Criar uma instância de AI antilavagem de dinheiro

Para usar a IA de AML, crie uma instância. O recurso Instância da AI antilavagem de dinheiro fica na raiz de todos os outros recursos da AI antilavagem de dinheiro. Várias instâncias podem ser criadas na mesma região em um projeto do Google Cloud . As instâncias obedecem ao seguinte:

• Cada instância é específica de uma região Google Cloud , garantindo a residência de dados na região Google Cloud .
• Cada instância exige que todos os dados de entrada e saída estejam na mesmaGoogle Cloud região e projeto.
• Cada instância exige uma única chave de criptografia gerenciada pelo cliente (CMEK) associada, que é usada para criptografar todos os dados criados pela IA de AML.
• Os recursos filhos de uma instância herdam as configurações de local e criptografia da instância mãe.
• Cada instância oferece suporte ao gerenciamento de acesso personalizado.

A lista de regiões Google Cloud disponíveis pode ser encontrada na página Locais da AML AI. Você pode mapear uma ou várias regiões geográficas em que opera para uma ou várias localidades disponíveis de IA de AML, com base nas suas políticas. Você precisa criar pelo menos uma instância de IA de AML por local de IA de AML que usa.

Você pode executar a pontuação de risco para clientes comerciais e de varejo em uma instância de IA de AML. No entanto, crie uma instância separada para fazer qualquer uma das seguintes ações:

• Restringir o acesso a diferentes conjuntos de dados de AML a membros distintos na sua organização
• Use chaves CMEK diferentes para diferentes conjuntos de dados de AML

Etapas

Para criar um projeto Google Cloud e ativar a API, consulte Configurar um projeto e permissões.

Siga estas etapas para criar uma chave CMEK e uma instância de IA de AML.

Criar uma chave de criptografia

Para criar uma chave de criptografia, primeiro crie um keyring e depois a chave. Para mais informações, consulte Criar chaves de criptografia com o Cloud KMS.

Criar um keyring

Para criar um keyring, use o método projects.locations.keyRings.create.

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d "" \
     "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings?key_ring_id=KEY_RING_ID"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -Uri "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings?key_ring_id=KEY_RING_ID" | Select-Object -Expand Content

{
  "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID",
  "createTime": "2023-03-14T15:52:55.358979323Z"
}

gcloud kms keyrings create KEY_RING_ID \
  --project KMS_PROJECT_ID --location LOCATION

gcloud kms keyrings create KEY_RING_ID `
  --project KMS_PROJECT_ID --location LOCATION

gcloud kms keyrings create KEY_RING_ID ^
  --project KMS_PROJECT_ID --location LOCATION

$

Crie uma chave

Para criar uma chave, use o método projects.locations.keyRings.cryptoKeys.

{
  "purpose": "ENCRYPT_DECRYPT"
}

cat > request.json << 'EOF'
{
  "purpose": "ENCRYPT_DECRYPT"
}
EOF

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys?crypto_key_id=KEY_ID"

@'
{
  "purpose": "ENCRYPT_DECRYPT"
}
'@  | Out-File -FilePath request.json -Encoding utf8

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys?crypto_key_id=KEY_ID" | Select-Object -Expand Content

{
  "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID",
  "primary": {
    "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID/cryptoKeyVersions/1",
    "state": "ENABLED",
    "createTime": "2023-03-14T15:52:55.358979323Z",
    "protectionLevel": "SOFTWARE",
    "algorithm": "GOOGLE_SYMMETRIC_ENCRYPTION",
    "generateTime": "2023-03-14T15:52:55.358979323Z"
  },
  "purpose": "ENCRYPT_DECRYPT",
  "createTime": "2023-03-14T15:52:55.358979323Z",
  "versionTemplate": {
    "protectionLevel": "SOFTWARE",
    "algorithm": "GOOGLE_SYMMETRIC_ENCRYPTION"
  },
  "destroyScheduledDuration": "86400s"
}

gcloud kms keys create KEY_ID \
  --keyring KEY_RING_ID \
  --project KMS_PROJECT_ID \
  --location LOCATION \
  --purpose "encryption"

gcloud kms keys create KEY_ID `
  --keyring KEY_RING_ID `
  --project KMS_PROJECT_ID `
  --location LOCATION `
  --purpose "encryption"

gcloud kms keys create KEY_ID ^
  --keyring KEY_RING_ID ^
  --project KMS_PROJECT_ID ^
  --location LOCATION ^
  --purpose "encryption"

$

Criar uma instância

Crie uma instância para a região específica em que os dados devem residir. Essa instância faz referência à chave de criptografia que você criou. Para mais informações, consulte Chaves de criptografia gerenciadas pelo cliente (CMEK).

Para criar uma instância, use o método projects.locations.instances.create.

As informações a seguir também estão disponíveis em Criar e gerenciar instâncias.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

• PROJECT_ID: o ID do seu Google Cloud projeto listado nas Configurações do IAM
• LOCATION: o local do keyring e da instância. Use uma das regiões compatíveis
  Mostrar locais
  • us-central1
  • us-east1
  • asia-south1
  • europe-west1
  • europe-west2
  • europe-west4
  • northamerica-northeast1
  • southamerica-east1
  • australia-southeast1
• INSTANCE_ID: um identificador definido pelo usuário para a instância
• KMS_PROJECT_ID: o ID do projeto Google Cloud que contém o keyring
• KEY_RING_ID: o identificador definido pelo usuário para o keyring
• KEY_ID: o identificador definido pelo usuário para a chave.

Corpo JSON da solicitação:

{
  "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID"
}

Para enviar a solicitação, escolha uma destas opções:

cat > request.json << 'EOF'
{
  "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID"
}
EOF

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/instances?instance_id=INSTANCE_ID"

@'
{
  "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID"
}
'@  | Out-File -FilePath request.json -Encoding utf8

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/instances?instance_id=INSTANCE_ID" | Select-Object -Expand Content

Você receberá uma resposta JSON semelhante a esta:

{
  "name": "projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.financialservices.v1.OperationMetadata",
    "createTime": "2023-03-14T15:52:55.358979323Z",
    "target": "projects/PROJECT_ID/locations/LOCATION/instances/INSTANCE_ID",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v1"
  },
  "done": false
}

Se a solicitação for bem-sucedida, o corpo da resposta vai conter uma operação de longa duração com um ID que pode ser usado para recuperar o status da operação assíncrona. Copie o OPERATION_ID retornado para usar na próxima seção.

Verificar o resultado

Use o método projects.locations.operations.get para verificar se a instância foi criada. Se a resposta contiver "done": false, repita o comando até que a resposta contenha "done": true. Essas operações podem levar de alguns minutos a várias horas para serem concluídas.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

• PROJECT_ID: o ID do seu Google Cloud projeto listado nas Configurações do IAM
• LOCATION: o local da instância. Use uma das regiões compatíveis.
  Mostrar locais
  • us-central1
  • us-east1
  • asia-south1
  • europe-west1
  • europe-west2
  • europe-west4
  • northamerica-northeast1
  • southamerica-east1
  • australia-southeast1
• OPERATION_ID: o identificador da operação

Para enviar a solicitação, escolha uma destas opções:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID" | Select-Object -Expand Content

Você receberá uma resposta JSON semelhante a esta:

{
  "name": "projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.financialservices.v1.OperationMetadata",
    "createTime": "2023-03-14T15:52:55.358979323Z",
    "endTime": "2023-03-14T16:52:55.358979323Z",
    "target": "projects/PROJECT_ID/locations/LOCATION/instances/INSTANCE_ID",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v1"
  },
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.cloud.financialservices.v1.Instance",
    "name": "projects/PROJECT_ID/locations/LOCATION/instances/INSTANCE_ID",
    "createTime": CREATE_TIME,
    "updateTime": UPDATE_TIME,
    "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID",
    "state": "ACTIVE"
  }
}

Conceder acesso à chave da CMEK

A API cria automaticamente uma conta de serviço no seu projeto. A conta de serviço precisa de acesso à chave CMEK para criptografar e descriptografar os dados subjacentes. Conceda acesso à chave.

Para PROJECT_NUMBER, use o número do projeto associado a PROJECT_ID. Encontre o número do projeto na página Configurações do IAM.

gcloud kms keys add-iam-policy-binding "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID" \
  --keyring "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID" \
  --location "LOCATION" \
  --member "serviceAccount:service-PROJECT_NUMBER@gcp-sa-financialservices.iam.gserviceaccount.com" \
  --role="roles/cloudkms.cryptoKeyEncrypterDecrypter" \
  --project="PROJECT_ID"

Entrar em contato com o suporte

Sempre que você criar uma instância de IA de AML, entre em contato com o suporte. Inclua as seguintes informações para que a equipe de produtos de IA de AML possa configurar sua instância de maneira ideal com base nas suas necessidades:

• ID do projeto
• Google Cloud região
• ID da instância
• Número esperado de partes na tabela Party em conjuntos de dados nesta instância
• Número esperado de transações por ano na tabela Transaction em conjuntos de dados nesta instância.

Para solicitar limites de cota adicionais, consulte Cotas.

A IA de AML disponibiliza vários tipos de registros, incluindo registros da plataforma, de auditoria e de acesso a dados. Saiba mais sobre cada tipo de registro:

• Registros da plataforma
• Registros de auditoria
• Ativar registros de auditoria de acesso a dados