Erstellen Sie eine Instanz, um AML AI zu verwenden. Die Instanzressource der AML AI befindet sich im Stammverzeichnis aller anderen AML AI-Ressourcen. In einem Google Cloud-Projekt können mehrere Instanzen in derselben Region erstellt werden. Für Instanzen gilt Folgendes:
- Jede Instanz ist spezifisch für eine Google Cloud-Region, wodurch der Datenstandort in der Google Cloud-Region sichergestellt wird.
- Für jede Instanz müssen alle Eingabe- und Ausgabedaten in derselben Google Cloud-Region und demselben Projekt vorliegen.
- Jede Instanz erfordert einen zugehörigen, vom Kunden verwalteten Verschlüsselungsschlüssel (CMEK), der zum Verschlüsseln aller von AML AI erstellten Daten verwendet wird.
- Die untergeordneten Ressourcen einer Instanz übernehmen den Standort und die Verschlüsselungseinstellungen der übergeordneten Instanz.
- Jede Instanz unterstützt eine benutzerdefinierte Zugriffsverwaltung.
Die Liste der verfügbaren Google Cloud-Regionen finden Sie auf der Seite AML AI-Standorte. Sie können gemäß Ihren Richtlinien eine oder mehrere Regionen, in denen Sie tätig sind, einem (oder mehreren) verfügbaren AML AI-Standorten zuordnen. Sie müssen mindestens eine AML AI-Instanz pro verwendetem AML AI-Standort erstellen.
Sie können die Risikobewertung sowohl für Geschäfts- als auch für Einzelhandelskunden in einer AML-KI-Instanz ausführen. Erstellen Sie jedoch eine separate Instanz, um eine der folgenden Aktionen auszuführen:
- Beschränken Sie den Zugriff auf verschiedene Sätze von AML-Daten auf Mitglieder innerhalb Ihrer Organisation.
- Verschiedene CMEK-Schlüssel für verschiedene AML-Datensätze verwenden
Schritte
Informationen zum Erstellen eines Google Cloud-Projekts und zum Aktivieren der API finden Sie unter Projekt und Berechtigungen einrichten.
Führen Sie die folgenden Schritte aus, um einen CMEK-Schlüssel und eine AML AI-Instanz zu erstellen.
Verschlüsselungsschlüssel erstellen
Zum Erstellen eines Verschlüsselungsschlüssels erstellen Sie zuerst einen Schlüsselbund und dann den Schlüssel selbst. Weitere Informationen finden Sie unter Verschlüsselungsschlüssel mit Cloud KMS erstellen.
Schlüsselbund erstellen
Verwenden Sie zum Erstellen eines Schlüsselbunds die Methode projects.locations.keyRings.create
.
REST
Bevor Sie die Anfragedaten verwenden, ersetzen Sie die folgenden Werte:
KMS_PROJECT_ID
: die Google Cloud-Projekt-ID für das Projekt, das den Schlüsselbund enthältLOCATION
: der Speicherort des Schlüsselbunds. Verwenden Sie eine der unterstützten Regionen:us-central1
us-east1
asia-south1
europe-west1
europe-west2
europe-west4
northamerica-northeast1
southamerica-east1
KEY_RING_ID
: eine benutzerdefinierte Kennung für den Schlüsselbund
Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:
curl
Führen Sie folgenden Befehl aus:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d "" \
"https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings?key_ring_id=KEY_RING_ID"
PowerShell
Führen Sie folgenden Befehl aus:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-Uri "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings?key_ring_id=KEY_RING_ID" | Select-Object -Expand Content
Sie sollten in etwa folgende JSON-Antwort erhalten:
{ "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID", "createTime": CREATE_TIME }
gcloud
Bevor Sie die folgenden Befehlsdaten verwenden, ersetzen Sie die folgenden Werte:
LOCATION
: der Speicherort des Schlüsselbunds. Verwenden Sie eine der unterstützten Regionen:us-central1
us-east1
asia-south1
europe-west1
europe-west2
europe-west4
northamerica-northeast1
southamerica-east1
KEY_RING_ID
: eine benutzerdefinierte Kennung für den Schlüsselbund
Führen Sie den folgenden Befehl aus:
Linux, macOS oder Cloud Shell
gcloud kms keyrings create KEY_RING_ID \ --location LOCATION
Windows (PowerShell)
gcloud kms keyrings create KEY_RING_ID ` --location LOCATION
Windows (cmd.exe)
gcloud kms keyrings create KEY_RING_ID ^ --location LOCATION
$
Schlüssel erstellen
Verwenden Sie zum Erstellen eines Schlüssels die Methode projects.locations.keyRings.cryptoKeys
.
REST
Bevor Sie die Anfragedaten verwenden, ersetzen Sie die folgenden Werte:
KMS_PROJECT_ID
: die Google Cloud-Projekt-ID für das Projekt, das den Schlüsselbund enthältLOCATION
: der Speicherort des Schlüsselbunds. Verwenden Sie eine der unterstützten Regionen:us-central1
us-east1
asia-south1
europe-west1
europe-west2
europe-west4
northamerica-northeast1
southamerica-east1
KEY_RING_ID
: die benutzerdefinierte Kennung für den SchlüsselbundKEY_ID
: eine benutzerdefinierte Kennung für den Schlüssel
JSON-Text anfordern:
{ "purpose": "ENCRYPT_DECRYPT" }
Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:
curl
Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json
.
Führen Sie folgenden Befehl im Terminal aus, um diese Datei im aktuellen Verzeichnis zu erstellen oder zu überschreiben:
cat > request.json << 'EOF' { "purpose": "ENCRYPT_DECRYPT" } EOF
Führen Sie dann folgenden Befehl aus, um Ihre REST-Anfrage zu senden:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys?crypto_key_id=KEY_ID"
PowerShell
Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json
.
Führen Sie folgenden Befehl im Terminal aus, um diese Datei im aktuellen Verzeichnis zu erstellen oder zu überschreiben:
@' { "purpose": "ENCRYPT_DECRYPT" } '@ | Out-File -FilePath request.json -Encoding utf8
Führen Sie dann folgenden Befehl aus, um Ihre REST-Anfrage zu senden:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys?crypto_key_id=KEY_ID" | Select-Object -Expand Content
Sie sollten in etwa folgende JSON-Antwort erhalten:
{ "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID", "primary": { "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID/cryptoKeyVersions/1", "state": "ENABLED", "createTime": CREATE_TIME, "protectionLevel": "SOFTWARE", "algorithm": "GOOGLE_SYMMETRIC_ENCRYPTION", "generateTime": GENERATE_TIME }, "purpose": "ENCRYPT_DECRYPT", "createTime": CREATE_TIME, "versionTemplate": { "protectionLevel": "SOFTWARE", "algorithm": "GOOGLE_SYMMETRIC_ENCRYPTION" }, "destroyScheduledDuration": "86400s" }
gcloud
Bevor Sie die folgenden Befehlsdaten verwenden, ersetzen Sie die folgenden Werte:
LOCATION
: der Speicherort des Schlüsselbunds. Verwenden Sie eine der unterstützten Regionen:us-central1
us-east1
asia-south1
europe-west1
europe-west2
europe-west4
northamerica-northeast1
southamerica-east1
KEY_RING_ID
: die benutzerdefinierte Kennung für den SchlüsselbundKEY_ID
: eine benutzerdefinierte Kennung für den Schlüssel
Führen Sie den folgenden Befehl aus:
Linux, macOS oder Cloud Shell
gcloud kms keys create KEY_ID \ --keyring KEY_RING_ID \ --location LOCATION \ --purpose "encryption"
Windows (PowerShell)
gcloud kms keys create KEY_ID ` --keyring KEY_RING_ID ` --location LOCATION ` --purpose "encryption"
Windows (cmd.exe)
gcloud kms keys create KEY_ID ^ --keyring KEY_RING_ID ^ --location LOCATION ^ --purpose "encryption"
$
Instanz erstellen
Erstellen Sie eine Instanz für die Region, in der sich die Daten befinden sollen. Diese Instanz verweist auf den von Ihnen erstellten Verschlüsselungsschlüssel. Weitere Informationen finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK).
Verwenden Sie zum Erstellen einer Instanz die Methode projects.locations.instances.create
.
Die folgenden Informationen stehen auch unter Instanzen erstellen und verwalten zur Verfügung.
Bevor Sie die Anfragedaten verwenden, ersetzen Sie die folgenden Werte:
PROJECT_ID
: Ihre Google Cloud-Projekt-ID, die unter IAM-Einstellungen aufgeführt istLOCATION
: der Speicherort des Schlüsselbunds und der Instanz. Verwenden Sie eine der unterstützten Regionen:us-central1
us-east1
asia-south1
europe-west1
europe-west2
europe-west4
northamerica-northeast1
southamerica-east1
INSTANCE_ID
: eine benutzerdefinierte Kennung für die InstanzKMS_PROJECT_ID
: die Google Cloud-Projekt-ID für das Projekt, das den Schlüsselbund enthältKEY_RING_ID
: die benutzerdefinierte Kennung für den SchlüsselbundKEY_ID
: die benutzerdefinierte Kennung für den Schlüssel
JSON-Text anfordern:
{ "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID" }
Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:
curl
Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json
.
Führen Sie folgenden Befehl im Terminal aus, um diese Datei im aktuellen Verzeichnis zu erstellen oder zu überschreiben:
cat > request.json << 'EOF' { "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID" } EOF
Führen Sie dann folgenden Befehl aus, um Ihre REST-Anfrage zu senden:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/instances?instance_id=INSTANCE_ID"
PowerShell
Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json
.
Führen Sie folgenden Befehl im Terminal aus, um diese Datei im aktuellen Verzeichnis zu erstellen oder zu überschreiben:
@' { "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID" } '@ | Out-File -FilePath request.json -Encoding utf8
Führen Sie dann folgenden Befehl aus, um Ihre REST-Anfrage zu senden:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/instances?instance_id=INSTANCE_ID" | Select-Object -Expand Content
Sie sollten in etwa folgende JSON-Antwort erhalten:
{ "name": "projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID", "metadata": { "@type": "type.googleapis.com/google.cloud.financialservices.v1.OperationMetadata", "createTime": CREATE_TIME, "target": "projects/PROJECT_ID/locations/LOCATION/instances/INSTANCE_ID", "verb": "create", "requestedCancellation": false, "apiVersion": "v1" }, "done": false }
Wenn der Vorgang erfolgreich ist, enthält der Antworttext einen lang andauernden Vorgang mit einer ID, mit der der laufende Status des asynchronen Vorgangs abgerufen werden kann. Kopieren Sie das zurückgegebene OPERATION_ID-Objekt, um es im nächsten Abschnitt zu verwenden.
Ergebnis prüfen
Prüfen Sie mit der Methode projects.locations.operations.get
, ob die Instanz erstellt wurde. Wenn die Antwort "done": false
enthält, wiederholen Sie den Befehl, bis die Antwort "done": true
enthält.
Dieser Vorgang kann einige Minuten bis mehrere Stunden dauern.
Bevor Sie die Anfragedaten verwenden, ersetzen Sie die folgenden Werte:
PROJECT_ID
: Ihre Google Cloud-Projekt-ID, die unter IAM-Einstellungen aufgeführt istLOCATION
: der Standort der Instanz. Verwenden Sie eine der unterstützten Regionen:us-central1
us-east1
asia-south1
europe-west1
europe-west2
europe-west4
northamerica-northeast1
southamerica-east1
OPERATION_ID
: die ID für den Vorgang
Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:
curl
Führen Sie folgenden Befehl aus:
curl -X GET \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
"https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID"
PowerShell
Führen Sie folgenden Befehl aus:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method GET `
-Headers $headers `
-Uri "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID" | Select-Object -Expand Content
Sie sollten in etwa folgende JSON-Antwort erhalten:
{ "name": "projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID", "metadata": { "@type": "type.googleapis.com/google.cloud.financialservices.v1.OperationMetadata", "createTime": CREATE_TIME, "endTime": END_TIME, "target": "projects/PROJECT_ID/locations/LOCATION/instances/INSTANCE_ID", "verb": "create", "requestedCancellation": false, "apiVersion": "v1" }, "done": true, "response": { "@type": "type.googleapis.com/google.cloud.financialservices.v1.Instance", "name": "projects/PROJECT_ID/locations/LOCATION/instances/INSTANCE_ID", "createTime": CREATE_TIME, "updateTime": UPDATE_TIME, "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID", "state": "ACTIVE" } }
Zugriff auf den CMEK-Schlüssel gewähren
Die API erstellt in Ihrem Projekt automatisch ein Dienstkonto. Das Dienstkonto benötigt Zugriff auf den CMEK-Schlüssel, damit es den Schlüssel zum Verschlüsseln und Entschlüsseln der zugrunde liegenden Daten verwenden kann. Gewähren Sie Zugriff auf den Schlüssel.
Verwenden Sie für PROJECT_NUMBER die Projektnummer, die mit PROJECT_ID verknüpft ist. Sie finden die Projektnummer auf der Seite IAM-Einstellungen.
gcloud kms keys add-iam-policy-binding "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID" \
--keyring "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID" \
--location "LOCATION" \
--member "serviceAccount:service-PROJECT_NUMBER@gcp-sa-financialservices.iam.gserviceaccount.com" \
--role="roles/cloudkms.cryptoKeyEncrypterDecrypter" \
--project="PROJECT_ID"
Support kontaktieren
Wenden Sie sich jedes Mal an den Support, wenn Sie eine AML AI-Instanz erstellen. Geben Sie die folgenden Informationen an, damit das AML AI-Produktteam Ihre Instanz entsprechend Ihren Anforderungen optimal konfigurieren kann:
- Projekt-ID
- Google Cloud-Region
- Instanz-ID
- Erwartete Anzahl an Parteien in der Tabelle Party in Datasets in dieser Instanz
- Erwartete Anzahl an Transaktionen pro Jahr in der Tabelle Transaction in Datasets innerhalb dieser Instanz
Informationen zum Anfordern zusätzlicher Kontingentlimits finden Sie unter „Kontingente“.
AML AI stellt verschiedene Arten von Logs zur Verfügung, darunter Plattformlogs, Audit-Logs und Datenzugriffslogs. Weitere Informationen zu den einzelnen Logging-Typen: