Crea un'istanza AML AI

Per utilizzare AML AI, crea un'istanza. AML AI La risorsa Instance si trova rispetto a tutte le altre risorse di IA AML. È possibile specificare più istanze vengono creati nella stessa regione all'interno di un progetto Google Cloud. Le istanze rispettano le seguenti:

• Ogni istanza è specifica per una regione Google Cloud, garantendo la residenza dei dati all'interno della regione Google Cloud.
• Ogni istanza richiede che tutti i dati di input e di output esistano nello stesso della regione e del progetto Google Cloud.
• Ogni istanza richiede una singola chiave di crittografia gestita dal cliente associata (CMEK), utilizzata per criptare i dati creati da AML AI.
• Le risorse figlio di un'istanza ereditano la località dell'istanza padre le impostazioni di crittografia.
• Ogni istanza supporta la gestione personalizzata degli accessi.

L'elenco delle regioni Google Cloud disponibili è disponibile nella Località AML AI . Puoi mappare una (o più) aree geografiche in cui operi verso una (o diverse) località AML AI disponibili, in base ai tuoi criteri. Tu devi creare almeno un'istanza AML AI la sede di AML AI che utilizzi.

Puoi correre rischi sia per i clienti commerciali che per quelli al dettaglio Istanza AML AI. Puoi però creare un'istanza separata una delle seguenti opzioni:

• Limita l'accesso a set di dati AML diversi per separare i membri all'interno la tua organizzazione
• Utilizza chiavi CMEK diverse per set di dati AML diversi

Passaggi

Per creare un progetto Google Cloud e abilitare l'API, consulta Configura un progetto e le autorizzazioni.

Segui questi passaggi per creare una chiave CMEK e un'istanza AML AI.

Crea una chiave di crittografia

Per creare una chiave di crittografia, devi prima creare un keyring e e poi la chiave stessa. Per ulteriori informazioni, vedi Crea chiavi di crittografia con Cloud KMS.

Creazione di un keyring

Per creare un keyring, utilizza projects.locations.keyRings.create .

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d "" \
     "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings?key_ring_id=KEY_RING_ID"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -Uri "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings?key_ring_id=KEY_RING_ID" | Select-Object -Expand Content

{
  "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID",
  "createTime": "2023-03-14T15:52:55.358979323Z"
}

gcloud kms keyrings create KEY_RING_ID \
  --project KMS_PROJECT_ID --location LOCATION

gcloud kms keyrings create KEY_RING_ID `
  --project KMS_PROJECT_ID --location LOCATION

gcloud kms keyrings create KEY_RING_ID ^
  --project KMS_PROJECT_ID --location LOCATION

$

Crea una chiave

Per creare una chiave, utilizza projects.locations.keyRings.cryptoKeys .

{
  "purpose": "ENCRYPT_DECRYPT"
}

cat > request.json << 'EOF'
{
  "purpose": "ENCRYPT_DECRYPT"
}
EOF

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys?crypto_key_id=KEY_ID"

@'
{
  "purpose": "ENCRYPT_DECRYPT"
}
'@  | Out-File -FilePath request.json -Encoding utf8

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys?crypto_key_id=KEY_ID" | Select-Object -Expand Content

{
  "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID",
  "primary": {
    "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID/cryptoKeyVersions/1",
    "state": "ENABLED",
    "createTime": "2023-03-14T15:52:55.358979323Z",
    "protectionLevel": "SOFTWARE",
    "algorithm": "GOOGLE_SYMMETRIC_ENCRYPTION",
    "generateTime": "2023-03-14T15:52:55.358979323Z"
  },
  "purpose": "ENCRYPT_DECRYPT",
  "createTime": "2023-03-14T15:52:55.358979323Z",
  "versionTemplate": {
    "protectionLevel": "SOFTWARE",
    "algorithm": "GOOGLE_SYMMETRIC_ENCRYPTION"
  },
  "destroyScheduledDuration": "86400s"
}

gcloud kms keys create KEY_ID \
  --keyring KEY_RING_ID \
  --project KMS_PROJECT_ID \
  --location LOCATION \
  --purpose "encryption"

gcloud kms keys create KEY_ID `
  --keyring KEY_RING_ID `
  --project KMS_PROJECT_ID `
  --location LOCATION `
  --purpose "encryption"

gcloud kms keys create KEY_ID ^
  --keyring KEY_RING_ID ^
  --project KMS_PROJECT_ID ^
  --location LOCATION ^
  --purpose "encryption"

$

Crea un'istanza

Crea un'istanza per la regione specifica in cui devono trovarsi i dati. Questo l'istanza fa riferimento alla chiave di crittografia che hai creato. Per ulteriori informazioni, vedi Chiavi di crittografia gestite dal cliente (CMEK).

Per creare un'istanza, utilizza projects.locations.instances.create .

(Le seguenti informazioni sono disponibili anche in Crea e gestisci le istanze.)

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

• PROJECT_ID: il tuo ID progetto Google Cloud elencato in le impostazioni IAM
• LOCATION: la posizione del keyring e l'istanza, usa uno dei regioni supportate
  Mostra località
  • us-central1
  • us-east1
  • asia-south1
  • europe-west1
  • europe-west2
  • europe-west4
  • northamerica-northeast1
  • southamerica-east1
• INSTANCE_ID: un identificatore definito dall'utente per l'istanza
• KMS_PROJECT_ID: il progetto Google Cloud ID per il progetto contenente il keyring
• KEY_RING_ID: l'identificatore definito dall'utente per la key ring
• KEY_ID: identificatore definito dall'utente per la chiave

Corpo JSON della richiesta:

{
  "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID"
}

Per inviare la richiesta, scegli una delle seguenti opzioni:

cat > request.json << 'EOF'
{
  "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID"
}
EOF

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/instances?instance_id=INSTANCE_ID"

@'
{
  "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID"
}
'@  | Out-File -FilePath request.json -Encoding utf8

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/instances?instance_id=INSTANCE_ID" | Select-Object -Expand Content

Dovresti ricevere una risposta JSON simile alla seguente:

{
  "name": "projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.financialservices.v1.OperationMetadata",
    "createTime": "2023-03-14T15:52:55.358979323Z",
    "target": "projects/PROJECT_ID/locations/LOCATION/instances/INSTANCE_ID",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v1"
  },
  "done": false
}

In caso di esito positivo, il corpo della risposta contiene una operazione a lunga esecuzione che contiene un ID che può essere utilizzato per recuperare lo stato continuo del un'operazione asincrona. Copia il valore restituito OPERATION_ID da usare nei prossimi .

Verifica il risultato

Utilizza la projects.locations.operations.get per verificare se l'istanza è stata creata. Se la risposta contiene "done": false, ripeti il comando fino a quando la risposta non contiene "done": true. Il completamento di queste operazioni può richiedere da pochi minuti a diverse ore.

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

• PROJECT_ID: il tuo ID progetto Google Cloud elencato in le impostazioni IAM
• LOCATION: la località dell'istanza; usa uno dei regioni supportate
  Mostra località
  • us-central1
  • us-east1
  • asia-south1
  • europe-west1
  • europe-west2
  • europe-west4
  • northamerica-northeast1
  • southamerica-east1
• OPERATION_ID: identificatore dell'operazione

Per inviare la richiesta, scegli una delle seguenti opzioni:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID" | Select-Object -Expand Content

Dovresti ricevere una risposta JSON simile alla seguente:

{
  "name": "projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.financialservices.v1.OperationMetadata",
    "createTime": "2023-03-14T15:52:55.358979323Z",
    "endTime": "2023-03-14T16:52:55.358979323Z",
    "target": "projects/PROJECT_ID/locations/LOCATION/instances/INSTANCE_ID",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v1"
  },
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.cloud.financialservices.v1.Instance",
    "name": "projects/PROJECT_ID/locations/LOCATION/instances/INSTANCE_ID",
    "createTime": CREATE_TIME,
    "updateTime": UPDATE_TIME,
    "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID",
    "state": "ACTIVE"
  }
}

Concedi l'accesso alla chiave CMEK

L'API crea automaticamente un account di servizio nel progetto. Il servizio account richiede l'accesso alla chiave CMEK per poterla utilizzare per criptare e decriptare i dati sottostanti. Concedi l'accesso alla chiave.

Per PROJECT_NUMBER, usa il numero di progetto associato a PROJECT_ID. Puoi trovare il progetto nella pagina Impostazioni IAM.

gcloud kms keys add-iam-policy-binding "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID" \
  --keyring "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID" \
  --location "LOCATION" \
  --member "serviceAccount:service-PROJECT_NUMBER@gcp-sa-financialservices.iam.gserviceaccount.com" \
  --role="roles/cloudkms.cryptoKeyEncrypterDecrypter" \
  --project="PROJECT_ID"

Contatta l'assistenza

Ogni volta che crei un'istanza AML AI, contatta l'assistenza. Includi le seguenti informazioni in modo che il team di prodotto di AML AI può configurare in modo ottimale la tua istanza in base alle tue esigenze:

• ID progetto
• Regione Google Cloud
• ID istanza
• Numero previsto di parti nella tabella Party nei set di dati all'interno di questa istanza
• Numero previsto di transazioni all'anno nella Transazione nei set di dati all'interno di questa istanza

Per richiedere limiti di quota aggiuntivi, consulta Quote.

AML AI rende disponibili più tipi di log, tra cui: log della piattaforma, audit log e log di accesso ai dati. Scopri di più su ciascun tipo di logging:

• Log della piattaforma
• Log di controllo
• Abilita gli audit log di accesso ai dati