Criar uma instância de IA do AML

Para usar a IA do AML, crie uma instância. O recurso Instância da AML AI está localizado na raiz de todos os outros recursos de IA do AML. Várias instâncias podem ser criadas na mesma região em um projeto do Google Cloud. As instâncias aderem ao seguinte:

• Cada instância é específica para uma região do Google Cloud, garantindo a residência dos dados dentro dela.
• Cada instância requer que todos os dados de entrada e saída existam na mesma região e projeto do Google Cloud.
• Cada instância requer uma única chave de criptografia gerenciada pelo cliente (CMEK, na sigla em inglês) associada que é usada para criptografar todos os dados criados pela IA do AML.
• Os recursos filhos de uma instância herdam o local e as configurações de criptografia da instância pai.
• Cada instância é compatível com o gerenciamento de acesso personalizado.

A lista de regiões disponíveis do Google Cloud pode ser encontrada na página Locais da IA do AML. É possível mapear uma (ou várias) regiões geográficas em que você opera para um (ou vários) locais disponíveis da AML AI, com base nas suas políticas. É necessário criar pelo menos uma instância da AML AI por local da AML AI que você usar.

É possível executar a pontuação de risco para clientes comerciais e de varejo em uma instância de IA do AML. No entanto, crie uma instância separada para realizar um dos seguintes procedimentos:

• Restringir o acesso a diferentes conjuntos de dados de AML para membros diferentes dentro de sua organização
• Usar diferentes chaves CMEK para conjuntos distintos de dados de AML

Etapas

Para criar um projeto do Google Cloud e ativar a API, consulte Configurar um projeto e as permissões.

Siga estas etapas para criar uma chave CMEK e uma instância de IA AML.

Criar uma chave de criptografia

Para criar uma chave de criptografia, primeiro crie um keyring e depois a própria chave. Para mais informações, consulte Criar chaves de criptografia com o Cloud KMS.

Crie um keyring

Para criar um keyring, use o método projects.locations.keyRings.create.

curl -X POST \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json; charset=utf-8" \
    -d "" \
    "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings?key_ring_id=KEY_RING_ID"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -Uri "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings?key_ring_id=KEY_RING_ID" | Select-Object -Expand Content

{
  "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID",
  "createTime": CREATE_TIME
}

gcloud kms keyrings create KEY_RING_ID \
  --location LOCATION

gcloud kms keyrings create KEY_RING_ID `
  --location LOCATION

gcloud kms keyrings create KEY_RING_ID ^
  --location LOCATION

$

Criar uma chave

Para criar uma chave, use o método projects.locations.keyRings.cryptoKeys.

{
  "purpose": "ENCRYPT_DECRYPT"
}

cat > request.json << 'EOF'
{
  "purpose": "ENCRYPT_DECRYPT"
}
EOF

curl -X POST \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json; charset=utf-8" \
    -d @request.json \
    "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys?crypto_key_id=KEY_ID"

@'
{
  "purpose": "ENCRYPT_DECRYPT"
}
'@  | Out-File -FilePath request.json -Encoding utf8

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys?crypto_key_id=KEY_ID" | Select-Object -Expand Content

{
  "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID",
  "primary": {
    "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID/cryptoKeyVersions/1",
    "state": "ENABLED",
    "createTime": CREATE_TIME,
    "protectionLevel": "SOFTWARE",
    "algorithm": "GOOGLE_SYMMETRIC_ENCRYPTION",
    "generateTime": GENERATE_TIME
  },
  "purpose": "ENCRYPT_DECRYPT",
  "createTime": CREATE_TIME,
  "versionTemplate": {
    "protectionLevel": "SOFTWARE",
    "algorithm": "GOOGLE_SYMMETRIC_ENCRYPTION"
  },
  "destroyScheduledDuration": "86400s"
}

gcloud kms keys create KEY_ID \
  --keyring KEY_RING_ID \
  --location LOCATION \
  --purpose "encryption"

gcloud kms keys create KEY_ID `
  --keyring KEY_RING_ID `
  --location LOCATION `
  --purpose "encryption"

gcloud kms keys create KEY_ID ^
  --keyring KEY_RING_ID ^
  --location LOCATION ^
  --purpose "encryption"

$

Criar uma instância

Crie uma instância para a região específica em que os dados devem residir. Essa instância faz referência à chave de criptografia que você criou. Para mais informações, consulte Chaves de criptografia gerenciadas pelo cliente (CMEK).

Para criar uma instância, use o método projects.locations.instances.create.

As informações a seguir também estão disponíveis em Criar e gerenciar instâncias.

Antes de usar os dados da solicitação, faça as substituições a seguir:

• PROJECT_ID: o ID do projeto do Google Cloud listado nas Configurações do IAM
• LOCATION: o local do keyring e da instância. Use uma das regiões compatíveis:
  • us-central1
  • us-east1
  • europe-west1
  • europe-west2
  • europe-west4
  • southamerica-east1
• INSTANCE_ID: um identificador definido pelo usuário para a instância.
• KMS_PROJECT_ID: o ID do projeto do Google Cloud para o projeto que contém o keyring
• KEY_RING_ID: o identificador definido pelo usuário para o keyring
• KEY_ID: o identificador definido pelo usuário para a chave

Solicitar corpo JSON:

{
  "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID"
}

Para enviar a solicitação, expanda uma destas opções:

cat > request.json << 'EOF'
{
  "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID"
}
EOF

curl -X POST \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json; charset=utf-8" \
    -d @request.json \
    "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/instances?instance_id=INSTANCE_ID"

@'
{
  "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID"
}
'@  | Out-File -FilePath request.json -Encoding utf8

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/instances?instance_id=INSTANCE_ID" | Select-Object -Expand Content

Você receberá uma resposta JSON semelhante a esta:

{
  "name": "projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.financialservices.v1.OperationMetadata",
    "createTime": CREATE_TIME,
    "target": "projects/PROJECT_ID/locations/LOCATION/instances/INSTANCE_ID",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v1"
  },
  "done": false
}

Se bem-sucedido, o corpo da resposta incluirá uma operação de longa duração com um ID que pode ser usado para recuperar o status contínuo da operação assíncrona. Copie o OPERATION_ID retornado para usar na próxima seção.

Conferir o resultado

Use o método projects.locations.operations.get para verificar se a instância foi criada. Se a resposta contiver "done": false, repita o comando até que a resposta contenha "done": true. Essas operações podem levar de alguns minutos a várias horas para serem concluídas.

Antes de usar os dados da solicitação, faça as substituições a seguir:

• PROJECT_ID: o ID do projeto do Google Cloud listado nas Configurações do IAM
• LOCATION: o local da instância. Use uma das regiões compatíveis:
  • us-central1
  • us-east1
  • europe-west1
  • europe-west2
  • europe-west4
  • southamerica-east1
• OPERATION_ID: o identificador da operação.

Para enviar a solicitação, expanda uma destas opções:

curl -X GET \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID" | Select-Object -Expand Content

Você receberá uma resposta JSON semelhante a esta:

{
  "name": "projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.financialservices.v1.OperationMetadata",
    "createTime": CREATE_TIME,
    "endTime": END_TIME,
    "target": "projects/PROJECT_ID/locations/LOCATION/instances/INSTANCE_ID",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v1"
  },
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.cloud.financialservices.v1.Instance",
    "name": "projects/PROJECT_ID/locations/LOCATION/instances/INSTANCE_ID",
    "createTime": CREATE_TIME,
    "updateTime": UPDATE_TIME,
    "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID",
    "state": "ACTIVE"
  }
}

Conceder acesso à chave de CMEK

A API cria automaticamente uma conta de serviço no projeto. A conta de serviço precisa acessar a chave de CMEK para que possa usar a chave para criptografar e descriptografar os dados subjacentes. Conceda acesso à chave.

Para PROJECT_NUMBER, use o número do projeto associado a PROJECT_ID. Encontre o número do projeto na página Configurações do IAM.

gcloud kms keys add-iam-policy-binding "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID" \
  --keyring "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID" \
  --location "LOCATION" \
  --member "serviceAccount:service-PROJECT_NUMBER@gcp-sa-financialservices.iam.gserviceaccount.com" \
  --role="roles/cloudkms.cryptoKeyEncrypterDecrypter" \
  --project="PROJECT_ID"

Entrar em contato com o suporte

Sempre que você criar uma instância de IA do AML, entre em contato com o suporte. Inclua as informações a seguir para que a equipe de produto de IA do AML possa configurar sua instância da maneira ideal com base nas suas necessidades:

• ID do projeto
• Região do Google Cloud
• ID da instância
• Número esperado de partes na tabela Party em conjuntos de dados nesta instância
• Número esperado de transações por ano na tabela Transação nos conjuntos de dados desta instância

Para solicitar limites de cota adicionais, consulte Cotas.

O AML AI disponibiliza vários tipos de registros, incluindo registros de plataforma, de auditoria e de acesso a dados. Saiba mais sobre cada tipo de geração de registros:

• Registros da plataforma
• Registros de auditoria
• Ativar registros de auditoria de acesso a dados