Crear una instancia de AML AI

Para usar la IA de AML, crea una instancia. El recurso Instance de AML AI se encuentra en la raíz de todos los demás recursos de AML AI. Se pueden crear varias instancias en la misma región de un Google Cloud proyecto. Las instancias cumplen los siguientes requisitos:

  • Cada instancia es específica de una Google Cloud región, lo que garantiza la residencia de los datos en esa Google Cloud región.
  • Cada instancia requiere que todos los datos de entrada y salida se encuentren en la mismaGoogle Cloud región y proyecto.
  • Cada instancia requiere una única clave de cifrado gestionada por el cliente (CMEK) asociada, que se usa para cifrar los datos creados por la IA de AML.
  • Los recursos secundarios de una instancia heredan la ubicación y los ajustes de cifrado de la instancia superior.
  • Cada instancia admite la gestión de acceso personalizada.

La lista de Google Cloud regiones disponibles se puede consultar en la página Ubicaciones de AML AI. Puedes asignar una o varias zonas geográficas en las que operas a una o varias ubicaciones de IA de AML disponibles, en función de tus políticas. Debes crear al menos una instancia de IA de AML por cada ubicación de IA de AML que utilices.

Puedes llevar a cabo la puntuación de riesgo tanto para clientes comerciales como minoristas en una instancia de IA de lucha contra el blanqueo de capitales. Sin embargo, crea una instancia independiente para hacer lo siguiente:

  • Restringir el acceso a diferentes conjuntos de datos de PLA a distintos miembros de tu organización
  • Usar diferentes claves CMEK para distintos conjuntos de datos de AML

Pasos

Para crear un proyecto Google Cloud y habilitar la API, consulta Configurar un proyecto y permisos.

Sigue estos pasos para crear una clave de CMEK y una instancia de AML AI.

Crear una clave de cifrado

Para crear una clave de cifrado, primero crea un conjunto de claves y, a continuación, la clave. Para obtener más información, consulta Crear claves de cifrado con Cloud KMS.

Crear un conjunto de claves

Para crear un conjunto de claves, usa el método projects.locations.keyRings.create.

REST

Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

  • KMS_PROJECT_ID: el ID del proyecto que contiene el conjunto de claves. Google Cloud
  • LOCATION: la ubicación del conjunto de claves. Usa una de las regiones admitidas
    Mostrar ubicaciones
    • us-central1
    • us-east1
    • asia-south1
    • europe-west1
    • europe-west2
    • europe-west4
    • northamerica-northeast1
    • southamerica-east1
    • australia-southeast1
  • KEY_RING_ID: identificador definido por el usuario del conjunto de claves

Para enviar tu solicitud, elige una de estas opciones:

curl

Ejecuta el comando siguiente: 

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d "" \
     "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings?key_ring_id=KEY_RING_ID"

PowerShell

Ejecuta el comando siguiente: 

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -Uri "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings?key_ring_id=KEY_RING_ID" | Select-Object -Expand Content

Deberías recibir una respuesta JSON similar a la siguiente:

{
  "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID",
  "createTime": "2023-03-14T15:52:55.358979323Z"
}

gcloud

Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:

  • KMS_PROJECT_ID: el ID del proyecto que contiene el conjunto de claves. Google Cloud
  • LOCATION: la ubicación del conjunto de claves. Usa una de las regiones admitidas
    Mostrar ubicaciones
    • us-central1
    • us-east1
    • asia-south1
    • europe-west1
    • europe-west2
    • europe-west4
    • northamerica-northeast1
    • southamerica-east1
    • australia-southeast1
  • KEY_RING_ID: identificador definido por el usuario del conjunto de claves

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud kms keyrings create KEY_RING_ID \
  --project KMS_PROJECT_ID --location LOCATION

Windows (PowerShell)

gcloud kms keyrings create KEY_RING_ID `
  --project KMS_PROJECT_ID --location LOCATION

Windows (cmd.exe)

gcloud kms keyrings create KEY_RING_ID ^
  --project KMS_PROJECT_ID --location LOCATION
 Deberías recibir una respuesta vacía: 
$

Crear clave

Para crear una clave, usa el método projects.locations.keyRings.cryptoKeys.

REST

Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

  • KMS_PROJECT_ID: el ID del proyecto que contiene el conjunto de claves. Google Cloud
  • LOCATION: la ubicación del conjunto de claves. Usa una de las regiones admitidas.
    Mostrar ubicaciones
    • us-central1
    • us-east1
    • asia-south1
    • europe-west1
    • europe-west2
    • europe-west4
    • northamerica-northeast1
    • southamerica-east1
    • australia-southeast1
  • KEY_RING_ID: identificador definido por el usuario del conjunto de claves
  • KEY_ID: identificador definido por el usuario de la clave

Cuerpo JSON de la solicitud: 

{
  "purpose": "ENCRYPT_DECRYPT"
}

Para enviar tu solicitud, elige una de estas opciones:

curl

Guarda el cuerpo de la solicitud en un archivo llamado request.json. Ejecuta el siguiente comando en el terminal para crear o sobrescribir este archivo en el directorio actual: 

cat > request.json << 'EOF'
{
  "purpose": "ENCRYPT_DECRYPT"
}
EOF

A continuación, ejecuta el siguiente comando para enviar tu solicitud REST: 

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys?crypto_key_id=KEY_ID"

PowerShell

Guarda el cuerpo de la solicitud en un archivo llamado request.json. Ejecuta el siguiente comando en el terminal para crear o sobrescribir este archivo en el directorio actual: 

@'
{
  "purpose": "ENCRYPT_DECRYPT"
}
'@  | Out-File -FilePath request.json -Encoding utf8

A continuación, ejecuta el siguiente comando para enviar tu solicitud REST: 

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys?crypto_key_id=KEY_ID" | Select-Object -Expand Content

Deberías recibir una respuesta JSON similar a la siguiente:

{
  "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID",
  "primary": {
    "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID/cryptoKeyVersions/1",
    "state": "ENABLED",
    "createTime": "2023-03-14T15:52:55.358979323Z",
    "protectionLevel": "SOFTWARE",
    "algorithm": "GOOGLE_SYMMETRIC_ENCRYPTION",
    "generateTime": "2023-03-14T15:52:55.358979323Z"
  },
  "purpose": "ENCRYPT_DECRYPT",
  "createTime": "2023-03-14T15:52:55.358979323Z",
  "versionTemplate": {
    "protectionLevel": "SOFTWARE",
    "algorithm": "GOOGLE_SYMMETRIC_ENCRYPTION"
  },
  "destroyScheduledDuration": "86400s"
}

gcloud

Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:

  • KMS_PROJECT_ID: el ID del proyecto que contiene el conjunto de claves. Google Cloud
  • LOCATION: la ubicación del conjunto de claves. Usa una de las regiones admitidas.
    Mostrar ubicaciones
    • us-central1
    • us-east1
    • asia-south1
    • europe-west1
    • europe-west2
    • europe-west4
    • northamerica-northeast1
    • southamerica-east1
    • australia-southeast1
  • KEY_RING_ID: identificador definido por el usuario del conjunto de claves
  • KEY_ID: identificador definido por el usuario de la clave

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud kms keys create KEY_ID \
  --keyring KEY_RING_ID \
  --project KMS_PROJECT_ID \
  --location LOCATION \
  --purpose "encryption"

Windows (PowerShell)

gcloud kms keys create KEY_ID `
  --keyring KEY_RING_ID `
  --project KMS_PROJECT_ID `
  --location LOCATION `
  --purpose "encryption"

Windows (cmd.exe)

gcloud kms keys create KEY_ID ^
  --keyring KEY_RING_ID ^
  --project KMS_PROJECT_ID ^
  --location LOCATION ^
  --purpose "encryption"
 Deberías recibir una respuesta vacía: 
$

Crear una instancia

Crea una instancia en la región específica en la que deben residir los datos. Esta instancia hace referencia a la clave de cifrado que has creado. Para obtener más información, consulta el artículo sobre las claves de cifrado gestionadas por el cliente (CMEK).

Para crear una instancia, usa el método projects.locations.instances.create.

(La siguiente información también está disponible en Crear y gestionar instancias).

Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

  • PROJECT_ID: el ID de tu proyecto Google Cloud aparece en la configuración de gestión de identidades y accesos.
  • LOCATION: la ubicación del conjunto de claves y de la instancia. Usa una de las regiones admitidas.
    Mostrar ubicaciones
    • us-central1
    • us-east1
    • asia-south1
    • europe-west1
    • europe-west2
    • europe-west4
    • northamerica-northeast1
    • southamerica-east1
    • australia-southeast1
  • INSTANCE_ID: identificador definido por el usuario de la instancia
  • KMS_PROJECT_ID: el ID del proyecto que contiene el conjunto de claves. Google Cloud
  • KEY_RING_ID: identificador definido por el usuario del conjunto de claves
  • KEY_ID: identificador definido por el usuario de la clave.

Cuerpo JSON de la solicitud: 

{
  "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID"
}

Para enviar tu solicitud, elige una de estas opciones:

curl

Guarda el cuerpo de la solicitud en un archivo llamado request.json. Ejecuta el siguiente comando en el terminal para crear o sobrescribir este archivo en el directorio actual: 

cat > request.json << 'EOF'
{
  "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID"
}
EOF

A continuación, ejecuta el siguiente comando para enviar tu solicitud REST: 

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/instances?instance_id=INSTANCE_ID"

PowerShell

Guarda el cuerpo de la solicitud en un archivo llamado request.json. Ejecuta el siguiente comando en el terminal para crear o sobrescribir este archivo en el directorio actual: 

@'
{
  "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID"
}
'@  | Out-File -FilePath request.json -Encoding utf8

A continuación, ejecuta el siguiente comando para enviar tu solicitud REST: 

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/instances?instance_id=INSTANCE_ID" | Select-Object -Expand Content

Deberías recibir una respuesta JSON similar a la siguiente:

{
  "name": "projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.financialservices.v1.OperationMetadata",
    "createTime": "2023-03-14T15:52:55.358979323Z",
    "target": "projects/PROJECT_ID/locations/LOCATION/instances/INSTANCE_ID",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v1"
  },
  "done": false
}

Si la solicitud se completa correctamente, el cuerpo de la respuesta contiene una operación de larga duración que incluye un ID que se puede usar para consultar el estado de la operación asíncrona. Copia el OPERATION_ID devuelto para usarlo en la siguiente sección.

Comprobar el resultado

Usa el método projects.locations.operations.get para comprobar si se ha creado la instancia. Si la respuesta contiene "done": false, repite el comando hasta que la respuesta contenga "done": true. Estas operaciones pueden tardar desde unos minutos hasta varias horas en completarse.

Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

  • PROJECT_ID: el ID de tu proyecto Google Cloud aparece en la configuración de gestión de identidades y accesos.
  • LOCATION: la ubicación de la instancia. Usa una de las regiones admitidas
    Mostrar ubicaciones
    • us-central1
    • us-east1
    • asia-south1
    • europe-west1
    • europe-west2
    • europe-west4
    • northamerica-northeast1
    • southamerica-east1
    • australia-southeast1
  • OPERATION_ID: el identificador de la operación

Para enviar tu solicitud, elige una de estas opciones:

curl

Ejecuta el comando siguiente: 

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID"

PowerShell

Ejecuta el comando siguiente: 

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID" | Select-Object -Expand Content

Deberías recibir una respuesta JSON similar a la siguiente:

{
  "name": "projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.financialservices.v1.OperationMetadata",
    "createTime": "2023-03-14T15:52:55.358979323Z",
    "endTime": "2023-03-14T16:52:55.358979323Z",
    "target": "projects/PROJECT_ID/locations/LOCATION/instances/INSTANCE_ID",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v1"
  },
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.cloud.financialservices.v1.Instance",
    "name": "projects/PROJECT_ID/locations/LOCATION/instances/INSTANCE_ID",
    "createTime": CREATE_TIME,
    "updateTime": UPDATE_TIME,
    "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID",
    "state": "ACTIVE"
  }
}

Conceder acceso a la clave CMEK

La API crea automáticamente una cuenta de servicio en tu proyecto. La cuenta de servicio necesita acceso a la clave CMEK para poder usarla y cifrar y descifrar los datos subyacentes. Concede acceso a la clave.

En el caso de PROJECT_NUMBER, usa el número de proyecto asociado a PROJECT_ID. Puedes encontrar el número de proyecto en la página Configuración de gestión de identidades y accesos.

gcloud kms keys add-iam-policy-binding "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID" \
  --keyring "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID" \
  --location "LOCATION" \
  --member "serviceAccount:service-PROJECT_NUMBER@gcp-sa-financialservices.iam.gserviceaccount.com" \
  --role="roles/cloudkms.cryptoKeyEncrypterDecrypter" \
  --project="PROJECT_ID"

Contactar con el equipo de Asistencia

Cada vez que crees una instancia de IA de AML, ponte en contacto con el equipo de Asistencia. Incluya la siguiente información para que el equipo del producto de IA contra el blanqueo de capitales pueda configurar su instancia de forma óptima en función de sus necesidades:

  • ID del proyecto
  • Google Cloud región
  • ID de instancia
  • Número esperado de participantes en la tabla Party de los conjuntos de datos de esta instancia
  • Número esperado de transacciones al año en la tabla Transaction de los conjuntos de datos de esta instancia

Para solicitar límites de cuota adicionales, consulta Cuotas.

La IA de AML ofrece varios tipos de registros, como los de la plataforma, los de auditoría y los de acceso a datos. Más información sobre cada tipo de registro: