरोध करें' पर क्लिक करें. डिजिटल बटन बन जाने और इस्तेमाल के लिए तैयार होने पर, आपको एक मैसेज मिलेगा.
डेटासेट बनाने की प्रोसेस पूरी करने के लिए, 'डेटासेट बनाएं' पर क्लिक करें.

10. अपनी चाबियां एक्सप्लोर करें

इस चरण में, आपको 'की इन्वेंट्री' पेज पर जाकर, Cloud KMS ऑटोकी की सुविधा से आपकी ओर से बनाई गई कुंजियों के बारे में जानकारी मिलेगी. पासकोड इन्वेंट्री पेज पर, आपके प्रोजेक्ट में मौजूद क्रिप्टोग्राफ़िक पासकोड की पूरी जानकारी मिलती है. ध्यान दें कि डेटा मिलने में देरी हो सकती है. उदाहरण के लिए, अगर कोई नया सुरक्षित संसाधन बनाया जाता है, तो सुरक्षित संसाधन और उससे जुड़ा कुंजी वर्शन, इस्तेमाल ट्रैकिंग टैब में तुरंत नहीं जोड़ा जाता. सीमाओं के बारे में यहां ज़्यादा जानें.

Google Cloud Console में, की इन्वेंट्री पेज पर जाएं.
ज़रूरी नहीं: बटन की सूची को फ़िल्टर करने के लिए, filter_list फ़िल्टर बॉक्स में खोज के लिए शब्द डालें और Enter दबाएं. उदाहरण के लिए, जगह, की रिंग, स्थिति या कुंजियों की अन्य प्रॉपर्टी के हिसाब से फ़िल्टर किया जा सकता है.
उस पासकोड के नाम पर क्लिक करें जिसके इस्तेमाल की जानकारी आपको देखनी है.
"खास जानकारी" पर क्लिक करें. ध्यान दें कि आपके पास हर बनाए गए संसाधन के लिए एक कुंजी है. हर पासकोड के नाम में, उस संसाधन का नाम शामिल होता है जिसे पासकोड से सुरक्षित किया जा रहा है. जैसे, "compute-disk" या "storage-bucket". क्लाउड केएमएस ऑटोकी यह पक्का करता है कि हर कुंजी बनाए जाने के 365 दिन बाद, उसे बदलने के लिए शेड्यूल किया गया हो और हर कुंजी को "एचएसएम" असाइन किया गया हो सुरक्षा का लेवल.

उपयोग ट्रैकिंग टैब पर क्लिक करें. यहां दी गई जानकारी के लेवल पर ध्यान दें: प्रोजेक्ट, जगह, और बनाने की तारीख के साथ-साथ, हर उस संसाधन को यहां दिखाया गया है जिसे पासकोड से एन्क्रिप्ट किया जा रहा है.
ज़रूरी नहीं: सुरक्षित किए गए संसाधनों की सूची को फ़िल्टर करने के लिए, filter_list फ़िल्टर बॉक्स में अपनी खोज के लिए शब्द डालें और फिर Enter दबाएं.

11. बधाई हो

बधाई हो, आपने Google Cloud के संसाधन बनाए हैं और Cloud KMS ऑटोकी की मदद से, उन्हें मांग पर अपने-आप एन्क्रिप्ट (सुरक्षित) कर दिया है!

अब आपको ऑटोकी सेट अप करने और इसका इस्तेमाल करके, अपने संसाधनों को Cloud KMS कुंजियों से अपने-आप एन्क्रिप्ट करने के लिए ज़रूरी मुख्य चरणों के बारे में पता है.