Crea una instancia de IA contra lavado de dinero

Para usar la IA de AML, crea una instancia. El recurso Instance de la IA contra lavado de dinero se encuentra en la raíz de todos los demás recursos de la IA contra lavado de dinero. Varias instancias pueden ser crearse en la misma región dentro de un proyecto de Google Cloud. Las instancias cumplen con lo siguiente: lo siguiente:

  • Cada instancia es específica de una región de Google Cloud, lo que garantiza la residencia de los datos dentro de la región de Google Cloud.
  • Cada instancia requiere que todos los datos de entrada y salida existan en la misma región y proyecto de Google Cloud.
  • Cada instancia requiere una sola clave de encriptación administrada por el cliente (CMEK) asociada, que se usa para encriptar los datos que crea la IA de la AML.
  • Los recursos secundarios de una instancia heredan la configuración de ubicación y encriptación de la instancia superior.
  • Cada instancia admite administración de accesos personalizada.

Puedes encontrar la lista de regiones de Google Cloud disponibles en la página Ubicaciones de IA de AML. Puedes asignar una (o varias) ubicaciones geográficas en las que opera tu empresa a una (o varias) ubicaciones de IA de AML disponibles, según tus políticas. Tú debes crear al menos una instancia de IA contra lavado de dinero por la ubicación de IA contra lavado de dinero que uses.

Puedes ejecutar la puntuación de riesgos tanto para clientes comerciales como minoristas en un de IA contra lavado de dinero. Sin embargo, crea una instancia independiente para hacer cualquiera de las siguientes acciones:

  • Restringir el acceso a diferentes conjuntos de datos de la AML a miembros dispares dentro de tu organización
  • Usa diferentes claves de CMEK para diferentes conjuntos de datos de la AML

Pasos

Para crear un proyecto de Google Cloud y habilitar la API, consulta Cómo configurar un proyecto y permisos.

Sigue estos pasos para crear una clave CMEK y una instancia de IA de AML.

Crea una clave de encriptación

Para crear una clave de encriptación, primero crea un llavero de claves y, luego, la clave. Para obtener más información, consulta Crea claves de encriptación con Cloud KMS.

Crea un llavero de claves

Para crear un llavero, usa el método projects.locations.keyRings.create.

REST

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

  • KMS_PROJECT_ID: El ID del proyecto de Google Cloud del proyecto que contiene el llavero
  • LOCATION: Es la ubicación del llavero de claves. usa uno de los regiones admitidas
    Cómo mostrar ubicaciones
    • us-central1
    • us-east1
    • asia-south1
    • europe-west1
    • europe-west2
    • europe-west4
    • northamerica-northeast1
    • southamerica-east1
  • KEY_RING_ID: Es un identificador definido por el usuario para el llavero de claves.

Para enviar tu solicitud, elige una de estas opciones:

curl

Ejecuta el siguiente comando:

curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d "" \
"https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings?key_ring_id=KEY_RING_ID"

PowerShell

Ejecuta el siguiente comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
-Method POST `
-Headers $headers `
-Uri "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings?key_ring_id=KEY_RING_ID" | Select-Object -Expand Content

Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

{
  "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID",
  "createTime": "2023-03-14T15:52:55.358979323Z"
}

gcloud

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

  • KMS_PROJECT_ID: El ID del proyecto de Google Cloud del proyecto que contiene el llavero
  • LOCATION: Es la ubicación del llavero de claves. usa uno de los regiones admitidas
    Mostrar ubicaciones
    • us-central1
    • us-east1
    • asia-south1
    • europe-west1
    • europe-west2
    • europe-west4
    • northamerica-northeast1
    • southamerica-east1
  • KEY_RING_ID: Es un identificador definido por el usuario para el llavero de claves.

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud kms keyrings create KEY_RING_ID \
  --project KMS_PROJECT_ID --location LOCATION

Windows (PowerShell)

gcloud kms keyrings create KEY_RING_ID `
  --project KMS_PROJECT_ID --location LOCATION

Windows (cmd.exe)

gcloud kms keyrings create KEY_RING_ID ^
  --project KMS_PROJECT_ID --location LOCATION
Deberías recibir una respuesta vacía:
$

Crear una clave

Para crear una clave, usa el projects.locations.keyRings.cryptoKeys .

REST

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

  • KMS_PROJECT_ID: El ID del proyecto de Google Cloud del proyecto que contiene el llavero
  • LOCATION: Es la ubicación del llavero de claves. Usa una de las regiones compatibles.
    Mostrar ubicaciones
    • us-central1
    • us-east1
    • asia-south1
    • europe-west1
    • europe-west2
    • europe-west4
    • northamerica-northeast1
    • southamerica-east1
  • KEY_RING_ID: Es el identificador definido por el usuario para el llavero.
  • KEY_ID: Es un identificador definido por el usuario para la clave.

