Přehled

Enterprise Key Management (EKM) umožňuje OpenAI šifrovat data pomocí hlavního klíče, který spravujete. Aby OpenAI mohla ve vašem Key Vault volat operace šifrování/dešifrování, bude nám muset být udělen přístup. Tento dokument ukazuje, jak nastavit účet Azure, aby OpenAI mohla převzít roli s oprávněními pro Key Vault.

Azure EKM flow where OpenAI EKM uses Microsoft Entra ID to access your Key Vault and master KEK

Kroky

1. Vytvořte ve svém účtu instanční objekt služby pro OpenAI

Získejte přístupový token

az account get-access-token --resource https://graph.microsoft.com
--tenant YOUR_TENANT_ID

Vytvořte instanční objekt služby – hodnota appId v níže uvedeném požadavku je ID klienta aplikace OpenAI. Tím se vytvoří instanční objekt se zobrazovaným názvem „EKM - OpenAI Azure“ – zapamatujte si ho pro další kroky.

Pokyny k integraci OpenAI / Azure EKM – vytvoření instančního objektu služby

curl -X POST https://graph.microsoft.com/v1.0/servicePrincipals \
-H "Authorization: Bearer $TOKEN_FROM_ABOVE" \
-H "Content-Type: application/json" \
–d '{"appId": "20a14814-5ab7-4612-a671-1382b412bf93"}'

2. Vytvořte vlastní roli pro omezený přístup ke KMS

Přejděte do Předplatná -> Řízení přístupu (IAM)
V rozevírací nabídce + Přidat vyberte Přidat vlastní roli
Přejděte na kartu JSON, klikněte na Upravit a přidejte následující:
1. Libovolný název role – zapamatujte si vybraný název
2. Následující oprávnění v dataActions:
  1. Microsoft.KeyVault/vaults/keys/encrypt/action
  2. Microsoft.KeyVault/vaults/keys/decrypt/action
  3. Microsoft.KeyVault/vaults/keys/read

OpenAI / Azure EKM Integration Instructions Custom Role

3. Vytvořte Key Vault + klíč

Pokud ho ještě nemáte, vytvořte nový Key Vault ve stejném předplatném, ve kterém jste právě vytvořili vlastní roli.

V tomto Key Vault vytvořte nový klíč:

Přejděte do Key Vault -> Objekty -> Klíče a klikněte na Generovat/importovat
V části Možnosti vyberte Generovat

Azure Key Vault Keys page with Generate/Import highlighted to add a key

Vyberte RSA jako šifrovací algoritmus.
Můžete vybrat libovolnou velikost klíče RSA
Zadejte název klíče v následujícím formátu: <org-xxx>--<any_name>, kde org-xxx je ID vaší organizace OpenAI, které najdete na https://platform.openai.com/settings/organization/general

Azure Key Vault key generation form with RSA selected and key name org-abcdefg--test-keyvault-key

Pokud nemůžete zobrazit nebo vytvořit klíč, ujistěte se, že máte roli Správce Key Vault. Je to potřeba, i když máte roli Vlastník. Přiřazení role:

Přejděte do Key Vault -> Řízení přístupu (IAM)
Klikněte na Přidat -> Přidat přiřazení role

Azure Key Vault Access control (IAM) page with Add menu open to Add role assignment

4. Vytvořte přiřazení role pro instanční objekt služby OpenAI + nový vlastní KMS + nový klíč

Přejděte do Key Vault -> Objekty -> Klíče a klikněte na řádek klíče, který jste vytvořili
Přejděte do části Řízení přístupu (IAM) pro klíč, na který jste právě klikli (ne pro váš trezor klíčů).
V rozevírací nabídce + Přidat vyberte Přidat přiřazení role

Na kartě Role vyberte název vlastní role, kterou jste právě vytvořili.

Azure role list filtered for openai- with the openai-azure-kms-role entry

Na kartě Členové:
1. Klikněte na „+ Vybrat členy“
2. Do vyhledávacího pole zadejte „ekm -“; poté by se měl načíst instanční objekt služby OpenAI, který jste vytvořili v kroku 1

Azure role assignment Members step with EKM - OpenAI Azure Application selected as a member

5. Použijte jakákoli další omezení v souladu s vašimi vlastními bezpečnostními postupy

Výše jsou uvedeny minimální požadované informace, které OpenAI potřebuje k nastavení EKM. Můžete použít další zásady klíčů nebo omezení v souladu s vlastními interními bezpečnostními postupy, pokud OpenAI bude moci na vašem KMS volat operace šifrování a dešifrování. Až zavoláte koncový bod pro registraci klíče u OpenAI, který je popsán níže, ověříme vaše nastavení.

Po dokončení výše uvedených kroků

ChatGPT Enterprise

Obraťte se prosím na svůj kontakt v OpenAI a sdělte mu následující údaje:

"tenant_id": "<YOUR_AZURE_TENANT_UUID>"

"vault_uri": "https://<YOUR_KEYVAULT_NAME>.vault.azure.net/"

"key_name": "<YOUR_KEY_NAME>"

Název hlavního klíče Azure Key Vault, který spravujete
Název klíče musí mít tvar <org-xxx>--<any_name>, kde org-xxx je ID vaší organizace OpenAI, které najdete na https://platform.openai.com/settings/organization/general

Povolíme EKM pro vaši organizaci / pracovní prostor ChatGPT.

API

Zaregistrujte svůj externí klíč u OpenAI

Postupujte podle pokynů v této referenci API Externí klíče v Management API

Nejprve zaregistrujte svůj externí klíč na úrovni organizace OpenAI; tím se vygeneruje ID externího klíče ve tvaru extkey_xxx
V tomto kroku ověříme, že váš vstup je platný a že se můžeme ověřit vůči vašemu KMS.
Tím se do vašeho projektu OpenAI zatím EKM nepřidá.

# This generates an external key ID of the form extkey_xxx
curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/external_keys" \
-d '{
  "type": "azure",
  "name": "<ANY_FRIENDLY_NAME>",
  "tenant_id": "<YOUR_AZURE_TENANT_UUID>",
  "vault_uri": "https://<YOUR_KEYVAULT_NAME>.vault.azure.net/",
  "key_name": "<YOUR_KEY_NAME>"
}'

Poté vytvořte projekt OpenAI přidružený k externímu klíči. Poté bude pro váš projekt aktivováno EKM.
Tělo odpovědi tohoto volání API vám poskytne ID projektu (proj_xxx)

curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/projects" \
-d '{
   "name": "Some Project",
   "external_key_id": "extkey_xxxx"
}'

Pokyny k integraci OpenAI / Azure EKM