Crea un'istanza AML AI

Per utilizzare l'IA AML, crea un'istanza. La risorsa Instance di AML AI si trova alla radice di tutte le altre risorse AML AI. È possibile creare più istanze nella stessa regione all'interno di un progetto Google Cloud. Le istanze devono rispettare quanto segue:

• Ogni istanza è specifica per una regione Google Cloud, garantendo la residenza dei dati all'interno della regione Google Cloud.
• Ogni istanza richiede che tutti i dati di input e di output esistano nella stessa regione e nello stesso progetto Google Cloud.
• Ogni istanza richiede una singola chiave di crittografia gestita dal cliente (CMEK) associata, che viene utilizzata per criptare tutti i dati creati dall'AI AML.
• Le risorse secondarie di un'istanza ereditano le impostazioni di crittografia e della località dell'istanza principale.
• Ogni istanza supporta la gestione dell'accesso personalizzata.

L'elenco delle regioni Google Cloud disponibili è disponibile nella pagina Località dell'IA AML. In base alle tue norme, puoi mappare una o più aree geografiche in cui operi a una o più località di IA AML disponibili. Devi creare almeno un'istanza AML AI per ogni località AML AI che utilizzi.

Puoi eseguire la valutazione del rischio sia per i clienti commerciali sia per quelli di vendita al dettaglio in un'unica istanza di AI AML. Tuttavia, crea un'istanza separata per eseguire una delle seguenti operazioni:

• Limitare l'accesso a diversi insiemi di dati AML a membri diversi all'interno della tua organizzazione
• Utilizzare chiavi CMEK diverse per insiemi diversi di dati AML

Passaggi

Per creare un progetto Google Cloud e abilitare l'API, consulta Configurare un progetto e le autorizzazioni.

Segui questi passaggi per creare una chiave CMEK e un'istanza di IA AML.

Crea una chiave di crittografia

Per creare una chiave di crittografia, crea prima un keyring e poi la chiave stessa. Per ulteriori informazioni, consulta Creare chiavi di crittografia con Cloud KMS.

Creazione di un keyring

Per creare un keyring, utilizza il metodo projects.locations.keyRings.create.

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d "" \
     "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings?key_ring_id=KEY_RING_ID"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -Uri "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings?key_ring_id=KEY_RING_ID" | Select-Object -Expand Content

{
  "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID",
  "createTime": "2023-03-14T15:52:55.358979323Z"
}

gcloud kms keyrings create KEY_RING_ID \
  --project KMS_PROJECT_ID --location LOCATION

gcloud kms keyrings create KEY_RING_ID `
  --project KMS_PROJECT_ID --location LOCATION

gcloud kms keyrings create KEY_RING_ID ^
  --project KMS_PROJECT_ID --location LOCATION

$

Crea una chiave

Per creare una chiave, utilizza il metodo projects.locations.keyRings.cryptoKeys.

{
  "purpose": "ENCRYPT_DECRYPT"
}

cat > request.json << 'EOF'
{
  "purpose": "ENCRYPT_DECRYPT"
}
EOF

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys?crypto_key_id=KEY_ID"

@'
{
  "purpose": "ENCRYPT_DECRYPT"
}
'@  | Out-File -FilePath request.json -Encoding utf8

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys?crypto_key_id=KEY_ID" | Select-Object -Expand Content

{
  "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID",
  "primary": {
    "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID/cryptoKeyVersions/1",
    "state": "ENABLED",
    "createTime": "2023-03-14T15:52:55.358979323Z",
    "protectionLevel": "SOFTWARE",
    "algorithm": "GOOGLE_SYMMETRIC_ENCRYPTION",
    "generateTime": "2023-03-14T15:52:55.358979323Z"
  },
  "purpose": "ENCRYPT_DECRYPT",
  "createTime": "2023-03-14T15:52:55.358979323Z",
  "versionTemplate": {
    "protectionLevel": "SOFTWARE",
    "algorithm": "GOOGLE_SYMMETRIC_ENCRYPTION"
  },
  "destroyScheduledDuration": "86400s"
}

gcloud kms keys create KEY_ID \
  --keyring KEY_RING_ID \
  --project KMS_PROJECT_ID \
  --location LOCATION \
  --purpose "encryption"

gcloud kms keys create KEY_ID `
  --keyring KEY_RING_ID `
  --project KMS_PROJECT_ID `
  --location LOCATION `
  --purpose "encryption"

gcloud kms keys create KEY_ID ^
  --keyring KEY_RING_ID ^
  --project KMS_PROJECT_ID ^
  --location LOCATION ^
  --purpose "encryption"

$

Crea un'istanza

Crea un'istanza per la regione specifica in cui devono trovarsi i dati. Questa istanza fa riferimento alla chiave di crittografia che hai creato. Per saperne di più, consulta Chiavi di crittografia gestite dal cliente (CMEK).

Per creare un'istanza, utilizza il metodo projects.locations.instances.create.

Le seguenti informazioni sono disponibili anche in Creare e gestire istanze.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

• PROJECT_ID: l'ID del tuo progetto Google Cloud elencato nelle Impostazioni IAM
• LOCATION: la posizione del portachiavi e dell'istanza. Utilizza una delle regioni supportate
  Mostra sedi
  • us-central1
  • us-east1
  • asia-south1
  • europe-west1
  • europe-west2
  • europe-west4
  • northamerica-northeast1
  • southamerica-east1
  • australia-southeast1
• INSTANCE_ID: un identificatore definito dall'utente per l'istanza
• KMS_PROJECT_ID: l'ID progetto Google Cloud del progetto contenente il portachiavi
• KEY_RING_ID: l'identificatore definito dall'utente per il portachiavi
• KEY_ID: l'identificatore definito dall'utente per la chiave

Corpo JSON della richiesta:

{
  "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID"
}

Per inviare la richiesta, scegli una delle seguenti opzioni:

cat > request.json << 'EOF'
{
  "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID"
}
EOF

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/instances?instance_id=INSTANCE_ID"

@'
{
  "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID"
}
'@  | Out-File -FilePath request.json -Encoding utf8

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/instances?instance_id=INSTANCE_ID" | Select-Object -Expand Content

Dovresti ricevere una risposta JSON simile alla seguente:

{
  "name": "projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.financialservices.v1.OperationMetadata",
    "createTime": "2023-03-14T15:52:55.358979323Z",
    "target": "projects/PROJECT_ID/locations/LOCATION/instances/INSTANCE_ID",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v1"
  },
  "done": false
}

In caso di esito positivo, il corpo della risposta contiene un'operazione a lunga esecuzione che contiene un ID che può essere utilizzato per recuperare lo stato in corso dell'operazione asincrona. Copia il valore OPERATION_ID restituito da utilizzare nella sezione successiva.

Controlla il risultato

Utilizza il metodo projects.locations.operations.get per verificare se l'istanza è stata creata. Se la risposta contiene "done": false, ripeti il comando finché la risposta non contiene "done": true. Il completamento di queste operazioni può richiedere da alcuni minuti a diverse ore.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

• PROJECT_ID: l'ID del tuo progetto Google Cloud elencato nelle Impostazioni IAM
• LOCATION: la posizione dell'istanza. Utilizza una delle regioni supportate.
  Mostra sedi
  • us-central1
  • us-east1
  • asia-south1
  • europe-west1
  • europe-west2
  • europe-west4
  • northamerica-northeast1
  • southamerica-east1
  • australia-southeast1
• OPERATION_ID: l'identificatore dell'operazione

Per inviare la richiesta, scegli una delle seguenti opzioni:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID" | Select-Object -Expand Content

Dovresti ricevere una risposta JSON simile alla seguente:

{
  "name": "projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.financialservices.v1.OperationMetadata",
    "createTime": "2023-03-14T15:52:55.358979323Z",
    "endTime": "2023-03-14T16:52:55.358979323Z",
    "target": "projects/PROJECT_ID/locations/LOCATION/instances/INSTANCE_ID",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v1"
  },
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.cloud.financialservices.v1.Instance",
    "name": "projects/PROJECT_ID/locations/LOCATION/instances/INSTANCE_ID",
    "createTime": CREATE_TIME,
    "updateTime": UPDATE_TIME,
    "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID",
    "state": "ACTIVE"
  }
}

Concedi l'accesso alla chiave CMEK

L'API crea automaticamente un account di servizio nel progetto. Il service account deve avere accesso alla chiave CMEK per poterla utilizzare per criptare e decriptare i dati sottostanti. Concedi l'accesso alla chiave.

Per PROJECT_NUMBER, utilizza il numero di progetto associato a PROJECT_ID. Puoi trovare il numero del progetto nella pagina Impostazioni IAM.

gcloud kms keys add-iam-policy-binding "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID" \
  --keyring "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID" \
  --location "LOCATION" \
  --member "serviceAccount:service-PROJECT_NUMBER@gcp-sa-financialservices.iam.gserviceaccount.com" \
  --role="roles/cloudkms.cryptoKeyEncrypterDecrypter" \
  --project="PROJECT_ID"

Contatta l'assistenza

Ogni volta che crei un'istanza di IA AML, contatta l'assistenza. Includi le seguenti informazioni in modo che il team di prodotto AML AI possa configurare in modo ottimale la tua istanza in base alle tue esigenze:

• ID progetto
• Regione Google Cloud
• ID istanza
• Numero previsto di parti nella tabella Partito nei set di dati all'interno di questa istanza
• Numero previsto di transazioni all'anno nella tabella Transaction nei set di dati all'interno di questa istanza

Per richiedere limiti di quota aggiuntivi, consulta Quote.

L'AI AML rende disponibili più tipi di log, tra cui log della piattaforma, log di controllo e log di accesso ai dati. Scopri di più su ogni tipo di logging:

• Log della piattaforma
• Audit log
• Attivare gli audit log di accesso ai dati