Crea un'istanza AML AI

Per utilizzare AML AI, crea un'istanza. La risorsa Istanza di AML AI si trova alla radice di tutte le altre risorse AML AI. È possibile creare più istanze nella stessa regione all'interno di un progetto. Google Cloud Le istanze rispettano i seguenti requisiti:

  • Ogni istanza è specifica per una regione Google Cloud , garantendo la residenza dei dati all'interno della regione Google Cloud .
  • Ogni istanza richiede che tutti i dati di input e output si trovino nella stessa Google Cloud regione e nello stesso progetto.
  • Ogni istanza richiede una singola chiave di crittografia gestita dal cliente (CMEK) associata, che viene utilizzata per criptare tutti i dati creati da AML AI.
  • Le risorse secondarie di un'istanza ereditano le impostazioni di località e crittografia dell'istanza principale.
  • Ogni istanza supporta la gestione degli accessi personalizzata.

L'elenco delle regioni Google Cloud disponibili è disponibile nella pagina Località AML AI. Puoi mappare una o più aree geografiche in cui operi a una o più località di IA antiriciclaggio disponibili, in base alle tue norme. Devi creare almeno un'istanza AML AI per ogni località AML AI che utilizzi.

Puoi eseguire la valutazione del rischio sia per i clienti commerciali che per quelli al dettaglio in una sola istanza di AI per l'antiriciclaggio. Tuttavia, crea un'istanza separata per eseguire una delle seguenti operazioni:

  • Limitare l'accesso a diversi set di dati AML a membri disparati all'interno della tua organizzazione
  • Utilizzare chiavi CMEK diverse per diversi set di dati AML

Passaggi

Per creare un progetto Google Cloud e abilitare l'API, consulta Configurare un progetto e le autorizzazioni.

Segui questi passaggi per creare una chiave CMEK e un'istanza AML AI.

Crea una chiave di crittografia

Per creare una chiave di crittografia, devi prima creare un portachiavi e poi la chiave. Per ulteriori informazioni, consulta Creare chiavi di crittografia con Cloud KMS.

Creazione di chiavi automatizzate

Per creare un keyring, utilizza il metodo projects.locations.keyRings.create.

REST

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

  • KMS_PROJECT_ID: l'ID progetto per il progetto contenente il portachiavi Google Cloud
  • LOCATION: la posizione del portachiavi; utilizza una delle regioni supportate
    Mostra località
    • us-central1
    • us-east1
    • asia-south1
    • europe-west1
    • europe-west2
    • europe-west4
    • northamerica-northeast1
    • southamerica-east1
    • australia-southeast1
  • KEY_RING_ID: un identificatore definito dall'utente per il keyring

Per inviare la richiesta, scegli una di queste opzioni:

curl

Esegui questo comando: 

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d "" \
     "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings?key_ring_id=KEY_RING_ID"

PowerShell

Esegui questo comando: 

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -Uri "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings?key_ring_id=KEY_RING_ID" | Select-Object -Expand Content

Dovresti ricevere una risposta JSON simile alla seguente:

{
  "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID",
  "createTime": "2023-03-14T15:52:55.358979323Z"
}

gcloud

Prima di utilizzare i dati dei comandi riportati di seguito, apporta le seguenti sostituzioni:

  • KMS_PROJECT_ID: l'ID progetto per il progetto contenente il portachiavi Google Cloud
  • LOCATION: la posizione del portachiavi; utilizza una delle regioni supportate
    Mostra località
    • us-central1
    • us-east1
    • asia-south1
    • europe-west1
    • europe-west2
    • europe-west4
    • northamerica-northeast1
    • southamerica-east1
    • australia-southeast1
  • KEY_RING_ID: un identificatore definito dall'utente per il keyring

Esegui questo comando:

Linux, macOS o Cloud Shell

gcloud kms keyrings create KEY_RING_ID \
  --project KMS_PROJECT_ID --location LOCATION

Windows (PowerShell)

gcloud kms keyrings create KEY_RING_ID `
  --project KMS_PROJECT_ID --location LOCATION

Windows (cmd.exe)

gcloud kms keyrings create KEY_RING_ID ^
  --project KMS_PROJECT_ID --location LOCATION
 Dovresti ricevere una risposta vuota: 
$

Crea una chiave

Per creare una chiave, utilizza il metodo projects.locations.keyRings.cryptoKeys.

REST

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

  • KMS_PROJECT_ID: l'ID progetto per il progetto contenente il portachiavi Google Cloud
  • LOCATION: la posizione del portachiavi; utilizza una delle regioni supportate
    Mostra località
    • us-central1
    • us-east1
    • asia-south1
    • europe-west1
    • europe-west2
    • europe-west4
    • northamerica-northeast1
    • southamerica-east1
    • australia-southeast1
  • KEY_RING_ID: l'identificatore definito dall'utente per il portachiavi
  • KEY_ID: un identificatore definito dall'utente per la chiave

Corpo JSON della richiesta: 

{
  "purpose": "ENCRYPT_DECRYPT"
}

Per inviare la richiesta, scegli una di queste opzioni:

curl

Salva il corpo della richiesta in un file denominato request.json. Esegui questo comando nel terminale per creare o sovrascrivere questo file nella directory corrente: 

cat > request.json << 'EOF'
{
  "purpose": "ENCRYPT_DECRYPT"
}
EOF

Quindi, esegui questo comando per inviare la richiesta REST: 

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys?crypto_key_id=KEY_ID"

PowerShell

Salva il corpo della richiesta in un file denominato request.json. Esegui questo comando nel terminale per creare o sovrascrivere questo file nella directory corrente: 

@'
{
  "purpose": "ENCRYPT_DECRYPT"
}
'@  | Out-File -FilePath request.json -Encoding utf8

Quindi, esegui questo comando per inviare la richiesta REST: 

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys?crypto_key_id=KEY_ID" | Select-Object -Expand Content

Dovresti ricevere una risposta JSON simile alla seguente:

{
  "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID",
  "primary": {
    "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID/cryptoKeyVersions/1",
    "state": "ENABLED",
    "createTime": "2023-03-14T15:52:55.358979323Z",
    "protectionLevel": "SOFTWARE",
    "algorithm": "GOOGLE_SYMMETRIC_ENCRYPTION",
    "generateTime": "2023-03-14T15:52:55.358979323Z"
  },
  "purpose": "ENCRYPT_DECRYPT",
  "createTime": "2023-03-14T15:52:55.358979323Z",
  "versionTemplate": {
    "protectionLevel": "SOFTWARE",
    "algorithm": "GOOGLE_SYMMETRIC_ENCRYPTION"
  },
  "destroyScheduledDuration": "86400s"
}

gcloud

Prima di utilizzare i dati dei comandi riportati di seguito, apporta le seguenti sostituzioni:

  • KMS_PROJECT_ID: l'ID progetto per il progetto contenente il portachiavi Google Cloud
  • LOCATION: la posizione del portachiavi; utilizza una delle regioni supportate
    Mostra località
    • us-central1
    • us-east1
    • asia-south1
    • europe-west1
    • europe-west2
    • europe-west4
    • northamerica-northeast1
    • southamerica-east1
    • australia-southeast1
  • KEY_RING_ID: l'identificatore definito dall'utente per il portachiavi
  • KEY_ID: un identificatore definito dall'utente per la chiave

Esegui questo comando:

Linux, macOS o Cloud Shell

gcloud kms keys create KEY_ID \
  --keyring KEY_RING_ID \
  --project KMS_PROJECT_ID \
  --location LOCATION \
  --purpose "encryption"

Windows (PowerShell)

gcloud kms keys create KEY_ID `
  --keyring KEY_RING_ID `
  --project KMS_PROJECT_ID `
  --location LOCATION `
  --purpose "encryption"

Windows (cmd.exe)

gcloud kms keys create KEY_ID ^
  --keyring KEY_RING_ID ^
  --project KMS_PROJECT_ID ^
  --location LOCATION ^
  --purpose "encryption"
 Dovresti ricevere una risposta vuota: 
$

Crea un'istanza

Crea un'istanza per la regione specifica in cui devono risiedere i dati. Questa istanza fa riferimento alla chiave di crittografia che hai creato. Per saperne di più, consulta Chiavi di crittografia gestite dal cliente (CMEK).

Per creare un'istanza, utilizza il metodo projects.locations.instances.create.

(Le seguenti informazioni sono disponibili anche in Creare e gestire istanze.)

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

  • PROJECT_ID: il tuo ID progetto Google Cloud elencato nelle impostazioni IAM
  • LOCATION: la posizione del portachiavi e dell'istanza; utilizza una delle regioni supportate
    Mostra località
    • us-central1
    • us-east1
    • asia-south1
    • europe-west1
    • europe-west2
    • europe-west4
    • northamerica-northeast1
    • southamerica-east1
    • australia-southeast1
  • INSTANCE_ID: un identificatore definito dall'utente per l'istanza
  • KMS_PROJECT_ID: l'ID progetto per il progetto contenente il portachiavi Google Cloud
  • KEY_RING_ID: l'identificatore definito dall'utente per il portachiavi
  • KEY_ID: l'identificatore definito dall'utente per la chiave

Corpo JSON della richiesta: 

{
  "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID"
}

Per inviare la richiesta, scegli una di queste opzioni:

curl

Salva il corpo della richiesta in un file denominato request.json. Esegui questo comando nel terminale per creare o sovrascrivere questo file nella directory corrente: 

cat > request.json << 'EOF'
{
  "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID"
}
EOF

Quindi, esegui questo comando per inviare la richiesta REST: 

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/instances?instance_id=INSTANCE_ID"

PowerShell

Salva il corpo della richiesta in un file denominato request.json. Esegui questo comando nel terminale per creare o sovrascrivere questo file nella directory corrente: 

@'
{
  "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID"
}
'@  | Out-File -FilePath request.json -Encoding utf8

Quindi, esegui questo comando per inviare la richiesta REST: 

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/instances?instance_id=INSTANCE_ID" | Select-Object -Expand Content

Dovresti ricevere una risposta JSON simile alla seguente:

{
  "name": "projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.financialservices.v1.OperationMetadata",
    "createTime": "2023-03-14T15:52:55.358979323Z",
    "target": "projects/PROJECT_ID/locations/LOCATION/instances/INSTANCE_ID",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v1"
  },
  "done": false
}

In caso di esito positivo, il corpo della risposta contiene un'operazione a lunga esecuzione che contiene un ID utilizzabile per recuperare lo stato in corso dell'operazione asincrona. Copia il OPERATION_ID restituito da utilizzare nella sezione successiva.

Controlla il risultato

Utilizza il metodo projects.locations.operations.get per verificare se l'istanza è stata creata. Se la risposta contiene "done": false, ripeti il comando finché la risposta non contiene "done": true. Il completamento di queste operazioni può richiedere da alcuni minuti a diverse ore.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

  • PROJECT_ID: il tuo ID progetto Google Cloud elencato nelle impostazioni IAM
  • LOCATION: la posizione dell'istanza; utilizza una delle regioni supportate
    Mostra località
    • us-central1
    • us-east1
    • asia-south1
    • europe-west1
    • europe-west2
    • europe-west4
    • northamerica-northeast1
    • southamerica-east1
    • australia-southeast1
  • OPERATION_ID: l'identificatore dell'operazione

Per inviare la richiesta, scegli una di queste opzioni:

curl

Esegui questo comando: 

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID"

PowerShell

Esegui questo comando: 

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID" | Select-Object -Expand Content

Dovresti ricevere una risposta JSON simile alla seguente:

{
  "name": "projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.financialservices.v1.OperationMetadata",
    "createTime": "2023-03-14T15:52:55.358979323Z",
    "endTime": "2023-03-14T16:52:55.358979323Z",
    "target": "projects/PROJECT_ID/locations/LOCATION/instances/INSTANCE_ID",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v1"
  },
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.cloud.financialservices.v1.Instance",
    "name": "projects/PROJECT_ID/locations/LOCATION/instances/INSTANCE_ID",
    "createTime": CREATE_TIME,
    "updateTime": UPDATE_TIME,
    "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID",
    "state": "ACTIVE"
  }
}

Concedere l'accesso alla chiave CMEK

L'API crea automaticamente un account di servizio nel tuo progetto. Il service account deve accedere alla chiave CMEK in modo da poterla utilizzare per criptare e decriptare i dati sottostanti. Concedi l'accesso alla chiave.

Per PROJECT_NUMBER, utilizza il numero di progetto associato a PROJECT_ID. Puoi trovare il numero di progetto nella pagina Impostazioni IAM.

gcloud kms keys add-iam-policy-binding "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID" \
  --keyring "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID" \
  --location "LOCATION" \
  --member "serviceAccount:service-PROJECT_NUMBER@gcp-sa-financialservices.iam.gserviceaccount.com" \
  --role="roles/cloudkms.cryptoKeyEncrypterDecrypter" \
  --project="PROJECT_ID"

Contatta l'assistenza

Ogni volta che crei un'istanza di AML AI, contatta l'assistenza. Includi le seguenti informazioni in modo che il team del prodotto AI AML possa configurare in modo ottimale la tua istanza in base alle tue esigenze:

  • ID progetto
  • Google Cloud region
  • ID istanza
  • Numero previsto di parti nella tabella Party nei set di dati all'interno di questa istanza
  • Numero previsto di transazioni all'anno nella tabella Transaction nei set di dati all'interno di questa istanza

Per richiedere limiti di quota aggiuntivi, consulta la sezione Quote.

L'AI per l'antiriciclaggio rende disponibili più tipi di log, tra cui log della piattaforma, log di controllo e log di accesso ai dati. Scopri di più su ogni tipo di logging: