Предварителни изисквания
Това предполага, че вече сте регистрирали външния си KMS ключ в OpenAI, следвайки едно от тези ръководства
Ключови термини
Ротацията на ключ и отмяната на ключ служат за различни цели. Уверете се, че избирате правилното действие за вашия случай на употреба.
Ротация на ключ: Генерирайте нов криптографски материал за шифроване на нови данни, като същевременно позволявате дешифроване на по-стари данни, шифровани с предишни ключове
Ротацията на ключ не засяга достъпа до данните на OpenAI
Отмяна на ключ: Отменете достъпа до всички данни, шифровани с предишни ключове.
Отмяната на ключ отменя достъпа до данните на OpenAI
Как да проверите дали вашият KMS ключ се използва
Вашият облачен доставчик би трябвало да има регистрационни файлове:
Как да ротирате ключа си
Можете да настроите автоматична ротация на ключове
AWS - https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html
GCP - https://cloud.google.com/kms/docs/rotate-key#automatic
Azure - https://learn.microsoft.com/en-us/azure/key-vault/keys/how-to-configure-key-rotation
За тест: достъпът ви до данните на OpenAI няма да бъде засегнат от тази промяна
Как да отмените ключа си
Има много начини да отмените достъпа на OpenAI до вашия ключ — всяко прекъсване в потока за удостоверяване:
Ако отмените достъпа от ролята на OpenAI до KMS ключа
Ако премахнете разрешенията за шифроване/дешифроване за KMS ключа
Ако използвате псевдоним на AWS ключ (не се препоръчва), ако смените базовия KMS ARN. Това действие понякога се бърка с ротация на ключ, но всъщност е отмяна на ключ, така че не се препоръчва, освен ако не сте сигурни, че искате това.
Ако поискате OpenAI да актуализира KMS ARN, използван за вашето работно пространство в ChatGPT Enterprise
За да валидирате отмяната на ключа си:
Изчакайте един час, за да изтекат всички записи в кеша от страна на OpenAI, след което тествайте отмяната
Ако използвате ChatGPT Enterprise, вече няма да можете да четете предишни разговори, търсенето в разговори няма да показва резултати от предишни разговори и няма да имате достъп до предишни персонализирани GPT.
Ако използвате API, вече няма да можете да изтегляте предишни пакетни файлове, да използвате предишни фино настроени модели или да препращате към предишни отговори, създадени с Responses API.
Ако използвате API, можете също незабавно да тествате дали отмяната на ключа ви е обработена от OpenAI и ще влезе в сила в рамките на един час
Създайте Admin API ключ (не обикновен API ключ):
Получете идентификатора на външния ключ на OpenAI (extkey_xxx), свързан с вашето работно пространство или проект, като извикате curl -X GET -H "Authorization: Bearer $ADMIN_API_KEY" https://api.openai.com/v1/organization/external_keys
Сега извикайте curl -X POST -H "Authorization: Bearer $ADMIN_API_KEY" "https://api.openai.com/v1/organization/external_keys/extkey_xxx/validate"
Най-добри практики при отмяна на ключ
Ако използвате API
Архивирайте API проекта, чиито данни сте направили недостъпни. След това настройте нов KMS ключ и създайте нов API проект, свързан с новия KMS ключ.
Имайте предвид, че не можете да смените KMS ключа, свързан със стария API проект, в който сте извършили отмяната на ключа — трябва да архивирате стария проект. Проект, за който е извършена отмяна на ключ, не трябва да остава в употреба. API улеснява много създаването на нови проекти, затова използвайте тази функция.
Ако използвате ChatGPT Enterprise
Свържете се с поддръжката на OpenAI, след като извършите отмяна на ключ.
Ще работим с вас, за да стартираме ново работно пространство. Няма да използваме повторно старото работно пространство, като се опитваме да го актуализираме да използва нов KMS ключ. Причината е, че когато отмяната на ключ работи по предназначение, предишните данни, шифровани с отменения ключ, стават недостъпни.