AML AI を使用するには、インスタンスを作成します。AML AI Instance リソースは、他のすべての AML AI リソースのルートにあります。Google Cloud プロジェクト内の同じリージョンに複数のインスタンスを作成できます。インスタンスは準拠している 次のとおりです。
- 各インスタンスは Google Cloud リージョンに固有であり、データ所在地が保証される Google Cloud リージョン内にあります。
- 各インスタンスでは、すべての入力データと出力データが同じ Google Cloud リージョンとプロジェクトに存在する必要があります。
- 各インスタンスには、AML AI によって作成されたデータの暗号化に使用する関連付けられた顧客管理の暗号鍵(CMEK)が 1 つ必要です。
- インスタンスの子リソースは親インスタンスの場所を継承し、 暗号化に関する設定です。
- 各インスタンスはカスタマイズされたアクセス管理をサポートします。
利用可能な Google Cloud リージョンのリストは、 AML AI のロケーションページにあります。ポリシーに基づいて、事業を展開している 1 つ(または複数)の地域を、利用可能な AML AI の 1 つ(または複数)の場所とマッピングできます。使用する AML AI ロケーションごとに AML AI インスタンスを少なくとも 1 つ作成する必要があります。
コマーシャルとリテールの両方のお客様のリスク スコアリングを 1 つの AML AI インスタンスで実行できます。ただし、次のいずれかを行うには、個別のインスタンスを作成します。
- AML データのさまざまなセットへのアクセスを、組織内の異なるメンバーに制限する
- 異なる AML データのセットごとに異なる CMEK 鍵を使用する
手順
Google Cloud プロジェクトを作成して API を有効にするには、プロジェクトと権限を設定するをご覧ください。
次の手順に沿って、CMEK 鍵と AML AI インスタンスを作成します。
暗号鍵の作成
暗号鍵を作成するには、キーリングを作成してから、鍵自体を作成します。詳細については、以下をご覧ください。 Cloud KMS で暗号鍵を作成する。
キーリングの作成
キーリングを作成するには、次のコマンドを使用します。
projects.locations.keyRings.create
メソッドを呼び出します。
REST
リクエストのデータを使用する前に、次のように置き換えます。
KMS_PROJECT_ID
: キーリングを含むプロジェクトの Google Cloud プロジェクト IDLOCATION
: キーリングのロケーション。 サポートされているリージョンのいずれかを使用します。ロケーションを表示us-central1
us-east1
asia-south1
europe-west1
europe-west2
europe-west4
northamerica-northeast1
southamerica-east1
australia-southeast1
KEY_RING_ID
: キーリングのユーザー定義の識別子
リクエストを送信するには、次のいずれかのオプションを選択します。
curl
次のコマンドを実行します。
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d "" \
"https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings?key_ring_id=KEY_RING_ID"
PowerShell
次のコマンドを実行します。
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-Uri "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings?key_ring_id=KEY_RING_ID" | Select-Object -Expand Content
次のような JSON レスポンスが返されます。
{ "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID", "createTime": "2023-03-14T15:52:55.358979323Z" }
gcloud
後述のコマンドデータを使用する前に、次のように置き換えます。
KMS_PROJECT_ID
: キーリングを含むプロジェクトの Google Cloud プロジェクト IDLOCATION
: キーリングのロケーション。 サポートされているリージョンのいずれかを使用します。ロケーションを表示us-central1
us-east1
asia-south1
europe-west1
europe-west2
europe-west4
northamerica-northeast1
southamerica-east1
australia-southeast1
KEY_RING_ID
: キーリングのユーザー定義の識別子
次のコマンドを実行します。
Linux、macOS、Cloud Shell
gcloud kms keyrings create KEY_RING_ID \ --project KMS_PROJECT_ID --location LOCATION
Windows(PowerShell)
gcloud kms keyrings create KEY_RING_ID ` --project KMS_PROJECT_ID --location LOCATION
Windows(cmd.exe)
gcloud kms keyrings create KEY_RING_ID ^ --project KMS_PROJECT_ID --location LOCATION
$
キーを作成
鍵を作成するには、projects.locations.keyRings.cryptoKeys
メソッドを使用します。
REST
リクエストのデータを使用する前に、次のように置き換えます。
KMS_PROJECT_ID
: キーリングを含むプロジェクトの Google Cloud プロジェクト IDLOCATION
: キーリングのロケーション。 サポートされているリージョンのいずれかを使用します。ロケーションを表示us-central1
us-east1
asia-south1
europe-west1
europe-west2
europe-west4
northamerica-northeast1
southamerica-east1
australia-southeast1
KEY_RING_ID
: キーリングのユーザー定義の識別子KEY_ID
: 鍵のユーザー定義の識別子
リクエストの本文(JSON):
{ "purpose": "ENCRYPT_DECRYPT" }
リクエストを送信するには、次のいずれかのオプションを選択します。
curl
リクエスト本文を request.json
という名前のファイルに保存します。ターミナルで次のコマンドを実行して、このファイルを現在のディレクトリに作成または上書きします。
cat > request.json << 'EOF' { "purpose": "ENCRYPT_DECRYPT" } EOF
その後、次のコマンドを実行して REST リクエストを送信します。
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys?crypto_key_id=KEY_ID"
PowerShell
リクエスト本文を request.json
という名前のファイルに保存します。ターミナルで次のコマンドを実行して、このファイルを現在のディレクトリに作成または上書きします。
@' { "purpose": "ENCRYPT_DECRYPT" } '@ | Out-File -FilePath request.json -Encoding utf8
その後、次のコマンドを実行して REST リクエストを送信します。
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys?crypto_key_id=KEY_ID" | Select-Object -Expand Content
次のような JSON レスポンスが返されます。
{ "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID", "primary": { "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID/cryptoKeyVersions/1", "state": "ENABLED", "createTime": "2023-03-14T15:52:55.358979323Z", "protectionLevel": "SOFTWARE", "algorithm": "GOOGLE_SYMMETRIC_ENCRYPTION", "generateTime": "2023-03-14T15:52:55.358979323Z" }, "purpose": "ENCRYPT_DECRYPT", "createTime": "2023-03-14T15:52:55.358979323Z", "versionTemplate": { "protectionLevel": "SOFTWARE", "algorithm": "GOOGLE_SYMMETRIC_ENCRYPTION" }, "destroyScheduledDuration": "86400s" }
gcloud
後述のコマンドデータを使用する前に、次のように置き換えます。
KMS_PROJECT_ID
: キーリングを含むプロジェクトの Google Cloud プロジェクト IDLOCATION
: キーリングのロケーション。 サポートされているリージョンのいずれかを使用します。ロケーションを表示us-central1
us-east1
asia-south1
europe-west1
europe-west2
europe-west4
northamerica-northeast1
southamerica-east1
australia-southeast1
KEY_RING_ID
: キーリングのユーザー定義の識別子KEY_ID
: 鍵のユーザー定義の識別子
次のコマンドを実行します。
Linux、macOS、Cloud Shell
gcloud kms keys create KEY_ID \ --keyring KEY_RING_ID \ --project KMS_PROJECT_ID \ --location LOCATION \ --purpose "encryption"
Windows(PowerShell)
gcloud kms keys create KEY_ID ` --keyring KEY_RING_ID ` --project KMS_PROJECT_ID ` --location LOCATION ` --purpose "encryption"
Windows(cmd.exe)
gcloud kms keys create KEY_ID ^ --keyring KEY_RING_ID ^ --project KMS_PROJECT_ID ^ --location LOCATION ^ --purpose "encryption"
$
インスタンスの作成
データを配置する特定のリージョンのインスタンスを作成します。このインスタンスは、作成した暗号鍵を参照します。詳細については、顧客管理の暗号鍵(CMEK)をご覧ください。
インスタンスを作成するには、projects.locations.instances.create
メソッドを使用します。
(次の情報は、インスタンスの作成と管理でも確認できます)。
リクエストのデータを使用する前に、次のように置き換えます。
PROJECT_ID
: IAM 設定に載っている Google Cloud プロジェクト ID。LOCATION
: キーリングのロケーションとインスタンス。サポートされているリージョンのいずれかを使用します。ロケーションを表示us-central1
us-east1
asia-south1
europe-west1
europe-west2
europe-west4
northamerica-northeast1
southamerica-east1
australia-southeast1
INSTANCE_ID
: インスタンスのユーザー定義の識別子KMS_PROJECT_ID
: キーリングを含むプロジェクトの Google Cloud プロジェクト IDKEY_RING_ID
: キーリングのユーザー定義の識別子KEY_ID
: キーのユーザー定義の識別子
リクエストの本文(JSON):
{ "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID" }
リクエストを送信するには、次のいずれかのオプションを選択します。
curl
リクエスト本文を request.json
という名前のファイルに保存します。ターミナルで次のコマンドを実行して、このファイルを現在のディレクトリに作成または上書きします。
cat > request.json << 'EOF' { "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID" } EOF
その後、次のコマンドを実行して REST リクエストを送信します。
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/instances?instance_id=INSTANCE_ID"
PowerShell
リクエスト本文を request.json
という名前のファイルに保存します。ターミナルで次のコマンドを実行して、このファイルを現在のディレクトリに作成または上書きします。
@' { "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID" } '@ | Out-File -FilePath request.json -Encoding utf8
その後、次のコマンドを実行して REST リクエストを送信します。
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/instances?instance_id=INSTANCE_ID" | Select-Object -Expand Content
次のような JSON レスポンスが返されます。
{ "name": "projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID", "metadata": { "@type": "type.googleapis.com/google.cloud.financialservices.v1.OperationMetadata", "createTime": "2023-03-14T15:52:55.358979323Z", "target": "projects/PROJECT_ID/locations/LOCATION/instances/INSTANCE_ID", "verb": "create", "requestedCancellation": false, "apiVersion": "v1" }, "done": false }
成功した場合、レスポンスの本文には長時間実行オペレーションが含まれます。これには、非同期オペレーションの進行中のステータスを取得するために使用できる ID が含まれています。返された OPERATION_ID をコピーして、次のセクションで使用します。
結果を確認する
インスタンスが作成されたかどうかを確認するには、projects.locations.operations.get
メソッドを使用します。レスポンスに "done": false
が含まれている場合は、レスポンスに "done": true
が含まれるまでコマンドを繰り返します。
これらのオペレーションの完了には数分~数時間かかることがあります。
リクエストのデータを使用する前に、次のように置き換えます。
PROJECT_ID
: IAM 設定に載っている Google Cloud プロジェクト ID。LOCATION
: インスタンスのロケーション。 サポートされているリージョンのいずれかを使用します。ロケーションを表示us-central1
us-east1
asia-south1
europe-west1
europe-west2
europe-west4
northamerica-northeast1
southamerica-east1
australia-southeast1
OPERATION_ID
: オペレーションの ID。
リクエストを送信するには、次のいずれかのオプションを選択します。
curl
次のコマンドを実行します。
curl -X GET \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
"https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID"
PowerShell
次のコマンドを実行します。
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method GET `
-Headers $headers `
-Uri "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID" | Select-Object -Expand Content
次のような JSON レスポンスが返されます。
{ "name": "projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID", "metadata": { "@type": "type.googleapis.com/google.cloud.financialservices.v1.OperationMetadata", "createTime": "2023-03-14T15:52:55.358979323Z", "endTime": "2023-03-14T16:52:55.358979323Z", "target": "projects/PROJECT_ID/locations/LOCATION/instances/INSTANCE_ID", "verb": "create", "requestedCancellation": false, "apiVersion": "v1" }, "done": true, "response": { "@type": "type.googleapis.com/google.cloud.financialservices.v1.Instance", "name": "projects/PROJECT_ID/locations/LOCATION/instances/INSTANCE_ID", "createTime": CREATE_TIME, "updateTime": UPDATE_TIME, "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID", "state": "ACTIVE" } }
CMEK 鍵へのアクセス権の付与
この API により、プロジェクト内にサービス アカウントが自動的に作成されます。サービス アカウントは、CMEK 鍵を使用して基盤となるデータの暗号化と復号を行うために、CMEK 鍵にアクセスする必要があります。鍵へのアクセス権を付与します。
PROJECT_NUMBER には、 プロジェクト番号で PROJECT_ID です。プロジェクト番号は IAM 設定ページで確認できます。
gcloud kms keys add-iam-policy-binding "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID" \
--keyring "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID" \
--location "LOCATION" \
--member "serviceAccount:service-PROJECT_NUMBER@gcp-sa-financialservices.iam.gserviceaccount.com" \
--role="roles/cloudkms.cryptoKeyEncrypterDecrypter" \
--project="PROJECT_ID"
サポートに問い合わせる
AML AI インスタンスを作成する場合は常に、サポートにご連絡ください。AML AI プロダクト チームがお客様のニーズに基づいてインスタンスを最適に構成できるように、次の情報を含めてください。
- プロジェクト ID
- Google Cloud リージョン
- インスタンス ID
- このインスタンス内のデータセットのParty テーブルの予想される当事者の数
- このインスタンス内のデータセットの Transaction テーブルで予想される 1 年あたりのトランザクション数
追加の割り当て上限をリクエストするには、割り当てをご覧ください。
AML AI では、プラットフォーム ログ、監査ログ、データアクセス ログなど、複数の種類のログを利用できます。各タイプのロギングの詳細については、以下をご覧ください。