AML AI-Instanz erstellen

Erstellen Sie eine Instanz, um AML AI zu verwenden. Die AML AI Instanz befindet sich Stamm aller anderen AML AI-Ressourcen. Es können mehrere Instanzen die in derselben Region innerhalb eines Google Cloud-Projekts erstellt wurden. Instanzen halten sich an Folgendes:

  • Jede Instanz ist spezifisch für eine Google Cloud-Region, wodurch der Datenstandort sichergestellt ist innerhalb der Google Cloud-Region.
  • Bei jeder Instanz müssen alle Eingabe- und Ausgabedaten in derselben Google Cloud-Region und -Projekt.
  • Für jede Instanz ist ein einzelner zugeordneter vom Kunden verwalteter Verschlüsselungsschlüssel erforderlich (CMEK), mit dem alle von AML AI erstellten Daten verschlüsselt werden.
  • Die untergeordneten Ressourcen einer Instanz übernehmen den Standort und Verschlüsselungseinstellungen.
  • Jede Instanz unterstützt die benutzerdefinierte Zugriffsverwaltung.

Eine Liste der verfügbaren Google Cloud-Regionen finden Sie auf der AML AI-Standorte Seite. Sie können eine oder mehrere Regionen, in denen Sie tätig sind, einer (oder mehreren) je nach deinen Richtlinien an mehreren) verfügbaren AML AI-Standorten. Ich muss mindestens eine AML AI-Instanz pro den von Ihnen verwendeten AML AI-Standort.

Sie können Risikobewertungen sowohl für Geschäfts- als auch für Einzelhandelskunden in einem AML AI-Instanz. Erstellen Sie jedoch eine separate Instanz, eine der folgenden Optionen:

  • den Zugriff auf verschiedene Sätze von AML-Daten auf unterschiedliche Mitglieder innerhalb von Ihre Organisation
  • Verschiedene CMEK-Schlüssel für verschiedene AML-Daten verwenden

Schritte

Informationen zum Erstellen eines Google Cloud-Projekts und zum Aktivieren der API finden Sie unter Projekt und Berechtigungen einrichten

Führen Sie die folgenden Schritte aus, um einen CMEK-Schlüssel und eine AML AI-Instanz zu erstellen.

Verschlüsselungsschlüssel erstellen

Um einen Verschlüsselungsschlüssel zu erstellen, erstellen Sie zuerst einen Schlüsselbund und und dann den Schlüssel selbst. Weitere Informationen finden Sie unter Verschlüsselungsschlüssel mit Cloud KMS erstellen

Schlüsselbund erstellen

Verwenden Sie zum Erstellen eines Schlüsselbunds die Methode projects.locations.keyRings.create .

REST

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • KMS_PROJECT_ID: das Google Cloud-Projekt ID für das Projekt, das den Schlüsselbund enthält
  • LOCATION: der Speicherort des Schlüsselbunds. verwenden Sie eine der unterstützten Regionen
    Standorte anzeigen
    • us-central1
    • us-east1
    • asia-south1
    • europe-west1
    • europe-west2
    • europe-west4
    • northamerica-northeast1
    • southamerica-east1
  • KEY_RING_ID: eine benutzerdefinierte Kennung für die Schlüsselbund

Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:

curl

Führen Sie folgenden Befehl aus:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d "" \
     "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings?key_ring_id=KEY_RING_ID"

PowerShell

Führen Sie folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -Uri "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings?key_ring_id=KEY_RING_ID" | Select-Object -Expand Content

Sie sollten in etwa folgende JSON-Antwort erhalten:

{
  "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID",
  "createTime": "2023-03-14T15:52:55.358979323Z"
}

gcloud

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • KMS_PROJECT_ID: das Google Cloud-Projekt ID für das Projekt, das den Schlüsselbund enthält
  • LOCATION: der Speicherort des Schlüsselbunds. verwenden Sie eine der unterstützten Regionen
    Standorte anzeigen
    • us-central1
    • us-east1
    • asia-south1
    • europe-west1
    • europe-west2
    • europe-west4
    • northamerica-northeast1
    • southamerica-east1
  • KEY_RING_ID: eine benutzerdefinierte Kennung für die Schlüsselbund

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud kms keyrings create KEY_RING_ID \
  --project KMS_PROJECT_ID --location LOCATION

Windows (PowerShell)

gcloud kms keyrings create KEY_RING_ID `
  --project KMS_PROJECT_ID --location LOCATION

Windows (cmd.exe)

gcloud kms keyrings create KEY_RING_ID ^
  --project KMS_PROJECT_ID --location LOCATION
Sie sollten eine leere Antwort erhalten: 
$

Schlüssel erstellen

Verwenden Sie zum Erstellen eines Schlüssels die Methode projects.locations.keyRings.cryptoKeys .

REST

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • KMS_PROJECT_ID: das Google Cloud-Projekt ID für das Projekt, das den Schlüsselbund enthält
  • LOCATION: der Speicherort des Schlüsselbunds. verwenden Sie eine der unterstützten Regionen
    Standorte anzeigen
    • us-central1
    • us-east1
    • asia-south1
    • europe-west1
    • europe-west2
    • europe-west4
    • northamerica-northeast1
    • southamerica-east1
  • KEY_RING_ID: die benutzerdefinierte Kennung für die Schlüsselbund
  • KEY_ID: eine benutzerdefinierte Kennung für den Schlüssel

JSON-Text der Anfrage:

{
  "purpose": "ENCRYPT_DECRYPT"
}

Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:

curl

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json. Führen Sie folgenden Befehl im Terminal aus, um diese Datei im aktuellen Verzeichnis zu erstellen oder zu überschreiben: 

cat > request.json << 'EOF'
{
  "purpose": "ENCRYPT_DECRYPT"
}
EOF

Führen Sie dann folgenden Befehl aus, um Ihre REST-Anfrage zu senden: 

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys?crypto_key_id=KEY_ID"

PowerShell

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json. Führen Sie folgenden Befehl im Terminal aus, um diese Datei im aktuellen Verzeichnis zu erstellen oder zu überschreiben: 

@'
{
  "purpose": "ENCRYPT_DECRYPT"
}
'@  | Out-File -FilePath request.json -Encoding utf8

Führen Sie dann folgenden Befehl aus, um Ihre REST-Anfrage zu senden: 

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys?crypto_key_id=KEY_ID" | Select-Object -Expand Content

Sie sollten in etwa folgende JSON-Antwort erhalten:

{
  "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID",
  "primary": {
    "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID/cryptoKeyVersions/1",
    "state": "ENABLED",
    "createTime": "2023-03-14T15:52:55.358979323Z",
    "protectionLevel": "SOFTWARE",
    "algorithm": "GOOGLE_SYMMETRIC_ENCRYPTION",
    "generateTime": "2023-03-14T15:52:55.358979323Z"
  },
  "purpose": "ENCRYPT_DECRYPT",
  "createTime": "2023-03-14T15:52:55.358979323Z",
  "versionTemplate": {
    "protectionLevel": "SOFTWARE",
    "algorithm": "GOOGLE_SYMMETRIC_ENCRYPTION"
  },
  "destroyScheduledDuration": "86400s"
}

gcloud

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • KMS_PROJECT_ID: das Google Cloud-Projekt ID für das Projekt, das den Schlüsselbund enthält
  • LOCATION: der Speicherort des Schlüsselbunds. verwenden Sie eine der unterstützten Regionen
    Standorte anzeigen
    • us-central1
    • us-east1
    • asia-south1
    • europe-west1
    • europe-west2
    • europe-west4
    • northamerica-northeast1
    • southamerica-east1
  • KEY_RING_ID: die benutzerdefinierte Kennung für die Schlüsselbund
  • KEY_ID: eine benutzerdefinierte Kennung für den Schlüssel

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud kms keys create KEY_ID \
  --keyring KEY_RING_ID \
  --project KMS_PROJECT_ID \
  --location LOCATION \
  --purpose "encryption"

Windows (PowerShell)

gcloud kms keys create KEY_ID `
  --keyring KEY_RING_ID `
  --project KMS_PROJECT_ID `
  --location LOCATION `
  --purpose "encryption"

Windows (cmd.exe)

gcloud kms keys create KEY_ID ^
  --keyring KEY_RING_ID ^
  --project KMS_PROJECT_ID ^
  --location LOCATION ^
  --purpose "encryption"
Sie sollten eine leere Antwort erhalten: 
$

Instanz erstellen

Erstellen Sie eine Instanz für die spezifische Region, in der sich die Daten befinden sollen. Dieses Instanz auf den von Ihnen erstellten Verschlüsselungsschlüssel verweist. Weitere Informationen finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK):

Verwenden Sie zum Erstellen einer Instanz den projects.locations.instances.create .

(Die folgenden Informationen sind auch verfügbar in Instanzen erstellen und verwalten.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • PROJECT_ID: Ihre Google Cloud-Projekt-ID, die unter IAM-Einstellungen aufgeführt ist
  • LOCATION: der Speicherort des Schlüsselbunds und die Instanz. verwenden Sie eine der unterstützte Regionen
    Standorte anzeigen
    • us-central1
    • us-east1
    • asia-south1
    • europe-west1
    • europe-west2
    • europe-west4
    • northamerica-northeast1
    • southamerica-east1
  • INSTANCE_ID: eine benutzerdefinierte Kennung für die Instanz
  • KMS_PROJECT_ID: das Google Cloud-Projekt ID für das Projekt, das den Schlüsselbund enthält
  • KEY_RING_ID: die benutzerdefinierte Kennung für den Schlüsselbund
  • KEY_ID: die benutzerdefinierte Kennung für den Schlüssel

JSON-Text der Anfrage:

{
  "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID"
}

Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:

curl

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json. Führen Sie folgenden Befehl im Terminal aus, um diese Datei im aktuellen Verzeichnis zu erstellen oder zu überschreiben: 

cat > request.json << 'EOF'
{
  "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID"
}
EOF

Führen Sie dann folgenden Befehl aus, um Ihre REST-Anfrage zu senden: 

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/instances?instance_id=INSTANCE_ID"

PowerShell

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json. Führen Sie folgenden Befehl im Terminal aus, um diese Datei im aktuellen Verzeichnis zu erstellen oder zu überschreiben: 

@'
{
  "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID"
}
'@  | Out-File -FilePath request.json -Encoding utf8

Führen Sie dann folgenden Befehl aus, um Ihre REST-Anfrage zu senden: 

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/instances?instance_id=INSTANCE_ID" | Select-Object -Expand Content

Sie sollten in etwa folgende JSON-Antwort erhalten:

{
  "name": "projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.financialservices.v1.OperationMetadata",
    "createTime": "2023-03-14T15:52:55.358979323Z",
    "target": "projects/PROJECT_ID/locations/LOCATION/instances/INSTANCE_ID",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v1"
  },
  "done": false
}

Wenn der Vorgang erfolgreich ist, enthält der Antworttext ein Vorgang mit langer Ausführungszeit die eine ID enthält, mit der der aktuelle Status der asynchronem Vorgang. Kopieren Sie die zurückgegebene OPERATION_ID zur Verwendung im nächsten .

Ergebnis prüfen

Verwenden Sie die Methode projects.locations.operations.get , um zu prüfen, ob die Instanz erstellt wurde. Wenn die Antwort Folgendes enthält: "done": false, wiederholen Sie den Befehl, bis die Antwort "done": true enthält. Die Ausführung dieser Vorgänge kann von einigen Minuten bis zu mehreren Stunden dauern.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • PROJECT_ID: Ihre Google Cloud-Projekt-ID, die unter IAM-Einstellungen aufgeführt ist
  • LOCATION: Der Standort der Instanz. verwenden Sie eine der unterstützten Regionen
    Standorte anzeigen
    • us-central1
    • us-east1
    • asia-south1
    • europe-west1
    • europe-west2
    • europe-west4
    • northamerica-northeast1
    • southamerica-east1
  • OPERATION_ID: die Kennung für den Vorgang

Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:

curl

Führen Sie folgenden Befehl aus:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID"

PowerShell

Führen Sie folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID" | Select-Object -Expand Content

Sie sollten in etwa folgende JSON-Antwort erhalten:

{
  "name": "projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.financialservices.v1.OperationMetadata",
    "createTime": "2023-03-14T15:52:55.358979323Z",
    "endTime": "2023-03-14T16:52:55.358979323Z",
    "target": "projects/PROJECT_ID/locations/LOCATION/instances/INSTANCE_ID",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v1"
  },
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.cloud.financialservices.v1.Instance",
    "name": "projects/PROJECT_ID/locations/LOCATION/instances/INSTANCE_ID",
    "createTime": CREATE_TIME,
    "updateTime": UPDATE_TIME,
    "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID",
    "state": "ACTIVE"
  }
}

Zugriff auf den CMEK-Schlüssel gewähren

Die API erstellt automatisch ein Dienstkonto in Ihrem Projekt. Dienst Konto benötigt Zugriff auf den CMEK-Schlüssel, damit es ihn zum Verschlüsseln und die zugrunde liegenden Daten zu entschlüsseln. Gewähren Sie Zugriff auf den Schlüssel.

Verwende für PROJECT_NUMBER die Methode Projektnummer, die mit PROJECT_ID. Sie finden das Projekt auf der Seite IAM-Einstellungen.

gcloud kms keys add-iam-policy-binding "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID" \
  --keyring "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID" \
  --location "LOCATION" \
  --member "serviceAccount:service-PROJECT_NUMBER@gcp-sa-financialservices.iam.gserviceaccount.com" \
  --role="roles/cloudkms.cryptoKeyEncrypterDecrypter" \
  --project="PROJECT_ID"

Support kontaktieren

Jedes Mal, wenn Sie eine AML AI-Instanz erstellen, wenden Sie sich bitte an den Support. Geben Sie die folgenden Informationen an, kann das AML AI-Produktteam Ihre Instanz optimal konfigurieren ganz nach Ihren Bedürfnissen:

  • Projekt-ID
  • Google Cloud-Region
  • Instanz-ID
  • Erwartete Anzahl von Parteien in der Tabelle Party in Datasets in dieser Instanz
  • Erwartete Anzahl der Transaktionen pro Jahr in der Spalte Transaction (Transaktion) Tabelle in Datasets innerhalb dieser Instanz

Informationen zum Anfordern zusätzlicher Kontingentlimits finden Sie unter Kontingente:

Mit AML AI stehen mehrere Arten von Logs zur Verfügung, darunter: Plattformlogs, Audit-Logs und Datenzugriffslogs. Weitere Informationen zu den einzelnen Typen des Loggings: