Criar uma instância da IA antilavagem de dinheiro

Para usar a IA antilavagem de dinheiro, crie uma instância. O recurso de instância da IA antilavagem de dinheiro fica na raiz de todos os outros recursos de IA antilavagem de dinheiro. É possível criar várias instâncias na mesma região em um projeto do Google Cloud. As instâncias aderem ao seguinte:

• Cada instância é específica para uma região do Google Cloud, garantindo a residência de dados na região do Google Cloud.
• Cada instância exige que todos os dados de entrada e saída estejam na mesma região e projeto do Google Cloud.
• Cada instância requer uma única chave de criptografia gerenciada pelo cliente (CMEK) associada que é usada para criptografar todos os dados criados pela IA antilavagem de dinheiro.
• Os recursos filhos de uma instância herdam as configurações de localização e criptografia da instância pai.
• Cada instância oferece suporte ao gerenciamento de acesso personalizado.

A lista de regiões disponíveis do Google Cloud pode ser encontrada na página Locais da IA antilavagem de dinheiro. É possível mapear uma (ou várias) regiões geográficas em que você opera para um ou vários locais de IA antilavagem de dinheiro disponíveis, com base nas suas políticas. É necessário criar pelo menos uma instância de IA antilavagem de dinheiro por local da IA antilavagem de dinheiro que você usar.

É possível executar uma pontuação de risco para clientes comerciais e de varejo em uma instância da IA antilavagem de dinheiro. No entanto, crie uma instância separada para realizar um dos seguintes procedimentos:

• Restringir o acesso a diferentes conjuntos de dados antilavagem de dinheiro para membros distintos na organização
• Use diferentes chaves CMEK para diferentes conjuntos de dados antilavagem de dinheiro

Etapas

Para criar um projeto do Google Cloud e ativar a API, consulte Configurar um projeto e as permissões.

Siga estas etapas para criar uma chave CMEK e uma instância de IA antilavagem de dinheiro.

Criar uma chave de criptografia

Para criar uma chave de criptografia, primeiro crie um keyring e, em seguida, a própria chave. Para mais informações, consulte Criar chaves de criptografia com o Cloud KMS.

Crie um keyring

Para criar um keyring, use o método projects.locations.keyRings.create.

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d "" \
     "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings?key_ring_id=KEY_RING_ID"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -Uri "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings?key_ring_id=KEY_RING_ID" | Select-Object -Expand Content

{
  "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID",
  "createTime": CREATE_TIME
}

gcloud kms keyrings create KEY_RING_ID \
  --location LOCATION

gcloud kms keyrings create KEY_RING_ID `
  --location LOCATION

gcloud kms keyrings create KEY_RING_ID ^
  --location LOCATION

$

Crie uma chave

Para criar uma chave, use o método projects.locations.keyRings.cryptoKeys.

{
  "purpose": "ENCRYPT_DECRYPT"
}

cat > request.json << 'EOF'
{
  "purpose": "ENCRYPT_DECRYPT"
}
EOF

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys?crypto_key_id=KEY_ID"

@'
{
  "purpose": "ENCRYPT_DECRYPT"
}
'@  | Out-File -FilePath request.json -Encoding utf8

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys?crypto_key_id=KEY_ID" | Select-Object -Expand Content

{
  "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID",
  "primary": {
    "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID/cryptoKeyVersions/1",
    "state": "ENABLED",
    "createTime": CREATE_TIME,
    "protectionLevel": "SOFTWARE",
    "algorithm": "GOOGLE_SYMMETRIC_ENCRYPTION",
    "generateTime": GENERATE_TIME
  },
  "purpose": "ENCRYPT_DECRYPT",
  "createTime": CREATE_TIME,
  "versionTemplate": {
    "protectionLevel": "SOFTWARE",
    "algorithm": "GOOGLE_SYMMETRIC_ENCRYPTION"
  },
  "destroyScheduledDuration": "86400s"
}

gcloud kms keys create KEY_ID \
  --keyring KEY_RING_ID \
  --location LOCATION \
  --purpose "encryption"

gcloud kms keys create KEY_ID `
  --keyring KEY_RING_ID `
  --location LOCATION `
  --purpose "encryption"

gcloud kms keys create KEY_ID ^
  --keyring KEY_RING_ID ^
  --location LOCATION ^
  --purpose "encryption"

$

Criar uma instância

Crie uma instância para a região específica onde os dados residirão. Essa instância faz referência à chave de criptografia que você criou. Para mais informações, consulte Chaves de criptografia gerenciadas pelo cliente (CMEK).

Para criar uma instância, use o método projects.locations.instances.create.

As informações a seguir também estão disponíveis em Criar e gerenciar instâncias.

Antes de usar os dados da solicitação, faça as substituições a seguir:

• PROJECT_ID: o ID do projeto do Google Cloud listado nas Configurações do IAM
• LOCATION: o local do keyring e da instância. Use uma das regiões compatíveis ;
  Mostrar locais
  • us-central1
  • us-east1
  • asia-south1
  • europe-west1
  • europe-west2
  • europe-west4
  • northamerica-northeast1
  • southamerica-east1
• INSTANCE_ID: um identificador definido pelo usuário para a instância.
• KMS_PROJECT_ID: o ID do projeto do Google Cloud para o projeto que contém o keyring
• KEY_RING_ID: o identificador definido pelo usuário para o keyring
• KEY_ID: o identificador definido pelo usuário para a chave

Solicitar corpo JSON:

{
  "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID"
}

Para enviar a solicitação, escolha uma destas opções:

cat > request.json << 'EOF'
{
  "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID"
}
EOF

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/instances?instance_id=INSTANCE_ID"

@'
{
  "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID"
}
'@  | Out-File -FilePath request.json -Encoding utf8

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/instances?instance_id=INSTANCE_ID" | Select-Object -Expand Content

Você receberá uma resposta JSON semelhante a esta:

{
  "name": "projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.financialservices.v1.OperationMetadata",
    "createTime": CREATE_TIME,
    "target": "projects/PROJECT_ID/locations/LOCATION/instances/INSTANCE_ID",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v1"
  },
  "done": false
}

Se bem-sucedido, o corpo da resposta conterá uma operação de longa duração com um ID que pode ser usado para recuperar o status contínuo da operação assíncrona. Copie o OPERATION_ID retornado para usar na próxima seção.

Confira o resultado

Use o método projects.locations.operations.get para verificar se a instância foi criada. Se a resposta contiver "done": false, repita o comando até que a resposta contenha "done": true. Essas operações podem levar de alguns minutos a várias horas para serem concluídas.

Antes de usar os dados da solicitação, faça as substituições a seguir:

• PROJECT_ID: o ID do projeto do Google Cloud listado nas Configurações do IAM
• LOCATION: o local da instância. Use uma das regiões compatíveis .
  Mostrar locais
  • us-central1
  • us-east1
  • asia-south1
  • europe-west1
  • europe-west2
  • europe-west4
  • northamerica-northeast1
  • southamerica-east1
• OPERATION_ID: o identificador da operação.

Para enviar a solicitação, escolha uma destas opções:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID" | Select-Object -Expand Content

Você receberá uma resposta JSON semelhante a esta:

{
  "name": "projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.financialservices.v1.OperationMetadata",
    "createTime": CREATE_TIME,
    "endTime": END_TIME,
    "target": "projects/PROJECT_ID/locations/LOCATION/instances/INSTANCE_ID",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v1"
  },
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.cloud.financialservices.v1.Instance",
    "name": "projects/PROJECT_ID/locations/LOCATION/instances/INSTANCE_ID",
    "createTime": CREATE_TIME,
    "updateTime": UPDATE_TIME,
    "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID",
    "state": "ACTIVE"
  }
}

Conceder acesso à chave CMEK

A API cria automaticamente uma conta de serviço no projeto. A conta de serviço precisa de acesso à chave CMEK para que possa usá-la para criptografar e descriptografar os dados subjacentes. Conceda acesso à chave.

Para PROJECT_NUMBER, use o número do projeto associado a PROJECT_ID. Você encontra esse número na página Configurações do IAM.

gcloud kms keys add-iam-policy-binding "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID" \
  --keyring "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID" \
  --location "LOCATION" \
  --member "serviceAccount:service-PROJECT_NUMBER@gcp-sa-financialservices.iam.gserviceaccount.com" \
  --role="roles/cloudkms.cryptoKeyEncrypterDecrypter" \
  --project="PROJECT_ID"

Entrar em contato com o suporte

Sempre que criar uma instância de IA antilavagem de dinheiro, entre em contato com o suporte. Inclua as seguintes informações para que a equipe de produto de IA antilavagem de dinheiro possa configurar a instância de acordo com suas necessidades:

• ID do projeto
• Região do Google Cloud
• ID da instância
• Número esperado de partes na tabela Party em conjuntos de dados nesta instância
• Número esperado de transações por ano na tabela Transação dos conjuntos de dados dessa instância

Para solicitar mais limites de cota, consulte Cotas.

A IA antilavagem de dinheiro disponibiliza vários tipos de registros, incluindo registros de plataforma, de auditoria e de acesso a dados. Saiba mais sobre cada tipo de geração de registros:

• Registros de plataforma
• Registros de auditoria
• Ativar os registros de auditoria de acesso a dados