Créer une instance d'AML basée sur l'IA

Pour utiliser l'AML basée sur l'IA, créez une instance. L'AML basée sur l'IA La ressource Instance se trouve de toutes les autres ressources AML basée sur l'IA. Plusieurs instances peuvent être sont créés dans la même région au sein d'un projet Google Cloud. Les instances les éléments suivants:

• Chaque instance est spécifique à une région Google Cloud, ce qui garantit la résidence des données dans la région Google Cloud.
• Chaque instance nécessite que toutes les données d'entrée et de sortie se trouvent dans le même Région et projet Google Cloud.
• Chaque instance nécessite une seule clé de chiffrement gérée par le client associée (CMEK), qui permettent de chiffrer toutes les données créées par l'AML basée sur l'IA.
• Les ressources enfants d'une instance héritent de l'emplacement de l'instance parente et des paramètres de chiffrement.
• Chaque instance est compatible avec la gestion personnalisée des accès.

La liste des régions Google Cloud disponibles est disponible dans le Sites d'AML basée sur l'IA . Vous pouvez mapper une (ou plusieurs) zones géographiques dans lesquelles vous opérez à une (ou plusieurs) emplacements disponibles pour l'AML basée sur l'IA, en fonction de vos règles. Toi vous devez créer au moins une instance d'AML basée sur l'IA de l'emplacement que vous utilisez pour l'AML basée sur l'IA.

Vous pouvez évaluer les risques aussi bien pour les clients commerciaux que pour les particuliers Instance AML AI. Cependant, créez une instance distincte l'une des options suivantes:

• Restreindre l'accès à différents ensembles de données AML aux membres disparates au sein de votre organisation
• Utiliser différentes clés CMEK pour différents ensembles de données AML

Étapes

Pour créer un projet Google Cloud et activer l'API, consultez Configurer un projet et des autorisations

Suivez ces étapes pour créer une clé CMEK et une instance d'AML basée sur l'IA.

Créer une clé de chiffrement

Pour créer une clé de chiffrement, commencez par créer un trousseau de clés. puis la clé elle-même. Pour en savoir plus, consultez Créer des clés de chiffrement avec Cloud KMS

Créer un trousseau de clés

Pour créer un trousseau de clés, utilisez la projects.locations.keyRings.create .

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d "" \
     "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings?key_ring_id=KEY_RING_ID"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -Uri "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings?key_ring_id=KEY_RING_ID" | Select-Object -Expand Content

{
  "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID",
  "createTime": "2023-03-14T15:52:55.358979323Z"
}

gcloud kms keyrings create KEY_RING_ID \
  --project KMS_PROJECT_ID --location LOCATION

gcloud kms keyrings create KEY_RING_ID `
  --project KMS_PROJECT_ID --location LOCATION

gcloud kms keyrings create KEY_RING_ID ^
  --project KMS_PROJECT_ID --location LOCATION

$

Créer une clé

Pour créer une clé, utilisez la méthode projects.locations.keyRings.cryptoKeys .

{
  "purpose": "ENCRYPT_DECRYPT"
}

cat > request.json << 'EOF'
{
  "purpose": "ENCRYPT_DECRYPT"
}
EOF

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys?crypto_key_id=KEY_ID"

@'
{
  "purpose": "ENCRYPT_DECRYPT"
}
'@  | Out-File -FilePath request.json -Encoding utf8

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys?crypto_key_id=KEY_ID" | Select-Object -Expand Content

{
  "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID",
  "primary": {
    "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID/cryptoKeyVersions/1",
    "state": "ENABLED",
    "createTime": "2023-03-14T15:52:55.358979323Z",
    "protectionLevel": "SOFTWARE",
    "algorithm": "GOOGLE_SYMMETRIC_ENCRYPTION",
    "generateTime": "2023-03-14T15:52:55.358979323Z"
  },
  "purpose": "ENCRYPT_DECRYPT",
  "createTime": "2023-03-14T15:52:55.358979323Z",
  "versionTemplate": {
    "protectionLevel": "SOFTWARE",
    "algorithm": "GOOGLE_SYMMETRIC_ENCRYPTION"
  },
  "destroyScheduledDuration": "86400s"
}

gcloud kms keys create KEY_ID \
  --keyring KEY_RING_ID \
  --project KMS_PROJECT_ID \
  --location LOCATION \
  --purpose "encryption"

gcloud kms keys create KEY_ID `
  --keyring KEY_RING_ID `
  --project KMS_PROJECT_ID `
  --location LOCATION `
  --purpose "encryption"

gcloud kms keys create KEY_ID ^
  --keyring KEY_RING_ID ^
  --project KMS_PROJECT_ID ^
  --location LOCATION ^
  --purpose "encryption"

$

Créer une instance

Créez une instance pour la région spécifique où doivent résider les données. Ce fait référence à la clé de chiffrement que vous avez créée. Pour en savoir plus, consultez Clés de chiffrement gérées par le client (CMEK).

Pour créer une instance, utilisez la méthode projects.locations.instances.create .

(Les informations suivantes sont également disponibles dans Créer et gérer des instances)

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

• PROJECT_ID : ID de votre projet Google Cloud répertorié dans les paramètres IAM.
• LOCATION: emplacement du trousseau de clés et l'instance ; utilisez l'une des régions où le service est disponible
  Afficher les lieux
  • us-central1
  • us-east1
  • asia-south1
  • europe-west1
  • europe-west2
  • europe-west4
  • northamerica-northeast1
  • southamerica-east1
• INSTANCE_ID: identifiant défini par l'utilisateur pour l'instance
• KMS_PROJECT_ID: projet Google Cloud ID du projet contenant le trousseau de clés
• KEY_RING_ID: identifiant défini par l'utilisateur pour trousseau de clés
• KEY_ID: identifiant défini par l'utilisateur pour la clé

Corps JSON de la requête :

{
  "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID"
}

Pour envoyer votre requête, choisissez l'une des options suivantes :

cat > request.json << 'EOF'
{
  "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID"
}
EOF

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/instances?instance_id=INSTANCE_ID"

@'
{
  "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID"
}
'@  | Out-File -FilePath request.json -Encoding utf8

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/instances?instance_id=INSTANCE_ID" | Select-Object -Expand Content

Vous devriez recevoir une réponse JSON de ce type :

{
  "name": "projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.financialservices.v1.OperationMetadata",
    "createTime": "2023-03-14T15:52:55.358979323Z",
    "target": "projects/PROJECT_ID/locations/LOCATION/instances/INSTANCE_ID",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v1"
  },
  "done": false
}

Si la requête aboutit, le corps de la réponse contient un opération de longue durée contenant un ID permettant de récupérer l'état d'avancement du opération asynchrone. Copiez l'élément renvoyé. OPERATION_ID à utiliser lors des prochaines .

Vérifier le résultat

Utilisez le projects.locations.operations.get pour vérifier si l'instance a été créée. Si la réponse contient "done": false, répétez la commande jusqu'à ce que la réponse contienne "done": true. Ces opérations peuvent prendre de quelques minutes à plusieurs heures.

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

• PROJECT_ID : ID de votre projet Google Cloud répertorié dans les paramètres IAM.
• LOCATION: emplacement de l'instance. utilisez l'une des régions où le service est disponible <ph type="x-smartling-placeholder"></ph>
  Afficher les lieux
  • us-central1
  • us-east1
  • asia-south1
  • europe-west1
  • europe-west2
  • europe-west4
  • northamerica-northeast1
  • southamerica-east1
• OPERATION_ID: identifiant de l'opération.

Pour envoyer votre requête, choisissez l'une des options suivantes :

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID" | Select-Object -Expand Content

Vous devriez recevoir une réponse JSON de ce type :

{
  "name": "projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.financialservices.v1.OperationMetadata",
    "createTime": "2023-03-14T15:52:55.358979323Z",
    "endTime": "2023-03-14T16:52:55.358979323Z",
    "target": "projects/PROJECT_ID/locations/LOCATION/instances/INSTANCE_ID",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v1"
  },
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.cloud.financialservices.v1.Instance",
    "name": "projects/PROJECT_ID/locations/LOCATION/instances/INSTANCE_ID",
    "createTime": CREATE_TIME,
    "updateTime": UPDATE_TIME,
    "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID",
    "state": "ACTIVE"
  }
}

Accorder l'accès à la clé CMEK

L'API crée automatiquement un compte de service dans votre projet. Le service a besoin d'accéder à la clé CMEK pour pouvoir l'utiliser pour chiffrer et déchiffrer les données sous-jacentes. Accordez l'accès à la clé.

Pour PROJECT_NUMBER, utilisez la méthode numéro de projet associé à PROJECT_ID Vous trouverez le projet sur la page Paramètres IAM.

gcloud kms keys add-iam-policy-binding "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID" \
  --keyring "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID" \
  --location "LOCATION" \
  --member "serviceAccount:service-PROJECT_NUMBER@gcp-sa-financialservices.iam.gserviceaccount.com" \
  --role="roles/cloudkms.cryptoKeyEncrypterDecrypter" \
  --project="PROJECT_ID"

Contacter l'assistance

Chaque fois que vous créez une instance d'AML basée sur l'IA, contactez l'assistance. Incluez les informations suivantes afin que l'équipe produit AML basée sur l'IA peut configurer de façon optimale votre instance en fonction de vos besoins:

• ID du projet
• Région Google Cloud
• ID d'instance
• Nombre attendu de parties dans la table Party des ensembles de données dans cette instance
• Nombre de transactions attendu par an dans Transaction table dans les ensembles de données de cette instance

Pour demander des limites de quota supplémentaires, consultez Quotas.

L'AML basée sur l'IA met à disposition plusieurs types de journaux : les journaux de plate-forme, les journaux d'audit et les journaux d'accès aux données. En savoir plus sur chaque type de la journalisation:

• Journaux de plate-forme
• Journaux d'audit
• Activer les journaux d'audit des accès aux données