Membuat instance AML AI

Untuk menggunakan AML AI, buat instance. Resource Instance AML AI berada di root semua resource AML AI lainnya. Beberapa instance dapat dibuat di region yang sama dalam project Google Cloud. Instance mematuhi hal berikut:

• Setiap instance dikhususkan untuk region Google Cloud, sehingga memastikan residensi data dalam region Google Cloud.
• Setiap instance mengharuskan semua data input dan output ada di region dan project Google Cloud yang sama.
• Setiap instance memerlukan satu kunci enkripsi yang dikelola pelanggan (CMEK) terkait yang digunakan untuk mengenkripsi data apa pun yang dibuat oleh AML AI.
• Resource turunan instance mewarisi setelan enkripsi dan lokasi instance induk.
• Setiap instance mendukung pengelolaan akses yang disesuaikan.

Daftar region Google Cloud yang tersedia dapat ditemukan di halaman lokasi AML AI. Anda dapat memetakan satu (atau beberapa) wilayah geografis tempat Anda beroperasi ke satu (atau beberapa) lokasi AML AI yang tersedia, berdasarkan kebijakan Anda. Anda harus membuat setidaknya satu instance AML AI per lokasi AML AI yang digunakan.

Anda dapat menjalankan penilaian risiko untuk pelanggan komersial dan retail dalam satu instance AML AI. Namun, buat instance terpisah untuk melakukan salah satu tindakan berikut:

• Membatasi akses ke berbagai kumpulan data AML untuk memisahkan anggota dalam organisasi Anda
• Menggunakan kunci CMEK yang berbeda untuk set data AML yang berbeda

Langkah

Untuk membuat project Google Cloud dan mengaktifkan API, lihat artikel Menyiapkan project dan izin.

Ikuti langkah-langkah berikut untuk membuat kunci CMEK dan instance AML AI.

Buat kunci enkripsi

Untuk membuat kunci enkripsi, pertama-tama buat key ring, lalu kunci itu sendiri. Untuk mengetahui informasi selengkapnya, lihat Membuat kunci enkripsi dengan Cloud KMS.

Membuat key ring

Untuk membuat key ring, gunakan metode projects.locations.keyRings.create.

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d "" \
     "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings?key_ring_id=KEY_RING_ID"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -Uri "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings?key_ring_id=KEY_RING_ID" | Select-Object -Expand Content

{
  "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID",
  "createTime": CREATE_TIME
}

gcloud kms keyrings create KEY_RING_ID \
  --location LOCATION

gcloud kms keyrings create KEY_RING_ID `
  --location LOCATION

gcloud kms keyrings create KEY_RING_ID ^
  --location LOCATION

$

Buat kunci

Untuk membuat kunci, gunakan metode projects.locations.keyRings.cryptoKeys.

{
  "purpose": "ENCRYPT_DECRYPT"
}

cat > request.json << 'EOF'
{
  "purpose": "ENCRYPT_DECRYPT"
}
EOF

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys?crypto_key_id=KEY_ID"

@'
{
  "purpose": "ENCRYPT_DECRYPT"
}
'@  | Out-File -FilePath request.json -Encoding utf8

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys?crypto_key_id=KEY_ID" | Select-Object -Expand Content

{
  "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID",
  "primary": {
    "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID/cryptoKeyVersions/1",
    "state": "ENABLED",
    "createTime": CREATE_TIME,
    "protectionLevel": "SOFTWARE",
    "algorithm": "GOOGLE_SYMMETRIC_ENCRYPTION",
    "generateTime": GENERATE_TIME
  },
  "purpose": "ENCRYPT_DECRYPT",
  "createTime": CREATE_TIME,
  "versionTemplate": {
    "protectionLevel": "SOFTWARE",
    "algorithm": "GOOGLE_SYMMETRIC_ENCRYPTION"
  },
  "destroyScheduledDuration": "86400s"
}

gcloud kms keys create KEY_ID \
  --keyring KEY_RING_ID \
  --location LOCATION \
  --purpose "encryption"

gcloud kms keys create KEY_ID `
  --keyring KEY_RING_ID `
  --location LOCATION `
  --purpose "encryption"

gcloud kms keys create KEY_ID ^
  --keyring KEY_RING_ID ^
  --location LOCATION ^
  --purpose "encryption"

$

Membuat instance

Buat instance untuk region spesifik tempat data seharusnya berada. Instance ini merujuk ke kunci enkripsi yang Anda buat. Untuk informasi selengkapnya, lihat Kunci enkripsi yang dikelola pelanggan (CMEK).

Untuk membuat instance, gunakan metode projects.locations.instances.create.

(Informasi berikut juga tersedia di bagian Membuat dan mengelola instance.)

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

• PROJECT_ID: project ID Google Cloud Anda yang tercantum di Setelan IAM
• LOCATION: lokasi key ring dan instance; gunakan salah satu region yang didukung:
  • us-central1
  • us-east1
  • asia-south1
  • europe-west1
  • europe-west2
  • europe-west4
  • northamerica-northeast1
  • southamerica-east1
• INSTANCE_ID: ID yang ditentukan pengguna untuk instance
• KMS_PROJECT_ID: ID project Google Cloud untuk project yang berisi key ring
• KEY_RING_ID: ID yang ditentukan pengguna untuk key ring
• KEY_ID: ID yang ditentukan pengguna untuk kunci

Meminta isi JSON:

{
  "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID"
}

Untuk mengirim permintaan Anda, pilih salah satu opsi berikut:

cat > request.json << 'EOF'
{
  "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID"
}
EOF

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/instances?instance_id=INSTANCE_ID"

@'
{
  "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID"
}
'@  | Out-File -FilePath request.json -Encoding utf8

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/instances?instance_id=INSTANCE_ID" | Select-Object -Expand Content

Anda akan melihat respons JSON seperti berikut:

{
  "name": "projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.financialservices.v1.OperationMetadata",
    "createTime": CREATE_TIME,
    "target": "projects/PROJECT_ID/locations/LOCATION/instances/INSTANCE_ID",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v1"
  },
  "done": false
}

Jika berhasil, isi respons akan memuat operasi yang berjalan lama dan berisi ID yang dapat digunakan untuk mengambil status operasi asinkron yang sedang berlangsung. Salin OPERATION_ID yang ditampilkan untuk digunakan di bagian berikutnya.

Memeriksa hasilnya

Gunakan metode projects.locations.operations.get untuk memeriksa apakah instance telah dibuat. Jika respons berisi "done": false, ulangi perintah hingga respons berisi "done": true. Operasi ini bisa memakan waktu beberapa menit hingga beberapa jam.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

• PROJECT_ID: project ID Google Cloud Anda yang tercantum di Setelan IAM
• LOCATION: lokasi instance; gunakan salah satu region yang didukung:
  • us-central1
  • us-east1
  • asia-south1
  • europe-west1
  • europe-west2
  • europe-west4
  • northamerica-northeast1
  • southamerica-east1
• OPERATION_ID: ID untuk operasi

Untuk mengirim permintaan Anda, pilih salah satu opsi berikut:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID" | Select-Object -Expand Content

Anda akan melihat respons JSON seperti berikut:

{
  "name": "projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.financialservices.v1.OperationMetadata",
    "createTime": CREATE_TIME,
    "endTime": END_TIME,
    "target": "projects/PROJECT_ID/locations/LOCATION/instances/INSTANCE_ID",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v1"
  },
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.cloud.financialservices.v1.Instance",
    "name": "projects/PROJECT_ID/locations/LOCATION/instances/INSTANCE_ID",
    "createTime": CREATE_TIME,
    "updateTime": UPDATE_TIME,
    "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID",
    "state": "ACTIVE"
  }
}

Memberikan akses ke kunci CMEK

API akan otomatis membuat akun layanan di project Anda. Akun layanan memerlukan akses ke kunci CMEK agar dapat menggunakan kunci tersebut untuk mengenkripsi dan mendekripsi data pokok. Berikan akses ke kunci.

Untuk PROJECT_NUMBER, gunakan nomor project yang terkait dengan PROJECT_ID. Anda dapat menemukan nomor project di halaman IAM Settings.

gcloud kms keys add-iam-policy-binding "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID" \
  --keyring "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID" \
  --location "LOCATION" \
  --member "serviceAccount:service-PROJECT_NUMBER@gcp-sa-financialservices.iam.gserviceaccount.com" \
  --role="roles/cloudkms.cryptoKeyEncrypterDecrypter" \
  --project="PROJECT_ID"

Hubungi dukungan

Setiap kali Anda membuat instance AML AI, hubungi dukungan. Sertakan informasi berikut agar tim produk AML AI dapat mengonfigurasi instance secara optimal berdasarkan kebutuhan Anda:

• Project ID
• Region Google Cloud
• ID instance
• Perkiraan jumlah pihak dalam tabel Party di set data dalam instance ini
• Perkiraan jumlah transaksi per tahun dalam tabel Transaction di set data dalam instance ini

Untuk meminta batas kuota tambahan, lihat Kuota.

AML AI menyediakan beberapa jenis log, termasuk log platform, log audit, dan log akses data. Pelajari setiap jenis logging lebih lanjut:

• Log platform
• Log audit
• Mengaktifkan log audit Akses Data