AML AI-Instanz erstellen

Wenn Sie AML AI verwenden möchten, müssen Sie eine Instanz erstellen. Die AML AI-Ressource Instanz befindet sich an der Wurzel aller anderen AML AI-Ressourcen. Im selben Projekt können mehrere Instanzen in derselben Region erstellt werden. Google Cloud Instanzen unterliegen den folgenden Regeln:

  • Jede Instanz ist spezifisch für eine Google Cloud Region, wodurch die Datenresidenz innerhalb der Google Cloud Region gewährleistet wird.
  • Für jede Instanz müssen alle Ein- und Ausgabedaten in derselbenGoogle Cloud Region und demselben Projekt vorhanden sein.
  • Für jede Instanz ist ein einzelner zugehöriger vom Kunden verwalteter Verschlüsselungsschlüssel (Customer-Managed Encryption Key, CMEK) erforderlich, mit dem alle von AML AI erstellten Daten verschlüsselt werden.
  • Die untergeordneten Ressourcen einer Instanz übernehmen die Standort- und Verschlüsselungseinstellungen der übergeordneten Instanz.
  • Jede Instanz unterstützt die benutzerdefinierte Zugriffsverwaltung.

Die Liste der verfügbaren Google Cloud Regionen finden Sie auf der Seite AML AI-Standorte. Sie können eine oder mehrere Regionen, in denen Sie tätig sind, gemäß Ihren Richtlinien einer oder mehreren verfügbaren AML AI-Standorten zuordnen. Sie müssen mindestens eine AML AI-Instanz pro AML AI-Standort erstellen, den Sie verwenden.

Sie können das Risikoscoring sowohl für gewerbliche als auch für Privatkunden in einer AML AI-Instanz durchführen. Erstellen Sie jedoch eine separate Instanz für die folgenden Aktionen:

  • Zugriff auf verschiedene AML-Datensätze für unterschiedliche Mitglieder Ihrer Organisation einschränken
  • Unterschiedliche CMEK-Schlüssel für verschiedene AML-Datensätze verwenden

Schritte

Informationen zum Erstellen eines Google Cloud -Projekts und zum Aktivieren der API finden Sie unter Projekt und Berechtigungen einrichten.

Führen Sie die folgenden Schritte aus, um einen CMEK-Schlüssel und eine AML AI-Instanz zu erstellen.

Verschlüsselungsschlüssel erstellen

Wenn Sie einen Verschlüsselungsschlüssel erstellen möchten, müssen Sie zuerst einen Schlüsselbund und dann den Schlüssel selbst erstellen. Weitere Informationen finden Sie unter Verschlüsselungsschlüssel mit Cloud KMS erstellen.

Schlüsselbund erstellen

Verwenden Sie zum Erstellen eines Schlüsselbunds die Methode projects.locations.keyRings.create.

REST

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • KMS_PROJECT_ID: die Google Cloud Projekt-IDKMS_PROJECT_ID für das Projekt, das den Schlüsselbund enthält
  • LOCATION: der Speicherort des Schlüsselbunds. Verwenden Sie eine der unterstützten Regionen.
    Standorte anzeigen
    • us-central1
    • us-east1
    • asia-south1
    • europe-west1
    • europe-west2
    • europe-west4
    • northamerica-northeast1
    • southamerica-east1
    • australia-southeast1
  • KEY_RING_ID: eine benutzerdefinierte Kennung für den Schlüsselbund

Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:

curl

Führen Sie folgenden Befehl aus:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d "" \
     "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings?key_ring_id=KEY_RING_ID"

PowerShell

Führen Sie folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -Uri "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings?key_ring_id=KEY_RING_ID" | Select-Object -Expand Content

Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

{
  "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID",
  "createTime": "2023-03-14T15:52:55.358979323Z"
}

gcloud

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • KMS_PROJECT_ID: die Google Cloud Projekt-IDKMS_PROJECT_ID für das Projekt, das den Schlüsselbund enthält
  • LOCATION: der Speicherort des Schlüsselbunds. Verwenden Sie eine der unterstützten Regionen.
    Standorte anzeigen
    • us-central1
    • us-east1
    • asia-south1
    • europe-west1
    • europe-west2
    • europe-west4
    • northamerica-northeast1
    • southamerica-east1
    • australia-southeast1
  • KEY_RING_ID: eine benutzerdefinierte Kennung für den Schlüsselbund

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud kms keyrings create KEY_RING_ID \
  --project KMS_PROJECT_ID --location LOCATION

Windows (PowerShell)

gcloud kms keyrings create KEY_RING_ID `
  --project KMS_PROJECT_ID --location LOCATION

Windows (cmd.exe)

gcloud kms keyrings create KEY_RING_ID ^
  --project KMS_PROJECT_ID --location LOCATION
 Sie sollten eine leere Antwort erhalten: 
$

Schlüssel erstellen

Verwenden Sie zum Erstellen eines Schlüssels die Methode projects.locations.keyRings.cryptoKeys.

