Per utilizzare l'IA AML, crea un'istanza. La risorsa Instance di AML AI si trova alla radice di tutte le altre risorse AML AI. È possibile specificare più istanze vengono creati nella stessa regione all'interno di un progetto Google Cloud. Le istanze devono rispettare quanto segue:
- Ogni istanza è specifica per una regione Google Cloud, garantendo la residenza dei dati all'interno della regione Google Cloud.
- Ogni istanza richiede che tutti i dati di input e di output esistano nello stesso della regione e del progetto Google Cloud.
- Ogni istanza richiede una singola chiave di crittografia gestita dal cliente (CMEK) associata, che viene utilizzata per criptare tutti i dati creati dall'AI AML.
- Le risorse figlio di un'istanza ereditano la località dell'istanza padre le impostazioni di crittografia.
- Ogni istanza supporta la gestione personalizzata degli accessi.
L'elenco delle regioni Google Cloud disponibili è disponibile nella Località AML AI . Puoi mappare una (o più) aree geografiche in cui operi verso una (o diverse) località AML AI disponibili, in base ai tuoi criteri. Devi creare almeno un'istanza AML AI per ogni località AML AI che utilizzi.
Puoi correre rischi sia per i clienti commerciali che per quelli al dettaglio Istanza AML AI. Tuttavia, crea un'istanza separata per eseguire una delle seguenti operazioni:
- Limitare l'accesso a diversi insiemi di dati AML a membri diversi all'interno della tua organizzazione
- Utilizzare chiavi CMEK diverse per set diversi di dati AML
Passaggi
Per creare un progetto Google Cloud e abilitare l'API, consulta Configurare un progetto e le autorizzazioni.
Segui questi passaggi per creare una chiave CMEK e un'istanza AML AI.
Crea una chiave di crittografia
Per creare una chiave di crittografia, devi prima creare un keyring e e poi la chiave stessa. Per ulteriori informazioni, consulta Creare chiavi di crittografia con Cloud KMS.
Creazione di un keyring
Per creare un keyring, utilizza il metodo
projects.locations.keyRings.create
.
REST
Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
KMS_PROJECT_ID
: l'ID progetto Google Cloud del progetto contenente il portachiaviLOCATION
: la posizione del keyring; usa uno dei regioni supportateMostra localitàus-central1
us-east1
asia-south1
europe-west1
europe-west2
europe-west4
northamerica-northeast1
southamerica-east1
KEY_RING_ID
: un identificatore definito dall'utente per il keyring
Per inviare la richiesta, scegli una delle seguenti opzioni:
curl
Esegui questo comando:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d "" \
"https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings?key_ring_id=KEY_RING_ID"
PowerShell
Esegui questo comando:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-Uri "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings?key_ring_id=KEY_RING_ID" | Select-Object -Expand Content
Dovresti ricevere una risposta JSON simile alla seguente:
{ "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID", "createTime": "2023-03-14T15:52:55.358979323Z" }
gcloud
Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
KMS_PROJECT_ID
: l'ID progetto Google Cloud del progetto contenente il portachiaviLOCATION
: la posizione del portachiavi; utilizza una delle regioni supportateMostra localitàus-central1
us-east1
asia-south1
europe-west1
europe-west2
europe-west4
northamerica-northeast1
southamerica-east1
KEY_RING_ID
: un identificatore definito dall'utente per il keyring
Esegui la persone che seguo :
Linux, macOS o Cloud Shell
gcloud kms keyrings create KEY_RING_ID \ --project KMS_PROJECT_ID --location LOCATION
Windows (PowerShell)
gcloud kms keyrings create KEY_RING_ID ` --project KMS_PROJECT_ID --location LOCATION
Windows (cmd.exe)
gcloud kms keyrings create KEY_RING_ID ^ --project KMS_PROJECT_ID --location LOCATION
$
Crea una chiave
Per creare una chiave, utilizza il metodo
projects.locations.keyRings.cryptoKeys
.
REST
Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
KMS_PROJECT_ID
: il progetto Google Cloud ID per il progetto contenente il keyringLOCATION
: la posizione del keyring; usa uno dei regioni supportateMostra localitàus-central1
us-east1
asia-south1
europe-west1
europe-west2
europe-west4
northamerica-northeast1
southamerica-east1
KEY_RING_ID
: l'identificatore definito dall'utente per la key ringKEY_ID
: un identificatore definito dall'utente per la chiave
Corpo JSON della richiesta:
{ "purpose": "ENCRYPT_DECRYPT" }
Per inviare la richiesta, scegli una delle seguenti opzioni:
curl
Salva il corpo della richiesta in un file denominato request.json
.
Esegui questo comando nel terminale per creare o sovrascrivere
questo file nella directory corrente:
cat > request.json << 'EOF' { "purpose": "ENCRYPT_DECRYPT" } EOF
Quindi, esegui il seguente comando per inviare la richiesta REST:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys?crypto_key_id=KEY_ID"
PowerShell
Salva il corpo della richiesta in un file denominato request.json
.
Esegui questo comando nel terminale per creare o sovrascrivere
questo file nella directory corrente:
@' { "purpose": "ENCRYPT_DECRYPT" } '@ | Out-File -FilePath request.json -Encoding utf8
Quindi, esegui il seguente comando per inviare la richiesta REST:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys?crypto_key_id=KEY_ID" | Select-Object -Expand Content
Dovresti ricevere una risposta JSON simile alla seguente:
{ "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID", "primary": { "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID/cryptoKeyVersions/1", "state": "ENABLED", "createTime": "2023-03-14T15:52:55.358979323Z", "protectionLevel": "SOFTWARE", "algorithm": "GOOGLE_SYMMETRIC_ENCRYPTION", "generateTime": "2023-03-14T15:52:55.358979323Z" }, "purpose": "ENCRYPT_DECRYPT", "createTime": "2023-03-14T15:52:55.358979323Z", "versionTemplate": { "protectionLevel": "SOFTWARE", "algorithm": "GOOGLE_SYMMETRIC_ENCRYPTION" }, "destroyScheduledDuration": "86400s" }
gcloud
Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
KMS_PROJECT_ID
: il progetto Google Cloud ID per il progetto contenente il keyringLOCATION
: la posizione del portachiavi; utilizza una delle regioni supportateMostra localitàus-central1
us-east1
asia-south1
europe-west1
europe-west2
europe-west4
northamerica-northeast1
southamerica-east1
KEY_RING_ID
: l'identificatore definito dall'utente per la key ringKEY_ID
: un identificatore definito dall'utente per la chiave
Esegui il seguente comando:
Linux, macOS o Cloud Shell
gcloud kms keys create KEY_ID \ --keyring KEY_RING_ID \ --project KMS_PROJECT_ID \ --location LOCATION \ --purpose "encryption"
Windows (PowerShell)
gcloud kms keys create KEY_ID ` --keyring KEY_RING_ID ` --project KMS_PROJECT_ID ` --location LOCATION ` --purpose "encryption"
Windows (cmd.exe)
gcloud kms keys create KEY_ID ^ --keyring KEY_RING_ID ^ --project KMS_PROJECT_ID ^ --location LOCATION ^ --purpose "encryption"
$
Crea un'istanza
Crea un'istanza per la regione specifica in cui devono trovarsi i dati. Questo l'istanza fa riferimento alla chiave di crittografia che hai creato. Per ulteriori informazioni, vedi Chiavi di crittografia gestite dal cliente (CMEK).
Per creare un'istanza, utilizza
projects.locations.instances.create
.
Le seguenti informazioni sono disponibili anche in Crea e gestisci le istanze.)
Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
PROJECT_ID
: l'ID del tuo progetto Google Cloud elencato nelle Impostazioni IAMLOCATION
: la posizione del keyring e l'istanza, usa uno dei regioni supportateMostra localitàus-central1
us-east1
asia-south1
europe-west1
europe-west2
europe-west4
northamerica-northeast1
southamerica-east1
INSTANCE_ID
: un identificatore definito dall'utente per l'istanzaKMS_PROJECT_ID
: il progetto Google Cloud ID per il progetto contenente il keyringKEY_RING_ID
: l'identificatore definito dall'utente per il keyringKEY_ID
: l'identificatore definito dall'utente per la chiave
Corpo JSON della richiesta:
{ "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID" }
Per inviare la richiesta, scegli una delle seguenti opzioni:
curl
Salva il corpo della richiesta in un file denominato request.json
.
Esegui questo comando nel terminale per creare o sovrascrivere
questo file nella directory corrente:
cat > request.json << 'EOF' { "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID" } EOF
Quindi, esegui il seguente comando per inviare la richiesta REST:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/instances?instance_id=INSTANCE_ID"
PowerShell
Salva il corpo della richiesta in un file denominato request.json
.
Esegui questo comando nel terminale per creare o sovrascrivere
questo file nella directory corrente:
@' { "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID" } '@ | Out-File -FilePath request.json -Encoding utf8
Quindi, esegui il seguente comando per inviare la richiesta REST:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/instances?instance_id=INSTANCE_ID" | Select-Object -Expand Content
Dovresti ricevere una risposta JSON simile alla seguente:
{ "name": "projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID", "metadata": { "@type": "type.googleapis.com/google.cloud.financialservices.v1.OperationMetadata", "createTime": "2023-03-14T15:52:55.358979323Z", "target": "projects/PROJECT_ID/locations/LOCATION/instances/INSTANCE_ID", "verb": "create", "requestedCancellation": false, "apiVersion": "v1" }, "done": false }
In caso di esito positivo, il corpo della risposta contiene un operazione a lunga esecuzione che contiene un ID che può essere utilizzato per recuperare lo stato continuo del un'operazione asincrona. Copia il valore restituito OPERATION_ID da usare nei prossimi .
Verifica il risultato
Utilizza la
projects.locations.operations.get
per verificare se l'istanza è stata creata. Se la risposta contiene
"done": false
, ripeti il comando fino a quando la risposta non contiene "done": true
.
Il completamento di queste operazioni può richiedere da pochi minuti a diverse ore.
Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
PROJECT_ID
: il tuo ID progetto Google Cloud elencato in le impostazioni IAMLOCATION
: la località dell'istanza; usa uno dei regioni supportateMostra localitàus-central1
us-east1
asia-south1
europe-west1
europe-west2
europe-west4
northamerica-northeast1
southamerica-east1
OPERATION_ID
: l'identificatore dell'operazione
Per inviare la richiesta, scegli una delle seguenti opzioni:
curl
Esegui questo comando:
curl -X GET \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
"https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID"
PowerShell
Esegui questo comando:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method GET `
-Headers $headers `
-Uri "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID" | Select-Object -Expand Content
Dovresti ricevere una risposta JSON simile alla seguente:
{ "name": "projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID", "metadata": { "@type": "type.googleapis.com/google.cloud.financialservices.v1.OperationMetadata", "createTime": "2023-03-14T15:52:55.358979323Z", "endTime": "2023-03-14T16:52:55.358979323Z", "target": "projects/PROJECT_ID/locations/LOCATION/instances/INSTANCE_ID", "verb": "create", "requestedCancellation": false, "apiVersion": "v1" }, "done": true, "response": { "@type": "type.googleapis.com/google.cloud.financialservices.v1.Instance", "name": "projects/PROJECT_ID/locations/LOCATION/instances/INSTANCE_ID", "createTime": CREATE_TIME, "updateTime": UPDATE_TIME, "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID", "state": "ACTIVE" } }
Concedi l'accesso alla chiave CMEK
L'API crea automaticamente un account di servizio nel progetto. Il service account deve avere accesso alla chiave CMEK per poterla utilizzare per criptare e decriptare i dati sottostanti. Concedi l'accesso alla chiave.
Per PROJECT_NUMBER, usa il numero di progetto associato a PROJECT_ID. Puoi trovare il progetto nella pagina Impostazioni IAM.
gcloud kms keys add-iam-policy-binding "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID" \
--keyring "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID" \
--location "LOCATION" \
--member "serviceAccount:service-PROJECT_NUMBER@gcp-sa-financialservices.iam.gserviceaccount.com" \
--role="roles/cloudkms.cryptoKeyEncrypterDecrypter" \
--project="PROJECT_ID"
Contatta l'assistenza
Ogni volta che crei un'istanza di IA AML, contatta l'assistenza. Includi le seguenti informazioni in modo che il team di prodotto AML AI possa configurare in modo ottimale la tua istanza in base alle tue esigenze:
- ID progetto
- Regione Google Cloud
- ID istanza
- Numero previsto di parti nella tabella Party nei set di dati all'interno di questa istanza
- Numero previsto di transazioni all'anno nella Transazione nei set di dati all'interno di questa istanza
Per richiedere limiti di quota aggiuntivi, consulta Quote.
AML AI rende disponibili più tipi di log, tra cui: log della piattaforma, audit log e log di accesso ai dati. Scopri di più su ogni tipo di logging: