Se usó la API de Cloud Translation para traducir esta página.

Autentica en AML AI

En este documento, se describe cómo autenticar la IA para la prevención del lavado de dinero de manera programática.

Para obtener más información sobre la autenticación de Google Cloud, consulta la descripción general de la autenticación.

Acceso de API

La IA de AML admite el acceso programático. La forma de autenticarte en AML AI depende de cómo accedas a la API. Puedes acceder a la API de las siguientes maneras:

REST

REST

Puedes autenticarte en la API de AML AI con tus credenciales de gcloud CLI o con las credenciales predeterminadas de la aplicación. Para obtener más información sobre la autenticación en solicitudes de REST, consulta Autentica para usar REST. Para obtener información sobre los tipos de credenciales, consulta Credenciales de la CLI de gcloud y credenciales de ADC.

Configura la autenticación para AML AI

La forma de configurar la autenticación depende del entorno en el que se ejecuta tu código.

Las siguientes opciones para configurar la autenticación son las más utilizadas. Para obtener más información y opciones de autenticación, consulta Autenticación en Google.

Para un entorno de desarrollo local

Puedes configurar las credenciales para un entorno de desarrollo local de las siguientes maneras:

Credenciales de usuario para bibliotecas cliente o herramientas de terceros
Credenciales de usuario para solicitudes de REST desde la línea de comandos

Bibliotecas cliente o herramientas de terceros

Configura las credenciales predeterminadas de la aplicación (ADC) en tu entorno local:

Instala Google Cloud CLI y, luego, inicializa la ejecución del siguiente comando:
```
gcloud init
```

Crea credenciales de autenticación locales para tu Cuenta de Google:
```
gcloud auth application-default login
```
Se muestra una pantalla de acceso. Después de acceder, tus credenciales se almacenan en el archivo de credenciales local que usa ADC.

Para obtener más información sobre cómo trabajar con ADC en un entorno local, consulta Entorno de desarrollo local.

Solicitudes REST desde la línea de comandos

Cuando realizas una solicitud REST desde la línea de comandos, puedes usar tus credenciales de gcloud si incluyes gcloud auth print-access-token como parte del comando que envía la solicitud.

En el siguiente ejemplo, se enumeran las cuentas de servicio para el proyecto especificado. Puedes usar el mismo patrón para cualquier solicitud de REST.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

PROJECT_ID es el ID del proyecto de Google Cloud.

Para enviar tu solicitud, expande una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Ejecuta el siguiente comando:

curl -X GET \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts"

PowerShell (Windows)

Ejecuta el siguiente comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts" | Select-Object -Expand Content

Para obtener más información sobre la autenticación mediante REST y gRPC, consulta Autentica para usar REST. Si deseas obtener información sobre la diferencia entre tus credenciales locales de ADC y tus credenciales de la CLI de gcloud, consulta Credenciales de la CLI de gcloud y credenciales de ADC.

En Google Cloud

Para autenticar una carga de trabajo que se ejecuta en Google Cloud, debes usar las credenciales de la cuenta de servicio conectada al recurso de procesamiento en el que se ejecuta tu código. Por ejemplo, puedes conectar una cuenta de servicio a una instancia de máquina virtual (VM) de Compute Engine, a un servicio de Cloud Run o a un Trabajo de Dataflow. Este enfoque es el método de autenticación preferido para el código que se ejecuta en un recurso de procesamiento de Google Cloud.

En la mayoría de los servicios, debes conectar la cuenta de servicio cuando crees el recurso que ejecutará el código; no puedes agregar o reemplazar la cuenta de servicio más adelante. Compute Engine es una excepción: te permite conectar una cuenta de servicio a una instancia de VM en cualquier momento.

Usa gcloud CLI para crear una cuenta de servicio y adjuntarla a tu recurso:

Instala Google Cloud CLI y, luego, inicializa la ejecución del siguiente comando:
```
gcloud init
```
Configura la autenticación:
1. Crea la cuenta de servicio:
```
gcloud iam service-accounts create SERVICE_ACCOUNT_NAME
```
  Reemplaza SERVICE_ACCOUNT_NAME por un nombre para la cuenta de servicio.
2. Para proporcionar acceso a tu proyecto y tus recursos, otorga un rol a la cuenta de servicio:
```
gcloud projects add-iam-policy-binding PROJECT_ID --member="serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com" --role=ROLE
```
  Reemplaza lo siguiente:
  - SERVICE_ACCOUNT_NAME: el nombre de la cuenta de servicio
  - PROJECT_ID: el ID del proyecto en el que creaste la cuenta de servicio
  - ROLE: el rol a otorgar
  Nota: La marca --role afecta a qué recursos puede acceder tu cuenta de servicio en el proyecto. Puedes revocar estos roles o asignar otros más adelante. En entornos de producción, no otorgues los roles de propietario, editor o visualizador. En su lugar, otorga un rol predefinido o un rol personalizado que satisfaga tus necesidades.
3. Para otorgar otro rol a la cuenta de servicio, ejecuta el comando como lo hiciste en el paso anterior.
4. Otorga a tu Cuenta de Google un rol que te permita usar los roles de la cuenta de servicio y conectar la cuenta de servicio a otros recursos:
```
gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com --member="user:USER_EMAIL" --role=roles/iam.serviceAccountUser
```
  Reemplaza lo siguiente:
  - SERVICE_ACCOUNT_NAME: el nombre de la cuenta de servicio
  - PROJECT_ID: el ID del proyecto en el que creaste la cuenta de servicio
  - USER_EMAIL: La dirección de correo electrónico de tu Cuenta de Google
Crea el recurso que ejecutará tu código y conecta la cuenta de servicio a ese recurso. Por ejemplo, si usas Compute Engine:
Crea una instancia de Compute Engine. Configúrala como se indica a continuación:
- Reemplaza INSTANCE_NAME por el nombre de instancia que desees.
- Establece la marca --zone en la zona en la que deseas crear tu instancia.
- Establece la marca --service-account en la dirección de correo electrónico de la cuenta de servicio que creaste.
```
gcloud compute instances create INSTANCE_NAME --zone=ZONE --service-account=SERVICE_ACCOUNT_EMAIL
```

Para obtener más información sobre la autenticación en las APIs de Google, consulta Autenticación en Google.

Local o en un proveedor de servicios en la nube diferente

El método preferido para configurar la autenticación desde fuera de Google Cloud es usar la federación de identidades de carga de trabajo. Para obtener más información, consulta Local u otro proveedor de servicios en la nube en la documentación de autenticación.

Control de acceso en la IA de AML

Después de autenticarte en AML AI, debes tener autorización para acceder a los recursos de Google Cloud. AML AI usa Identity and Access Management (IAM) para la autorización.

Para obtener más información sobre las funciones de IA de AML, consulta Control de acceso con IAM. Para obtener más información sobre IAM y la autorización, consulta Descripción general de IAM.

¿Qué sigue?

Obtén más información sobre los métodos de autenticación de Google Cloud.
Consulta una lista de casos de uso de autenticación.