REST

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • KMS_PROJECT_ID: die Google Cloud Projekt-IDKMS_PROJECT_ID für das Projekt, das den Schlüsselbund enthält
  • LOCATION: der Speicherort des Schlüsselbunds. Verwenden Sie eine der unterstützten Regionen.
    Standorte anzeigen
    • us-central1
    • us-east1
    • asia-south1
    • europe-west1
    • europe-west2
    • europe-west4
    • northamerica-northeast1
    • southamerica-east1
    • australia-southeast1
  • KEY_RING_ID: die benutzerdefinierte Kennung für den Schlüsselbund
  • KEY_ID: eine benutzerdefinierte Kennung für den Schlüssel

JSON-Text der Anfrage:

{
  "purpose": "ENCRYPT_DECRYPT"
}

Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:

curl

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json. Führen Sie folgenden Befehl im Terminal aus, um diese Datei im aktuellen Verzeichnis zu erstellen oder zu überschreiben: 

cat > request.json << 'EOF'
{
  "purpose": "ENCRYPT_DECRYPT"
}
EOF

Führen Sie dann folgenden Befehl aus, um Ihre REST-Anfrage zu senden: 

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys?crypto_key_id=KEY_ID"

PowerShell

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json. Führen Sie folgenden Befehl im Terminal aus, um diese Datei im aktuellen Verzeichnis zu erstellen oder zu überschreiben: 

@'
{
  "purpose": "ENCRYPT_DECRYPT"
}
'@  | Out-File -FilePath request.json -Encoding utf8

Führen Sie dann folgenden Befehl aus, um Ihre REST-Anfrage zu senden: 

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys?crypto_key_id=KEY_ID" | Select-Object -Expand Content

Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

{
  "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID",
  "primary": {
    "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID/cryptoKeyVersions/1",
    "state": "ENABLED",
    "createTime": "2023-03-14T15:52:55.358979323Z",
    "protectionLevel": "SOFTWARE",
    "algorithm": "GOOGLE_SYMMETRIC_ENCRYPTION",
    "generateTime": "2023-03-14T15:52:55.358979323Z"
  },
  "purpose": "ENCRYPT_DECRYPT",
  "createTime": "2023-03-14T15:52:55.358979323Z",
  "versionTemplate": {
    "protectionLevel": "SOFTWARE",
    "algorithm": "GOOGLE_SYMMETRIC_ENCRYPTION"
  },
  "destroyScheduledDuration": "86400s"
}

gcloud

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • KMS_PROJECT_ID: die Google Cloud Projekt-IDKMS_PROJECT_ID für das Projekt, das den Schlüsselbund enthält
  • LOCATION: der Speicherort des Schlüsselbunds. Verwenden Sie eine der unterstützten Regionen.
    Standorte anzeigen
    • us-central1
    • us-east1
    • asia-south1
    • europe-west1
    • europe-west2
    • europe-west4
    • northamerica-northeast1
    • southamerica-east1
    • australia-southeast1
  • KEY_RING_ID: die benutzerdefinierte Kennung für den Schlüsselbund
  • KEY_ID: eine benutzerdefinierte Kennung für den Schlüssel

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud kms keys create KEY_ID \
  --keyring KEY_RING_ID \
  --project KMS_PROJECT_ID \
  --location LOCATION \
  --purpose "encryption"

Windows (PowerShell)

gcloud kms keys create KEY_ID `
  --keyring KEY_RING_ID `
  --project KMS_PROJECT_ID `
  --location LOCATION `
  --purpose "encryption"

Windows (cmd.exe)

gcloud kms keys create KEY_ID ^
  --keyring KEY_RING_ID ^
  --project KMS_PROJECT_ID ^
  --location LOCATION ^
  --purpose "encryption"
 Sie sollten eine leere Antwort erhalten: 
$

Instanz erstellen

Erstellen Sie eine Instanz für die spezifische Region, in der sich die Daten befinden sollen. Diese Instanz verweist auf den von Ihnen erstellten Verschlüsselungsschlüssel. Weitere Informationen finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK).

Verwenden Sie zum Erstellen einer Instanz die Methode projects.locations.instances.create.

Die folgenden Informationen sind auch unter Instanzen erstellen und verwalten verfügbar.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • PROJECT_ID: Ihre Google Cloud Projekt-ID, die unter IAM-Einstellungen aufgeführt ist
  • LOCATION: der Speicherort des Schlüsselbunds und der Instanz; verwenden Sie eine der unterstützten Regionen.
    Standorte anzeigen
    • us-central1
    • us-east1
    • asia-south1
    • europe-west1
    • europe-west2
    • europe-west4
    • northamerica-northeast1
    • southamerica-east1
    • australia-southeast1
  • INSTANCE_ID: eine benutzerdefinierte Kennung für die Instanz
  • KMS_PROJECT_ID: die Google Cloud Projekt-IDKMS_PROJECT_ID für das Projekt, das den Schlüsselbund enthält
  • KEY_RING_ID: die benutzerdefinierte Kennung für den Schlüsselbund
  • KEY_ID: Die benutzerdefinierte Kennung für den Schlüssel.

JSON-Text der Anfrage:

{
  "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID"
}

Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:

curl

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json. Führen Sie folgenden Befehl im Terminal aus, um diese Datei im aktuellen Verzeichnis zu erstellen oder zu überschreiben: 

cat > request.json << 'EOF'
{
  "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID"
}
EOF

Führen Sie dann folgenden Befehl aus, um Ihre REST-Anfrage zu senden: 

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/instances?instance_id=INSTANCE_ID"

PowerShell

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json. Führen Sie folgenden Befehl im Terminal aus, um diese Datei im aktuellen Verzeichnis zu erstellen oder zu überschreiben: 

@'
{
  "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID"
}
'@  | Out-File -FilePath request.json -Encoding utf8

Führen Sie dann folgenden Befehl aus, um Ihre REST-Anfrage zu senden: 

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/instances?instance_id=INSTANCE_ID" | Select-Object -Expand Content

Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

{
  "name": "projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.financialservices.v1.OperationMetadata",
    "createTime": "2023-03-14T15:52:55.358979323Z",
    "target": "projects/PROJECT_ID/locations/LOCATION/instances/INSTANCE_ID",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v1"
  },
  "done": false
}

Bei erfolgreicher Ausführung enthält der Antworttext einen Vorgang mit langer Laufzeit, der eine ID enthält, mit der der laufende Status des asynchronen Vorgangs abgerufen werden kann. Kopieren Sie den zurückgegebenen OPERATION_ID, um ihn im nächsten Abschnitt zu verwenden.

Ergebnis prüfen

Mit der Methode projects.locations.operations.get können Sie prüfen, ob die Instanz erstellt wurde. Wenn die Antwort "done": false enthält, wiederholen Sie den Befehl, bis die Antwort "done": true enthält. Diese Vorgänge können einige Minuten bis mehrere Stunden dauern.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • PROJECT_ID: Ihre Google Cloud Projekt-ID, die unter IAM-Einstellungen aufgeführt ist
  • LOCATION: Der Standort der Instanz. Verwenden Sie eine der unterstützten Regionen.
    Standorte anzeigen
    • us-central1
    • us-east1
    • asia-south1
    • europe-west1
    • europe-west2
    • europe-west4
    • northamerica-northeast1
    • southamerica-east1
    • australia-southeast1
  • OPERATION_ID: die Kennung für den Vorgang

Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:

curl

Führen Sie folgenden Befehl aus: 

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID"

PowerShell

Führen Sie folgenden Befehl aus: 

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID" | Select-Object -Expand Content

Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

{
  "name": "projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.financialservices.v1.OperationMetadata",
    "createTime": "2023-03-14T15:52:55.358979323Z",
    "endTime": "2023-03-14T16:52:55.358979323Z",
    "target": "projects/PROJECT_ID/locations/LOCATION/instances/INSTANCE_ID",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v1"
  },
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.cloud.financialservices.v1.Instance",
    "name": "projects/PROJECT_ID/locations/LOCATION/instances/INSTANCE_ID",
    "createTime": CREATE_TIME,
    "updateTime": UPDATE_TIME,
    "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID",
    "state": "ACTIVE"
  }
}

Zugriff auf den CMEK-Schlüssel gewähren

Über die API wird automatisch ein Dienstkonto in Ihrem Projekt erstellt. Das Dienstkonto benötigt Zugriff auf den CMEK-Schlüssel, damit es die zugrunde liegenden Daten mit dem Schlüssel verschlüsseln und entschlüsseln kann. Gewähren Sie den Zugriff auf den Schlüssel.

Verwenden Sie für PROJECT_NUMBER die Projektnummer, die mit PROJECT_ID verknüpft ist. Sie finden die Projektnummer auf der Seite IAM-Einstellungen.

gcloud kms keys add-iam-policy-binding "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID" \
  --keyring "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID" \
  --location "LOCATION" \
  --member "serviceAccount:service-PROJECT_NUMBER@gcp-sa-financialservices.iam.gserviceaccount.com" \
  --role="roles/cloudkms.cryptoKeyEncrypterDecrypter" \
  --project="PROJECT_ID"

Support kontaktieren

Wenden Sie sich jedes Mal, wenn Sie eine AML AI-Instanz erstellen, an den Support. Geben Sie die folgenden Informationen an, damit das AML AI-Produktteam Ihre Instanz optimal an Ihre Anforderungen anpassen kann:

  • Projekt-ID
  • Google Cloud -Region
  • Instanz-ID
  • Erwartete Anzahl von Rechtssubjekten in der Tabelle Rechtssubjekt in Datasets in dieser Instanz
  • Erwartete Anzahl von Transaktionen pro Jahr in der Tabelle Transaction in Datasets in dieser Instanz

Informationen zum Anfordern zusätzlicher Kontingentlimits finden Sie unter Kontingente.

AML AI stellt mehrere Arten von Logs zur Verfügung, darunter Plattformlogs, Audit-Logs und Datenzugriffslogs. Weitere Informationen zu den einzelnen Protokollierungstypen: