Erstellen Sie eine Instanz, um AML AI zu verwenden. Die AML AI Instanz befindet sich Stamm aller anderen AML AI-Ressourcen. Innerhalb eines Google Cloud-Projekts können mehrere Instanzen in derselben Region erstellt werden. Für Instanzen gilt Folgendes:
- Jede Instanz ist einer bestimmten Google Cloud-Region zugewiesen, sodass die Daten innerhalb der Google Cloud-Region gespeichert werden.
- Bei jeder Instanz müssen alle Eingabe- und Ausgabedaten in derselben Google Cloud-Region und -Projekt.
- Für jede Instanz ist ein einzelner zugeordneter vom Kunden verwalteter Verschlüsselungsschlüssel erforderlich (CMEK), mit dem alle von AML AI erstellten Daten verschlüsselt werden.
- Die untergeordneten Ressourcen einer Instanz übernehmen den Standort und Verschlüsselungseinstellungen.
- Jede Instanz unterstützt eine benutzerdefinierte Zugriffsverwaltung.
Eine Liste der verfügbaren Google Cloud-Regionen finden Sie auf der Seite Standorte für AML AI. Sie können eine oder mehrere Regionen, in denen Sie tätig sind, einer (oder mehreren) je nach deinen Richtlinien an mehreren) verfügbaren AML AI-Standorten. Ich muss mindestens eine AML AI-Instanz pro den von Ihnen verwendeten AML AI-Standort.
Sie können Risikobewertungen sowohl für Geschäfts- als auch für Einzelhandelskunden in einem AML AI-Instanz. Erstellen Sie jedoch eine separate Instanz, eine der folgenden Optionen:
- Zugriff auf verschiedene AML-Datensätze für unterschiedliche Mitglieder innerhalb Ihrer Organisation einschränken
- Unterschiedliche CMEK-Schlüssel für verschiedene AML-Datensätze verwenden
Schritte
Informationen zum Erstellen eines Google Cloud-Projekts und zum Aktivieren der API finden Sie unter Projekt und Berechtigungen einrichten
Führen Sie die folgenden Schritte aus, um einen CMEK-Schlüssel und eine AML AI-Instanz zu erstellen.
Verschlüsselungsschlüssel erstellen
Wenn Sie einen Verschlüsselungsschlüssel erstellen möchten, müssen Sie zuerst einen Schlüsselbund und dann den Schlüssel selbst erstellen. Weitere Informationen finden Sie unter Verschlüsselungsschlüssel mit Cloud KMS erstellen
Schlüsselbund erstellen
Verwenden Sie zum Erstellen eines Schlüsselanhängers die Methode projects.locations.keyRings.create
.
REST
Ersetzen Sie diese Werte in den folgenden Anfragedaten:
KMS_PROJECT_ID
: die Google Cloud-Projekt-ID des Projekts, das den Schlüsselbund enthältLOCATION
: der Speicherort des Schlüsselbunds. verwenden Sie eine der unterstützten RegionenStandorte anzeigenus-central1
us-east1
asia-south1
europe-west1
europe-west2
europe-west4
northamerica-northeast1
southamerica-east1
KEY_RING_ID
: eine benutzerdefinierte Kennung für die Schlüsselbund
Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:
curl
Führen Sie folgenden Befehl aus:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d "" \
"https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings?key_ring_id=KEY_RING_ID"
PowerShell
Führen Sie folgenden Befehl aus:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-Uri "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings?key_ring_id=KEY_RING_ID" | Select-Object -Expand Content
Sie sollten in etwa folgende JSON-Antwort erhalten:
{ "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID", "createTime": "2023-03-14T15:52:55.358979323Z" }
gcloud
Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:
KMS_PROJECT_ID
: das Google Cloud-Projekt ID für das Projekt, das den Schlüsselbund enthältLOCATION
: Speicherort des Schlüsselbunds; verwenden Sie eine der unterstützten RegionenStandorte anzeigenus-central1
us-east1
asia-south1
europe-west1
europe-west2
europe-west4
northamerica-northeast1
southamerica-east1
KEY_RING_ID
: eine benutzerdefinierte Kennung für den Schlüsselbund
Führen Sie folgenden Befehl aus:
Linux, macOS oder Cloud Shell
gcloud kms keyrings create KEY_RING_ID \ --project KMS_PROJECT_ID --location LOCATION
Windows (PowerShell)
gcloud kms keyrings create KEY_RING_ID ` --project KMS_PROJECT_ID --location LOCATION
Windows (cmd.exe)
gcloud kms keyrings create KEY_RING_ID ^ --project KMS_PROJECT_ID --location LOCATION
$
Schlüssel erstellen
Verwenden Sie zum Erstellen eines Schlüssels die Methode
projects.locations.keyRings.cryptoKeys
.
REST
Ersetzen Sie diese Werte in den folgenden Anfragedaten:
KMS_PROJECT_ID
: die Google Cloud-Projekt-ID des Projekts, das den Schlüsselbund enthältLOCATION
: Speicherort des Schlüsselbunds; verwenden Sie eine der unterstützten RegionenStandorte anzeigenus-central1
us-east1
asia-south1
europe-west1
europe-west2
europe-west4
northamerica-northeast1
southamerica-east1
KEY_RING_ID
: die benutzerdefinierte Kennung für den SchlüsselbundKEY_ID
: eine benutzerdefinierte Kennung für den Schlüssel
JSON-Text anfordern:
{ "purpose": "ENCRYPT_DECRYPT" }
Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:
curl
Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json
.
Führen Sie folgenden Befehl im Terminal aus, um diese Datei im aktuellen Verzeichnis zu erstellen oder zu überschreiben:
cat > request.json << 'EOF' { "purpose": "ENCRYPT_DECRYPT" } EOF
Führen Sie dann folgenden Befehl aus, um Ihre REST-Anfrage zu senden:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys?crypto_key_id=KEY_ID"
PowerShell
Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json
.
Führen Sie folgenden Befehl im Terminal aus, um diese Datei im aktuellen Verzeichnis zu erstellen oder zu überschreiben:
@' { "purpose": "ENCRYPT_DECRYPT" } '@ | Out-File -FilePath request.json -Encoding utf8
Führen Sie dann folgenden Befehl aus, um Ihre REST-Anfrage zu senden:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys?crypto_key_id=KEY_ID" | Select-Object -Expand Content
Sie sollten in etwa folgende JSON-Antwort erhalten:
{ "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID", "primary": { "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID/cryptoKeyVersions/1", "state": "ENABLED", "createTime": "2023-03-14T15:52:55.358979323Z", "protectionLevel": "SOFTWARE", "algorithm": "GOOGLE_SYMMETRIC_ENCRYPTION", "generateTime": "2023-03-14T15:52:55.358979323Z" }, "purpose": "ENCRYPT_DECRYPT", "createTime": "2023-03-14T15:52:55.358979323Z", "versionTemplate": { "protectionLevel": "SOFTWARE", "algorithm": "GOOGLE_SYMMETRIC_ENCRYPTION" }, "destroyScheduledDuration": "86400s" }
gcloud
Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:
KMS_PROJECT_ID
: die Google Cloud-Projekt-ID des Projekts, das den Schlüsselbund enthältLOCATION
: Speicherort des Schlüsselbunds; verwenden Sie eine der unterstützten RegionenStandorte anzeigenus-central1
us-east1
asia-south1
europe-west1
europe-west2
europe-west4
northamerica-northeast1
southamerica-east1
KEY_RING_ID
: die benutzerdefinierte Kennung für den SchlüsselbundKEY_ID
: eine benutzerdefinierte Kennung für den Schlüssel
Führen Sie folgenden Befehl aus:
Linux, macOS oder Cloud Shell
gcloud kms keys create KEY_ID \ --keyring KEY_RING_ID \ --project KMS_PROJECT_ID \ --location LOCATION \ --purpose "encryption"
Windows (PowerShell)
gcloud kms keys create KEY_ID ` --keyring KEY_RING_ID ` --project KMS_PROJECT_ID ` --location LOCATION ` --purpose "encryption"
Windows (cmd.exe)
gcloud kms keys create KEY_ID ^ --keyring KEY_RING_ID ^ --project KMS_PROJECT_ID ^ --location LOCATION ^ --purpose "encryption"
$
Instanz erstellen
Erstellen Sie eine Instanz für die Region, in der sich die Daten befinden sollen. Dieses Instanz auf den von Ihnen erstellten Verschlüsselungsschlüssel verweist. Weitere Informationen finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK):
Verwenden Sie zum Erstellen einer Instanz die Methode projects.locations.instances.create
.
(Die folgenden Informationen sind auch verfügbar in Instanzen erstellen und verwalten.
Ersetzen Sie diese Werte in den folgenden Anfragedaten:
PROJECT_ID
: Ihre Google Cloud-Projekt-ID, die unter IAM-Einstellungen aufgeführt istLOCATION
: Speicherort des Schlüsselbunds und der Instanz; verwenden Sie eine der unterstützten RegionenStandorte anzeigenus-central1
us-east1
asia-south1
europe-west1
europe-west2
europe-west4
northamerica-northeast1
southamerica-east1
INSTANCE_ID
: eine benutzerdefinierte Kennung für die InstanzKMS_PROJECT_ID
: das Google Cloud-Projekt ID für das Projekt, das den Schlüsselbund enthältKEY_RING_ID
: die benutzerdefinierte Kennung für den SchlüsselbundKEY_ID
: die benutzerdefinierte Kennung für den Schlüssel
JSON-Text anfordern:
{ "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID" }
Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:
curl
Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json
.
Führen Sie folgenden Befehl im Terminal aus, um diese Datei im aktuellen Verzeichnis zu erstellen oder zu überschreiben:
cat > request.json << 'EOF' { "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID" } EOF
Führen Sie dann folgenden Befehl aus, um Ihre REST-Anfrage zu senden:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/instances?instance_id=INSTANCE_ID"
PowerShell
Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json
.
Führen Sie folgenden Befehl im Terminal aus, um diese Datei im aktuellen Verzeichnis zu erstellen oder zu überschreiben:
@' { "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID" } '@ | Out-File -FilePath request.json -Encoding utf8
Führen Sie dann folgenden Befehl aus, um Ihre REST-Anfrage zu senden:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/instances?instance_id=INSTANCE_ID" | Select-Object -Expand Content
Sie sollten in etwa folgende JSON-Antwort erhalten:
{ "name": "projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID", "metadata": { "@type": "type.googleapis.com/google.cloud.financialservices.v1.OperationMetadata", "createTime": "2023-03-14T15:52:55.358979323Z", "target": "projects/PROJECT_ID/locations/LOCATION/instances/INSTANCE_ID", "verb": "create", "requestedCancellation": false, "apiVersion": "v1" }, "done": false }
Wenn der Vorgang erfolgreich ist, enthält der Antworttext ein Vorgang mit langer Ausführungszeit die eine ID enthält, mit der der aktuelle Status der asynchronem Vorgang. Kopieren Sie den zurückgegebenen OPERATION_ID, um ihn im nächsten Abschnitt zu verwenden.
Ergebnis prüfen
Verwenden Sie die Methode
projects.locations.operations.get
, um zu prüfen, ob die Instanz erstellt wurde. Wenn die Antwort Folgendes enthält:
"done": false
, wiederholen Sie den Befehl, bis die Antwort "done": true
enthält.
Diese Vorgänge können einige Minuten bis mehrere Stunden dauern.
Ersetzen Sie diese Werte in den folgenden Anfragedaten:
PROJECT_ID
: Ihre Google Cloud-Projekt-ID, die unter IAM-Einstellungen aufgeführt istLOCATION
ist der Standort der Instanz. verwenden Sie eine der unterstützten RegionenStandorte anzeigenus-central1
us-east1
asia-south1
europe-west1
europe-west2
europe-west4
northamerica-northeast1
southamerica-east1
OPERATION_ID
: die Kennung für den Vorgang
Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:
curl
Führen Sie folgenden Befehl aus:
curl -X GET \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
"https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID"
PowerShell
Führen Sie folgenden Befehl aus:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method GET `
-Headers $headers `
-Uri "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID" | Select-Object -Expand Content
Sie sollten in etwa folgende JSON-Antwort erhalten:
{ "name": "projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID", "metadata": { "@type": "type.googleapis.com/google.cloud.financialservices.v1.OperationMetadata", "createTime": "2023-03-14T15:52:55.358979323Z", "endTime": "2023-03-14T16:52:55.358979323Z", "target": "projects/PROJECT_ID/locations/LOCATION/instances/INSTANCE_ID", "verb": "create", "requestedCancellation": false, "apiVersion": "v1" }, "done": true, "response": { "@type": "type.googleapis.com/google.cloud.financialservices.v1.Instance", "name": "projects/PROJECT_ID/locations/LOCATION/instances/INSTANCE_ID", "createTime": CREATE_TIME, "updateTime": UPDATE_TIME, "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID", "state": "ACTIVE" } }
Zugriff auf den CMEK-Schlüssel gewähren
Die API erstellt automatisch ein Dienstkonto in Ihrem Projekt. Das Dienstkonto benötigt Zugriff auf den CMEK-Schlüssel, damit es die zugrunde liegenden Daten damit verschlüsseln und entschlüsseln kann. Gewähren Sie Zugriff auf den Schlüssel.
Verwenden Sie für PROJECT_NUMBER die Projektnummer, die mit PROJECT_ID verknüpft ist. Sie finden das Projekt auf der Seite IAM-Einstellungen.
gcloud kms keys add-iam-policy-binding "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID" \
--keyring "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID" \
--location "LOCATION" \
--member "serviceAccount:service-PROJECT_NUMBER@gcp-sa-financialservices.iam.gserviceaccount.com" \
--role="roles/cloudkms.cryptoKeyEncrypterDecrypter" \
--project="PROJECT_ID"
Support kontaktieren
Wenden Sie sich jedes Mal an den Support, wenn Sie eine AML-KI-Instanz erstellen. Geben Sie die folgenden Informationen an, damit das AML AI-Produktteam Ihre Instanz optimal an Ihre Anforderungen anpassen kann:
- Projekt-ID
- Google Cloud-Region
- Instanz-ID
- Erwartete Anzahl von Parteien in der Tabelle Party in Datasets in dieser Instanz
- Erwartete Anzahl der Transaktionen pro Jahr in der Tabelle Transaction in Datasets innerhalb dieser Instanz
Informationen zum Anfordern zusätzlicher Kontingentlimits finden Sie unter Kontingente:
Mit AML AI stehen mehrere Arten von Logs zur Verfügung, darunter: Plattformlogs, Audit-Logs und Datenzugriffslogs. Weitere Informationen zu den einzelnen Typen des Loggings: