Para usar a IA de AML, crie uma instância. O recurso Instance da AI antilavagem de dinheiro fica na raiz de todos os outros recursos da AI antilavagem de dinheiro. Várias instâncias podem ser criadas na mesma região em um projeto do Google Cloud. As instâncias aderem ao seguinte:
- Cada instância é específica para uma região do Google Cloud, garantindo a residência de dados nesta região.
- Cada instância exige que todos os dados de entrada e saída estejam na mesma região e projeto do Google Cloud.
- Cada instância exige uma única chave de criptografia gerenciada pelo cliente (CMEK) associada, que é usada para criptografar todos os dados criados pela IA de AML.
- Os recursos filhos de uma instância herdam as configurações de localização e de criptografia da instância pai.
- Cada instância oferece suporte ao gerenciamento de acesso personalizado.
A lista de regiões disponíveis do Google Cloud pode ser encontrada na página Locais de IA do AML. É possível mapear uma ou várias áreas geográficas em que você opera para um ou vários locais de IA de AML disponíveis com base nas suas políticas. É necessário criar pelo menos uma instância de IA de AML por local de IA de AML que você usa.
É possível fazer a pontuação de risco para clientes comerciais e de varejo em uma instância de IA de AML. No entanto, crie uma instância separada para fazer uma das seguintes ações:
- Restringir o acesso a diferentes conjuntos de dados de AML para membros diferentes da sua organização
- Usar chaves CMEK diferentes para diferentes conjuntos de dados de AML
Etapas
Para criar um projeto do Google Cloud e ativar a API, consulte Configurar um projeto e as permissões.
Siga estas etapas para criar uma chave CMEK e uma instância de IA de AML.
Criar uma chave de criptografia
Para criar uma chave de criptografia, primeiro crie um keyring e, em seguida, a chave. Para mais informações, consulte Criar chaves de criptografia com o Cloud KMS.
Crie um keyring
Para criar um keyring, use o
método
projects.locations.keyRings.create
.
REST
Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:
KMS_PROJECT_ID
: o ID do projeto do Google Cloud para o projeto que contém o keyringLOCATION
: a localização do keyring. Use uma das regiões compatíveis.Mostrar locaisus-central1
us-east1
asia-south1
europe-west1
europe-west2
europe-west4
northamerica-northeast1
southamerica-east1
australia-southeast1
KEY_RING_ID
: um identificador definido pelo usuário para o keyring
Para enviar a solicitação, escolha uma destas opções:
curl
Execute o seguinte comando:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d "" \
"https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings?key_ring_id=KEY_RING_ID"
PowerShell
Execute o seguinte comando:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-Uri "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings?key_ring_id=KEY_RING_ID" | Select-Object -Expand Content
Você receberá uma resposta JSON semelhante a esta:
{ "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID", "createTime": "2023-03-14T15:52:55.358979323Z" }
gcloud
Antes de usar os dados do comando abaixo, faça estas substituições:
KMS_PROJECT_ID
: o ID do projeto do Google Cloud para o projeto que contém o keyringLOCATION
: a localização do keyring. Use uma das regiões compatíveis.Mostrar locaisus-central1
us-east1
asia-south1
europe-west1
europe-west2
europe-west4
northamerica-northeast1
southamerica-east1
australia-southeast1
KEY_RING_ID
: um identificador definido pelo usuário para o keyring
Execute o seguinte comando:
Linux, macOS ou Cloud Shell
gcloud kms keyrings create KEY_RING_ID \ --project KMS_PROJECT_ID --location LOCATION
Windows (PowerShell)
gcloud kms keyrings create KEY_RING_ID ` --project KMS_PROJECT_ID --location LOCATION
Windows (cmd.exe)
gcloud kms keyrings create KEY_RING_ID ^ --project KMS_PROJECT_ID --location LOCATION
$
Crie uma chave
Para criar uma chave, use o
método
projects.locations.keyRings.cryptoKeys
.
REST
Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:
KMS_PROJECT_ID
: o ID do projeto do Google Cloud para o projeto que contém o keyringLOCATION
: a localização do keyring. Use uma das regiões compatíveisMostrar locaisus-central1
us-east1
asia-south1
europe-west1
europe-west2
europe-west4
northamerica-northeast1
southamerica-east1
australia-southeast1
KEY_RING_ID
: o identificador definido pelo usuário para o keyringKEY_ID
: um identificador definido pelo usuário para a chave
Corpo JSON da solicitação:
{ "purpose": "ENCRYPT_DECRYPT" }
Para enviar a solicitação, escolha uma destas opções:
curl
Salve o corpo da solicitação em um arquivo chamado request.json
.
Execute o comando a seguir no terminal para criar ou substituir
esse arquivo no diretório atual:
cat > request.json << 'EOF' { "purpose": "ENCRYPT_DECRYPT" } EOF
Depois execute o comando a seguir para enviar a solicitação REST:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys?crypto_key_id=KEY_ID"
PowerShell
Salve o corpo da solicitação em um arquivo chamado request.json
.
Execute o comando a seguir no terminal para criar ou substituir
esse arquivo no diretório atual:
@' { "purpose": "ENCRYPT_DECRYPT" } '@ | Out-File -FilePath request.json -Encoding utf8
Depois execute o comando a seguir para enviar a solicitação REST:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys?crypto_key_id=KEY_ID" | Select-Object -Expand Content
Você receberá uma resposta JSON semelhante a esta:
{ "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID", "primary": { "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID/cryptoKeyVersions/1", "state": "ENABLED", "createTime": "2023-03-14T15:52:55.358979323Z", "protectionLevel": "SOFTWARE", "algorithm": "GOOGLE_SYMMETRIC_ENCRYPTION", "generateTime": "2023-03-14T15:52:55.358979323Z" }, "purpose": "ENCRYPT_DECRYPT", "createTime": "2023-03-14T15:52:55.358979323Z", "versionTemplate": { "protectionLevel": "SOFTWARE", "algorithm": "GOOGLE_SYMMETRIC_ENCRYPTION" }, "destroyScheduledDuration": "86400s" }
gcloud
Antes de usar os dados do comando abaixo, faça estas substituições:
KMS_PROJECT_ID
: o ID do projeto do Google Cloud para o projeto que contém o keyringLOCATION
: a localização do keyring. Use uma das regiões compatíveisMostrar locaisus-central1
us-east1
asia-south1
europe-west1
europe-west2
europe-west4
northamerica-northeast1
southamerica-east1
australia-southeast1
KEY_RING_ID
: o identificador definido pelo usuário para o keyringKEY_ID
: um identificador definido pelo usuário para a chave
Execute o seguinte comando:
Linux, macOS ou Cloud Shell
gcloud kms keys create KEY_ID \ --keyring KEY_RING_ID \ --project KMS_PROJECT_ID \ --location LOCATION \ --purpose "encryption"
Windows (PowerShell)
gcloud kms keys create KEY_ID ` --keyring KEY_RING_ID ` --project KMS_PROJECT_ID ` --location LOCATION ` --purpose "encryption"
Windows (cmd.exe)
gcloud kms keys create KEY_ID ^ --keyring KEY_RING_ID ^ --project KMS_PROJECT_ID ^ --location LOCATION ^ --purpose "encryption"
$
Criar uma instância
Crie uma instância para a região específica em que os dados devem residir. Essa instância faz referência à chave de criptografia que você criou. Para mais informações, consulte Chaves de criptografia gerenciadas pelo cliente (CMEK).
Para criar uma instância, use o
método
projects.locations.instances.create
.
As informações a seguir também estão disponíveis em Criar e gerenciar instâncias.
Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:
PROJECT_ID
: o ID do projeto do Google Cloud listado nas Configurações do IAMLOCATION
: o local do chaveiro e da instância. Use uma das regiões compatíveisMostrar locaisus-central1
us-east1
asia-south1
europe-west1
europe-west2
europe-west4
northamerica-northeast1
southamerica-east1
australia-southeast1
INSTANCE_ID
: um identificador definido pelo usuário para a instânciaKMS_PROJECT_ID
: o ID do projeto do Google Cloud para o projeto que contém o keyringKEY_RING_ID
: o identificador definido pelo usuário para o keyringKEY_ID
: o identificador definido pelo usuário para a chave
Corpo JSON da solicitação:
{ "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID" }
Para enviar a solicitação, escolha uma destas opções:
curl
Salve o corpo da solicitação em um arquivo chamado request.json
.
Execute o comando a seguir no terminal para criar ou substituir
esse arquivo no diretório atual:
cat > request.json << 'EOF' { "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID" } EOF
Depois execute o comando a seguir para enviar a solicitação REST:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/instances?instance_id=INSTANCE_ID"
PowerShell
Salve o corpo da solicitação em um arquivo chamado request.json
.
Execute o comando a seguir no terminal para criar ou substituir
esse arquivo no diretório atual:
@' { "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID" } '@ | Out-File -FilePath request.json -Encoding utf8
Depois execute o comando a seguir para enviar a solicitação REST:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/instances?instance_id=INSTANCE_ID" | Select-Object -Expand Content
Você receberá uma resposta JSON semelhante a esta:
{ "name": "projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID", "metadata": { "@type": "type.googleapis.com/google.cloud.financialservices.v1.OperationMetadata", "createTime": "2023-03-14T15:52:55.358979323Z", "target": "projects/PROJECT_ID/locations/LOCATION/instances/INSTANCE_ID", "verb": "create", "requestedCancellation": false, "apiVersion": "v1" }, "done": false }
Se a solicitação for bem-sucedida, o corpo da resposta conterá uma operação de longa duração que contém um ID que pode ser usado para extrair o status em andamento da operação assíncrona. Copie o OPERATION_ID retornado para usar na próxima seção.
Verificar o resultado
Use o método
projects.locations.operations.get
para verificar se a instância foi criada. Se a resposta contiver
"done": false
, repita o comando até que ela contenha "done": true
.
Essas operações podem levar de alguns minutos a várias horas para serem concluídas.
Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:
PROJECT_ID
: o ID do projeto do Google Cloud listado nas Configurações do IAMLOCATION
: o local da instância. Use uma das regiões compatíveis.Mostrar locaisus-central1
us-east1
asia-south1
europe-west1
europe-west2
europe-west4
northamerica-northeast1
southamerica-east1
australia-southeast1
OPERATION_ID
: o identificador da operação
Para enviar a solicitação, escolha uma destas opções:
curl
execute o seguinte comando:
curl -X GET \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
"https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID"
PowerShell
execute o seguinte comando:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method GET `
-Headers $headers `
-Uri "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID" | Select-Object -Expand Content
Você receberá uma resposta JSON semelhante a esta:
{ "name": "projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID", "metadata": { "@type": "type.googleapis.com/google.cloud.financialservices.v1.OperationMetadata", "createTime": "2023-03-14T15:52:55.358979323Z", "endTime": "2023-03-14T16:52:55.358979323Z", "target": "projects/PROJECT_ID/locations/LOCATION/instances/INSTANCE_ID", "verb": "create", "requestedCancellation": false, "apiVersion": "v1" }, "done": true, "response": { "@type": "type.googleapis.com/google.cloud.financialservices.v1.Instance", "name": "projects/PROJECT_ID/locations/LOCATION/instances/INSTANCE_ID", "createTime": CREATE_TIME, "updateTime": UPDATE_TIME, "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID", "state": "ACTIVE" } }
Conceder acesso à chave CMEK
A API cria automaticamente uma conta de serviço no projeto. A conta de serviço precisa ter acesso à chave CMEK para usá-la na criptografia e na descriptografia dos dados. Conceda acesso à chave.
Para PROJECT_NUMBER, use o número do projeto associado a PROJECT_ID. Encontre o número do projeto na página Configurações do IAM.
gcloud kms keys add-iam-policy-binding "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID" \
--keyring "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID" \
--location "LOCATION" \
--member "serviceAccount:service-PROJECT_NUMBER@gcp-sa-financialservices.iam.gserviceaccount.com" \
--role="roles/cloudkms.cryptoKeyEncrypterDecrypter" \
--project="PROJECT_ID"
Entrar em contato com o suporte
Sempre que você criar uma instância de IA de AML, entre em contato com o suporte. Inclua as seguintes informações para que a equipe de produtos de IA de AML possa configurar sua instância da melhor forma possível com base nas suas necessidades:
- ID do projeto
- Região do Google Cloud
- ID da instância
- Número esperado de partes na tabela Party nos conjuntos de dados nesta instância
- Número esperado de transações por ano na tabela Transaction em conjuntos de dados nesta instância
Para solicitar outros limites de cota, consulte Cotas.
A AML AI disponibiliza vários tipos de registros, incluindo registros de plataforma, de auditoria e de acesso a dados. Saiba mais sobre cada tipo de registro: