Membuat instance AML AI

Untuk menggunakan AI AML, buat instance. Resource Instance AML AI berada di root semua resource AML AI lainnya. Beberapa instance dapat dibuat di region yang sama dalam project Google Cloud . Jika pihak yang sama digunakan dalam instance, Anda dapat membagikan pendaftaran pihak di antara instance untuk mengurangi biaya. Untuk mengetahui informasi selengkapnya, lihat Berbagi pendaftaran pihak untuk beberapa instance. dan Halaman harga.

Instance mematuhi hal berikut:

• Setiap instance khusus untuk Google Cloud region, sehingga memastikan residensi data dalam region Google Cloud .
• Setiap instance memerlukan semua data input dan output berada diGoogle Cloud region dan project yang sama.
• Setiap instance memerlukan satu kunci enkripsi yang dikelola pelanggan (CMEK) terkait yang digunakan untuk mengenkripsi data apa pun yang dibuat oleh AML AI.
• Resource turunan instance mewarisi setelan lokasi dan enkripsi instance induk.
• Setiap instance mendukung pengelolaan akses yang disesuaikan.

Daftar region yang tersedia dapat ditemukan di halaman Lokasi AI AML. Google Cloud Anda dapat memetakan satu (atau beberapa) wilayah geografis tempat Anda beroperasi ke satu (atau beberapa) lokasi AI AML yang tersedia, berdasarkan kebijakan Anda. Anda harus membuat setidaknya satu instance AI AML per lokasi AI AML yang Anda gunakan.

Anda dapat menjalankan penilaian risiko untuk pelanggan komersial dan retail dalam satu instance AI AML. Namun, buat instance terpisah untuk melakukan salah satu hal berikut:

• Membatasi akses ke berbagai set data AML untuk anggota yang berbeda dalam organisasi Anda.
• Gunakan kunci CMEK yang berbeda untuk berbagai set data AML.
• Memisahkan pipeline pemberitahuan AML AI produksi dari pelatihan dan evaluasi model AML AI baru. Untuk mengetahui informasi selengkapnya, lihat Berbagi pendaftaran pihak ketiga untuk beberapa instance.

Langkah

Untuk membuat Google Cloud project dan mengaktifkan API, lihat Menyiapkan project dan izin.

Ikuti langkah-langkah berikut untuk membuat kunci CMEK dan instance AI AML.

Buat kunci enkripsi

Untuk membuat kunci enkripsi, buat key ring terlebih dahulu, lalu kunci itu sendiri. Untuk mengetahui informasi selengkapnya, lihat Membuat kunci enkripsi dengan Cloud KMS.

Membuat key ring

Untuk membuat ring kunci, gunakan metode projects.locations.keyRings.create.

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d "" \
     "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings?key_ring_id=KEY_RING_ID"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -Uri "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings?key_ring_id=KEY_RING_ID" | Select-Object -Expand Content

{
  "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID",
  "createTime": "2023-03-14T15:52:55.358979323Z"
}

gcloud kms keyrings create KEY_RING_ID \
  --project KMS_PROJECT_ID --location LOCATION

gcloud kms keyrings create KEY_RING_ID `
  --project KMS_PROJECT_ID --location LOCATION

gcloud kms keyrings create KEY_RING_ID ^
  --project KMS_PROJECT_ID --location LOCATION

$

Buat kunci

Untuk membuat kunci, gunakan metode projects.locations.keyRings.cryptoKeys.

{
  "purpose": "ENCRYPT_DECRYPT"
}

cat > request.json << 'EOF'
{
  "purpose": "ENCRYPT_DECRYPT"
}
EOF

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys?crypto_key_id=KEY_ID"

@'
{
  "purpose": "ENCRYPT_DECRYPT"
}
'@  | Out-File -FilePath request.json -Encoding utf8

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys?crypto_key_id=KEY_ID" | Select-Object -Expand Content

{
  "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID",
  "primary": {
    "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID/cryptoKeyVersions/1",
    "state": "ENABLED",
    "createTime": "2023-03-14T15:52:55.358979323Z",
    "protectionLevel": "SOFTWARE",
    "algorithm": "GOOGLE_SYMMETRIC_ENCRYPTION",
    "generateTime": "2023-03-14T15:52:55.358979323Z"
  },
  "purpose": "ENCRYPT_DECRYPT",
  "createTime": "2023-03-14T15:52:55.358979323Z",
  "versionTemplate": {
    "protectionLevel": "SOFTWARE",
    "algorithm": "GOOGLE_SYMMETRIC_ENCRYPTION"
  },
  "destroyScheduledDuration": "86400s"
}

gcloud kms keys create KEY_ID \
  --keyring KEY_RING_ID \
  --project KMS_PROJECT_ID \
  --location LOCATION \
  --purpose "encryption"

gcloud kms keys create KEY_ID `
  --keyring KEY_RING_ID `
  --project KMS_PROJECT_ID `
  --location LOCATION `
  --purpose "encryption"

gcloud kms keys create KEY_ID ^
  --keyring KEY_RING_ID ^
  --project KMS_PROJECT_ID ^
  --location LOCATION ^
  --purpose "encryption"

$

Membuat instance

Buat instance untuk region tertentu tempat data harus berada. Instance ini mereferensikan kunci enkripsi yang Anda buat. Untuk informasi selengkapnya, lihat Kunci enkripsi yang dikelola pelanggan (CMEK).

Untuk membuat instance, gunakan metode projects.locations.instances.create.

(Informasi berikut juga tersedia di Membuat dan mengelola instance.)

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

• PROJECT_ID: Project ID Google Cloud Anda yang tercantum di Setelan IAM
• LOCATION: lokasi key ring dan instance; gunakan salah satu region yang didukung
  Tampilkan lokasi
  • us-central1
  • us-east1
  • asia-south1
  • europe-west1
  • europe-west2
  • europe-west4
  • northamerica-northeast1
  • southamerica-east1
  • australia-southeast1
• INSTANCE_ID: ID yang ditentukan pengguna untuk instance
• KMS_PROJECT_ID: ID project Google Cloud project untuk project yang berisi key ring
• KEY_RING_ID: ID yang ditentukan pengguna untuk key ring
• KEY_ID: ID yang ditentukan pengguna untuk kunci

Meminta isi JSON:

{
  "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID"
}

Untuk mengirim permintaan Anda, pilih salah satu opsi berikut:

cat > request.json << 'EOF'
{
  "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID"
}
EOF

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/instances?instance_id=INSTANCE_ID"

@'
{
  "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID"
}
'@  | Out-File -FilePath request.json -Encoding utf8

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/instances?instance_id=INSTANCE_ID" | Select-Object -Expand Content

Anda akan melihat respons JSON seperti berikut:

{
  "name": "projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.financialservices.v1.OperationMetadata",
    "createTime": "2023-03-14T15:52:55.358979323Z",
    "target": "projects/PROJECT_ID/locations/LOCATION/instances/INSTANCE_ID",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v1"
  },
  "done": false
}

Jika berhasil, isi respons akan berisi operasi yang berjalan lama yang berisi ID yang dapat digunakan untuk mengambil status operasi asinkron yang sedang berlangsung. Salin OPERATION_ID yang ditampilkan untuk digunakan di bagian berikutnya.

Memeriksa hasilnya

Gunakan metode projects.locations.operations.get untuk memeriksa apakah instance telah dibuat. Jika respons berisi "done": false, ulangi perintah hingga respons berisi "done": true. Operasi ini dapat memerlukan waktu beberapa menit hingga beberapa jam untuk selesai.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

• PROJECT_ID: Project ID Google Cloud Anda yang tercantum di Setelan IAM
• LOCATION: lokasi instance; gunakan salah satu wilayah yang didukung
  Tampilkan lokasi
  • us-central1
  • us-east1
  • asia-south1
  • europe-west1
  • europe-west2
  • europe-west4
  • northamerica-northeast1
  • southamerica-east1
  • australia-southeast1
• OPERATION_ID: ID untuk operasi

Untuk mengirim permintaan Anda, pilih salah satu opsi berikut:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://financialservices.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID" | Select-Object -Expand Content

Anda akan melihat respons JSON seperti berikut:

{
  "name": "projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.financialservices.v1.OperationMetadata",
    "createTime": "2023-03-14T15:52:55.358979323Z",
    "endTime": "2023-03-14T16:52:55.358979323Z",
    "target": "projects/PROJECT_ID/locations/LOCATION/instances/INSTANCE_ID",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v1"
  },
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.cloud.financialservices.v1.Instance",
    "name": "projects/PROJECT_ID/locations/LOCATION/instances/INSTANCE_ID",
    "createTime": CREATE_TIME,
    "updateTime": UPDATE_TIME,
    "kmsKey": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID",
    "state": "ACTIVE"
  }
}

Memberikan akses ke kunci CMEK

API akan otomatis membuat akun layanan di project Anda. Akun layanan memerlukan akses ke kunci CMEK agar dapat menggunakan kunci tersebut untuk mengenkripsi dan mendekripsi data pokok. Memberikan akses ke kunci.

Untuk PROJECT_NUMBER, gunakan nomor project yang terkait dengan PROJECT_ID. Anda dapat menemukan nomor project di halaman IAM Settings.

gcloud kms keys add-iam-policy-binding "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID" \
  --keyring "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID" \
  --location "LOCATION" \
  --member "serviceAccount:service-PROJECT_NUMBER@gcp-sa-financialservices.iam.gserviceaccount.com" \
  --role="roles/cloudkms.cryptoKeyEncrypterDecrypter" \
  --project="PROJECT_ID"

Hubungi dukungan

Setiap kali Anda membuat instance AML AI, hubungi dukungan. Sertakan informasi berikut agar tim produk AI AML dapat mengonfigurasi instance Anda secara optimal berdasarkan kebutuhan Anda:

• ID Project
• Google Cloud region
• ID instance
• Jumlah pihak yang diharapkan dalam tabel Party dalam set data dalam instance ini
• Perkiraan jumlah transaksi per tahun dalam tabel Transaction di set data dalam instance ini

Untuk meminta batas kuota tambahan, lihat Kuota.

AML AI menyediakan beberapa jenis log, termasuk log platform, log audit, dan log akses data. Pelajari lebih lanjut setiap jenis logging:

• Log platform
• Log audit
• Mengaktifkan log audit Akses Data