Cuerpo JSON de la solicitud:

{
  "purpose": "ENCRYPT_DECRYPT"
}

Para enviar tu solicitud, elige una de estas opciones:

curl

Guarda el cuerpo de la solicitud en un archivo llamado request.json. Ejecuta el comando siguiente en la terminal para crear o reemplazar este archivo en el directorio actual:

cat > request.json << 'EOF'
{
  "purpose": "ENCRYPT_DECRYPT"
}
EOF

Luego, ejecuta el siguiente comando para enviar tu solicitud de REST:

curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys?crypto_key_id=KEY_ID"

PowerShell

Guarda el cuerpo de la solicitud en un archivo llamado request.json. Ejecuta el comando siguiente en la terminal para crear o reemplazar este archivo en el directorio actual:

@'
{
  "purpose": "ENCRYPT_DECRYPT"
}
'@  | Out-File -FilePath request.json -Encoding utf8

Luego, ejecuta el siguiente comando para enviar tu solicitud de REST:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys?crypto_key_id=KEY_ID" | Select-Object -Expand Content

Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

{
  "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID",
  "primary": {
    "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID/cryptoKeyVersions/1",
    "state": "ENABLED",
    "createTime": "2023-03-14T15:52:55.358979323Z",
    "protectionLevel": "SOFTWARE",
    "algorithm": "GOOGLE_SYMMETRIC_ENCRYPTION",
    "generateTime": "2023-03-14T15:52:55.358979323Z"
  },
  "purpose": "ENCRYPT_DECRYPT",
  "createTime": "2023-03-14T15:52:55.358979323Z",
  "versionTemplate": {
    "protectionLevel": "SOFTWARE",
    "algorithm": "GOOGLE_SYMMETRIC_ENCRYPTION"
  },
  "destroyScheduledDuration": "86400s"
}

gcloud

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

  • KMS_PROJECT_ID: El ID del proyecto de Google Cloud del proyecto que contiene el llavero
  • LOCATION: Es la ubicación del llavero de claves. usa uno de los regiones admitidas
    Cómo mostrar ubicaciones
    • us-central1
    • us-east1
    • asia-south1
    • europe-west1
    • europe-west2
    • europe-west4
    • northamerica-northeast1
    • southamerica-east1
  • KEY_RING_ID: Es el identificador definido por el usuario para el llavero.
  • KEY_ID: Es un identificador definido por el usuario para la clave.

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud kms keys create KEY_ID \
  --keyring KEY_RING_ID \
  --project KMS_PROJECT_ID \
  --location LOCATION \
  --purpose "encryption"

Windows (PowerShell)

gcloud kms keys create KEY_ID `
  --keyring KEY_RING_ID `
  --project KMS_PROJECT_ID `
  --location LOCATION `
  --purpose "encryption"

Windows (cmd.exe)

gcloud kms keys create KEY_ID ^
  --keyring KEY_RING_ID ^
  --project KMS_PROJECT_ID ^
  --location LOCATION ^
  --purpose "encryption"
Deberías recibir una respuesta vacía:
$

Crea una instancia

Crea una instancia para la región específica en la que deben residir los datos. Esta hace referencia a la clave de encriptación que creaste. Para obtener más información, consulta Claves de encriptación administradas por el cliente (CMEK).

Para crear una instancia, usa el projects.locations.instances.create .

(La siguiente información también está disponible en Crear y administrar instancias).

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

  • PROJECT_ID: Es tu ID de tu proyecto de Google Cloud que aparece en Configuración de IAM.
  • LOCATION: La ubicación del llavero y la instancia. Usa una de las regiones compatibles.
    Cómo mostrar ubicaciones
    • us-central1
    • us-east1
    • asia-south1
    • europe-west1
    • europe-west2
    • europe-west4
    • northamerica-northeast1
    • southamerica-east1
  • INSTANCE_ID: Es un identificador definido por el usuario para la instancia.
  • KMS_PROJECT_ID: El ID del proyecto de Google Cloud del proyecto que contiene el llavero
  • KEY_RING_ID: Es el identificador definido por el usuario para la llavero de claves
  • KEY_ID: Es el identificador definido por el usuario para la clave.

Cuerpo JSON de la solicitud:

{
  "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID"
}

Para enviar tu solicitud, elige una de estas opciones:

curl

Guarda el cuerpo de la solicitud en un archivo llamado request.json. Ejecuta el comando siguiente en la terminal para crear o reemplazar este archivo en el directorio actual:

cat > request.json << 'EOF'
{
  "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID"
}
EOF

Luego, ejecuta el siguiente comando para enviar tu solicitud de REST:

curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/instances?instance_id=INSTANCE_ID"

PowerShell

Guarda el cuerpo de la solicitud en un archivo llamado request.json. Ejecuta el comando siguiente en la terminal para crear o reemplazar este archivo en el directorio actual:

@'
{
  "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID"
}
'@  | Out-File -FilePath request.json -Encoding utf8

Luego, ejecuta el siguiente comando para enviar tu solicitud de REST:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/instances?instance_id=INSTANCE_ID" | Select-Object -Expand Content

Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

{
  "name": "projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.financialservices.v1.OperationMetadata",
    "createTime": "2023-03-14T15:52:55.358979323Z",
    "target": "projects/PROJECT_ID/locations/LOCATION/instances/INSTANCE_ID",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v1"
  },
  "done": false
}

Si se ejecuta correctamente, el cuerpo de la respuesta contendrá un operación de larga duración que contiene un ID que puede usarse para recuperar el estado en curso del una operación asíncrona. Copiar el valor devuelto OPERATION_ID para usar en las próximas sección.

Verifica el resultado

Usa el projects.locations.operations.get para comprobar si se creó la instancia. Si la respuesta contiene "done": false, repite el comando hasta que la respuesta contenga "done": true. Estas operaciones pueden tardar entre unos minutos y varias horas en completarse.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

  • PROJECT_ID: Es tu ID de tu proyecto de Google Cloud que aparece en Configuración de IAM.
  • LOCATION: La ubicación de la instancia. usa uno de los regiones admitidas
    Cómo mostrar ubicaciones
    • us-central1
    • us-east1
    • asia-south1
    • europe-west1
    • europe-west2
    • europe-west4
    • northamerica-northeast1
    • southamerica-east1
  • OPERATION_ID: Es el identificador de la operación.

Para enviar tu solicitud, elige una de estas opciones:

curl

Ejecuta el siguiente comando:

curl -X GET \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
"https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID"

PowerShell

Ejecuta el siguiente comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
-Method GET `
-Headers $headers `
-Uri "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID" | Select-Object -Expand Content

Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

{
  "name": "projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.financialservices.v1.OperationMetadata",
    "createTime": "2023-03-14T15:52:55.358979323Z",
    "endTime": "2023-03-14T16:52:55.358979323Z",
    "target": "projects/PROJECT_ID/locations/LOCATION/instances/INSTANCE_ID",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v1"
  },
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.cloud.financialservices.v1.Instance",
    "name": "projects/PROJECT_ID/locations/LOCATION/instances/INSTANCE_ID",
    "createTime": CREATE_TIME,
    "updateTime": UPDATE_TIME,
    "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID",
    "state": "ACTIVE"
  }
}

Otorga acceso a la clave CMEK

La API crea automáticamente una cuenta de servicio en tu proyecto. El servicio necesita acceso a la clave CMEK para poder usarla para encriptar y desencriptar los datos subyacentes. Otorga acceso a la clave.

Para PROJECT_NUMBER, usa el número de proyecto asociado con PROJECT_ID. Puedes encontrar el número de proyecto en la página Configuración de IAM.

gcloud kms keys add-iam-policy-binding "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID" \
  --keyring "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID" \
  --location "LOCATION" \
  --member "serviceAccount:service-PROJECT_NUMBER@gcp-sa-financialservices.iam.gserviceaccount.com" \
  --role="roles/cloudkms.cryptoKeyEncrypterDecrypter" \
  --project="PROJECT_ID"

Comunicarse con asistencia

Cada vez que crees una instancia de IA de AML, comunícate con el equipo de asistencia. Incluye la siguiente información para que el equipo de productos de IA de AML pueda configurar tu instancia de manera óptima según tus necesidades:

  • ID del proyecto
  • Región de Google Cloud
  • ID de instancia
  • Cantidad esperada de partes en la tabla Party en los conjuntos de datos de esta instancia
  • Cantidad esperada de transacciones por año en la Transacción en los conjuntos de datos de esta instancia

Para solicitar límites de cuota adicionales, consulta Cuotas

La IA contra el lavado de dinero pone a disposición varios tipos de registros, como de la plataforma, los registros de auditoría y los registros de acceso a los datos. Obtén más información sobre cada tipo de registro: