Diese Seite wurde von der Cloud Translation API übersetzt.

AML AI-Instanz erstellen

Erstellen Sie eine Instanz, um AML AI zu verwenden. Die AML AI-Instanzressource befindet sich im Stammverzeichnis aller anderen AML AI-Ressourcen. In einem Google Cloud-Projekt können mehrere Instanzen in derselben Region erstellt werden. Für Instanzen gilt Folgendes:

Jede Instanz ist für eine Google Cloud-Region spezifisch. Dadurch wird der Datenstandort innerhalb der Google Cloud-Region sichergestellt.
Für jede Instanz müssen sich alle Eingabe- und Ausgabedaten in derselben Google Cloud-Region und in demselben Projekt befinden.
Jede Instanz erfordert einen einzelnen zugeordneten vom Kunden verwalteten Verschlüsselungsschlüssel (CMEK), mit dem alle von AML AI erstellten Daten verschlüsselt werden.
Die untergeordneten Ressourcen einer Instanz übernehmen den Speicherort und die Verschlüsselungseinstellungen der übergeordneten Instanz.
Jede Instanz unterstützt die benutzerdefinierte Zugriffsverwaltung.

Die Liste der verfügbaren Google Cloud-Regionen finden Sie auf der Seite AML AI-Standorte. Je nach Ihren Richtlinien können Sie eine (oder mehrere) Regionen, in denen Sie tätig sind, einem (oder mehreren) verfügbaren AML AI-Standorten zuordnen. Sie müssen mindestens eine AML AI-Instanz pro AML AI-Standort erstellen, den Sie verwenden.

Sie können die Risikobewertung sowohl für Geschäfts- als auch für Einzelhandelskunden in einer AML AI-Instanz ausführen. Erstellen Sie jedoch eine separate Instanz, um eine der folgenden Aktionen auszuführen:

Zugriff auf verschiedene Sätze von AML-Daten auf unterschiedliche Mitglieder in Ihrer Organisation beschränken
Verschiedene CMEK-Schlüssel für verschiedene AML-Daten verwenden

Schritte

Informationen zum Erstellen eines Google Cloud-Projekts und zum Aktivieren der API finden Sie unter Projekt und Berechtigungen einrichten.

Führen Sie die folgenden Schritte aus, um einen CMEK-Schlüssel und eine AML AI-Instanz zu erstellen.

Verschlüsselungsschlüssel erstellen

Um einen Verschlüsselungsschlüssel zu erstellen, erstellen Sie zuerst einen Schlüsselbund und dann den Schlüssel selbst. Weitere Informationen finden Sie unter Verschlüsselungsschlüssel mit Cloud KMS erstellen.

Schlüsselbund erstellen

Verwenden Sie zum Erstellen eines Schlüsselbunds die Methode projects.locations.keyRings.create.

REST

Bevor Sie die Anfragedaten verwenden, ersetzen Sie die folgenden Werte:

KMS_PROJECT_ID: die Google Cloud-Projekt-ID für das Projekt, das den Schlüsselbund enthält
LOCATION: der Speicherort des Schlüsselbunds. Verwenden Sie eine der unterstützten Regionen.
Standorte anzeigen
- us-central1
- us-east1
- asia-south1
- europe-west1
- europe-west2
- europe-west4
- northamerica-northeast1
- southamerica-east1
KEY_RING_ID: eine benutzerdefinierte Kennung für den Schlüsselbund

Senden Sie die Anfrage mithilfe einer der folgenden Optionen:

curl

Hinweis: Der folgende Befehl setzt voraus, dass Sie sich mit Ihrem Nutzerkonto bei der gcloud CLI angemeldet haben. Dazu haben Sie gcloud init oder gcloud auth login ausgeführt oder die Cloud Shell genutzt, die Sie automatisch bei der gcloud CLI anmeldet. Um herauszufinden, welches Konto gerade aktiv ist, führen Sie gcloud auth list aus.

Führen Sie folgenden Befehl aus:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d "" \
     "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings?key_ring_id=KEY_RING_ID"

PowerShell

Hinweis: Der folgende Befehl setzt voraus, dass Sie sich mit Ihrem Nutzerkonto bei der gcloud CLI angemeldet haben. Dazu führen Sie gcloud init oder gcloud auth login aus. Um herauszufinden, welches Konto gerade aktiv ist, führen Sie gcloud auth list aus.

Führen Sie folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -Uri "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings?key_ring_id=KEY_RING_ID" | Select-Object -Expand Content

Sie sollten in etwa folgende JSON-Antwort erhalten:

{
  "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID",
  "createTime": CREATE_TIME
}

gcloud

Bevor Sie die folgenden Befehlsdaten verwenden, ersetzen Sie die folgenden Werte:

LOCATION: der Speicherort des Schlüsselbunds. Verwenden Sie eine der unterstützten Regionen.
Standorte anzeigen
- us-central1
- us-east1
- asia-south1
- europe-west1
- europe-west2
- europe-west4
- northamerica-northeast1
- southamerica-east1
KEY_RING_ID: eine benutzerdefinierte Kennung für den Schlüsselbund

Führen Sie den folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud kms keyrings create KEY_RING_ID \
  --location LOCATION

Windows (PowerShell)

gcloud kms keyrings create KEY_RING_ID `
  --location LOCATION

Windows (cmd.exe)

gcloud kms keyrings create KEY_RING_ID ^
  --location LOCATION

Sie sollten eine leere Antwort erhalten:

Schlüssel erstellen

Verwenden Sie zum Erstellen eines Schlüssels die Methode projects.locations.keyRings.cryptoKeys.

REST

Bevor Sie die Anfragedaten verwenden, ersetzen Sie die folgenden Werte:

KMS_PROJECT_ID: die Google Cloud-Projekt-ID für das Projekt, das den Schlüsselbund enthält
LOCATION: der Speicherort des Schlüsselbunds. Verwenden Sie eine der unterstützten Regionen.
Standorte anzeigen
- us-central1
- us-east1
- asia-south1
- europe-west1
- europe-west2
- europe-west4
- northamerica-northeast1
- southamerica-east1
KEY_RING_ID: die benutzerdefinierte Kennung für den Schlüsselbund
KEY_ID: eine benutzerdefinierte Kennung für den Schlüssel

JSON-Text anfordern:

{
  "purpose": "ENCRYPT_DECRYPT"
}

Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:

curl

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json. Führen Sie folgenden Befehl im Terminal aus, um diese Datei im aktuellen Verzeichnis zu erstellen oder zu überschreiben:

cat > request.json << 'EOF'
{
  "purpose": "ENCRYPT_DECRYPT"
}
EOF

Führen Sie dann folgenden Befehl aus, um Ihre REST-Anfrage zu senden:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys?crypto_key_id=KEY_ID"

PowerShell

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json. Führen Sie folgenden Befehl im Terminal aus, um diese Datei im aktuellen Verzeichnis zu erstellen oder zu überschreiben:

@'
{
  "purpose": "ENCRYPT_DECRYPT"
}
'@  | Out-File -FilePath request.json -Encoding utf8

Führen Sie dann folgenden Befehl aus, um Ihre REST-Anfrage zu senden:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys?crypto_key_id=KEY_ID" | Select-Object -Expand Content

Sie sollten in etwa folgende JSON-Antwort erhalten:

{
  "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID",
  "primary": {
    "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID/cryptoKeyVersions/1",
    "state": "ENABLED",
    "createTime": CREATE_TIME,
    "protectionLevel": "SOFTWARE",
    "algorithm": "GOOGLE_SYMMETRIC_ENCRYPTION",
    "generateTime": GENERATE_TIME
  },
  "purpose": "ENCRYPT_DECRYPT",
  "createTime": CREATE_TIME,
  "versionTemplate": {
    "protectionLevel": "SOFTWARE",
    "algorithm": "GOOGLE_SYMMETRIC_ENCRYPTION"
  },
  "destroyScheduledDuration": "86400s"
}

gcloud

Bevor Sie die folgenden Befehlsdaten verwenden, ersetzen Sie die folgenden Werte:

LOCATION: der Speicherort des Schlüsselbunds. Verwenden Sie eine der unterstützten Regionen.
Standorte anzeigen
- us-central1
- us-east1
- asia-south1
- europe-west1
- europe-west2
- europe-west4
- northamerica-northeast1
- southamerica-east1
KEY_RING_ID: die benutzerdefinierte Kennung für den Schlüsselbund
KEY_ID: eine benutzerdefinierte Kennung für den Schlüssel

Führen Sie den folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud kms keys create KEY_ID \
  --keyring KEY_RING_ID \
  --location LOCATION \
  --purpose "encryption"

Windows (PowerShell)

gcloud kms keys create KEY_ID `
  --keyring KEY_RING_ID `
  --location LOCATION `
  --purpose "encryption"

Windows (cmd.exe)

gcloud kms keys create KEY_ID ^
  --keyring KEY_RING_ID ^
  --location LOCATION ^
  --purpose "encryption"

Sie sollten eine leere Antwort erhalten:

Instanz erstellen

Erstellen Sie eine Instanz für die spezifische Region, in der sich die Daten befinden sollen. Diese Instanz verweist auf den von Ihnen erstellten Verschlüsselungsschlüssel. Weitere Informationen finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK).

Verwenden Sie zum Erstellen einer Instanz die Methode projects.locations.instances.create.

Die folgenden Informationen sind auch unter Instanzen erstellen und verwalten verfügbar.

Bevor Sie die Anfragedaten verwenden, ersetzen Sie die folgenden Werte:

PROJECT_ID: Ihre Google Cloud-Projekt-ID, die unter IAM-Einstellungen aufgeführt ist
LOCATION: der Speicherort des Schlüsselbunds und der Instanz. Verwenden Sie eine der unterstützten Regionen.
Standorte anzeigen
- us-central1
- us-east1
- asia-south1
- europe-west1
- europe-west2
- europe-west4
- northamerica-northeast1
- southamerica-east1
INSTANCE_ID: eine benutzerdefinierte Kennung für die Instanz
KMS_PROJECT_ID: die Google Cloud-Projekt-ID für das Projekt, das den Schlüsselbund enthält
KEY_RING_ID: die benutzerdefinierte Kennung für den Schlüsselbund
KEY_ID: die benutzerdefinierte Kennung für den Schlüssel.
Hinweis: Nachdem die Instanz erstellt wurde, kann der CMEK-Schlüssel nicht mehr geändert werden.

JSON-Text anfordern:

{
  "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID"
}

Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:

curl

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json. Führen Sie folgenden Befehl im Terminal aus, um diese Datei im aktuellen Verzeichnis zu erstellen oder zu überschreiben:

cat > request.json << 'EOF'
{
  "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID"
}
EOF

Führen Sie dann folgenden Befehl aus, um Ihre REST-Anfrage zu senden:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/instances?instance_id=INSTANCE_ID"

PowerShell

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json. Führen Sie folgenden Befehl im Terminal aus, um diese Datei im aktuellen Verzeichnis zu erstellen oder zu überschreiben:

@'
{
  "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID"
}
'@  | Out-File -FilePath request.json -Encoding utf8

Führen Sie dann folgenden Befehl aus, um Ihre REST-Anfrage zu senden:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/instances?instance_id=INSTANCE_ID" | Select-Object -Expand Content

Sie sollten in etwa folgende JSON-Antwort erhalten:

{
  "name": "projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.financialservices.v1.OperationMetadata",
    "createTime": CREATE_TIME,
    "target": "projects/PROJECT_ID/locations/LOCATION/instances/INSTANCE_ID",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v1"
  },
  "done": false
}

Wenn der Vorgang erfolgreich ist, enthält der Antworttext einen lang andauernden Vorgang mit einer ID, mit der der aktuelle Status des asynchronen Vorgangs abgerufen werden kann. Kopieren Sie die zurückgegebene OPERATION_ID, um sie im nächsten Abschnitt zu verwenden.

Ergebnis prüfen

Prüfen Sie mit der Methode projects.locations.operations.get, ob die Instanz erstellt wurde. Wenn die Antwort "done": false enthält, wiederholen Sie den Befehl, bis die Antwort "done": true enthält. Die Ausführung dieser Vorgänge kann von einigen Minuten bis zu mehreren Stunden dauern.

Bevor Sie die Anfragedaten verwenden, ersetzen Sie die folgenden Werte:

PROJECT_ID: Ihre Google Cloud-Projekt-ID, die unter IAM-Einstellungen aufgeführt ist
LOCATION: Standort der Instanz. Verwenden Sie eine der unterstützten Regionen.
Standorte anzeigen
- us-central1
- us-east1
- asia-south1
- europe-west1
- europe-west2
- europe-west4
- northamerica-northeast1
- southamerica-east1
OPERATION_ID: die Kennung für den Vorgang

Senden Sie die Anfrage mithilfe einer der folgenden Optionen:

curl

Führen Sie folgenden Befehl aus:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID"

PowerShell

Führen Sie folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID" | Select-Object -Expand Content

Sie sollten in etwa folgende JSON-Antwort erhalten:

{
  "name": "projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.financialservices.v1.OperationMetadata",
    "createTime": CREATE_TIME,
    "endTime": END_TIME,
    "target": "projects/PROJECT_ID/locations/LOCATION/instances/INSTANCE_ID",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v1"
  },
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.cloud.financialservices.v1.Instance",
    "name": "projects/PROJECT_ID/locations/LOCATION/instances/INSTANCE_ID",
    "createTime": CREATE_TIME,
    "updateTime": UPDATE_TIME,
    "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID",
    "state": "ACTIVE"
  }
}

Zugriff auf den CMEK-Schlüssel gewähren

Die API erstellt automatisch ein Dienstkonto in Ihrem Projekt. Das Dienstkonto benötigt Zugriff auf den CMEK-Schlüssel, damit es den Schlüssel zum Verschlüsseln und Entschlüsseln der zugrunde liegenden Daten verwenden kann. Gewähren Sie Zugriff auf den Schlüssel.

Verwenden Sie für PROJECT_NUMBER die Projektnummer, die mit PROJECT_ID verknüpft ist. Sie finden die Projektnummer auf der Seite IAM-Einstellungen.

gcloud kms keys add-iam-policy-binding "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID" \
  --keyring "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID" \
  --location "LOCATION" \
  --member "serviceAccount:service-PROJECT_NUMBER@gcp-sa-financialservices.iam.gserviceaccount.com" \
  --role="roles/cloudkms.cryptoKeyEncrypterDecrypter" \
  --project="PROJECT_ID"

Support kontaktieren

Wenden Sie sich bei jedem Erstellen einer AML AI-Instanz an den Support. Geben Sie die folgenden Informationen an, damit das AML AI-Produktteam Ihre Instanz gemäß Ihren Anforderungen optimal konfigurieren kann:

Projekt-ID
Google Cloud-Region
Instanz-ID
Erwartete Anzahl von Parteien in der Tabelle Party in Datasets innerhalb dieser Instanz
Erwartete Anzahl von Transaktionen pro Jahr in der Tabelle Transaktion in Datasets innerhalb dieser Instanz

Informationen zum Anfordern zusätzlicher Kontingentlimits finden Sie unter Kontingente.

AML AI stellt mehrere Arten von Logs zur Verfügung, darunter Plattformlogs, Audit-Logs und Datenzugriffslogs. Weitere Informationen zu den einzelnen Logging-Typen: