Předpoklady

Předpokládá se, že jste svůj externí klíč KMS již zaregistrovali u OpenAI podle některé z těchto příruček

• Pokyny k integraci OpenAI / AWS EKM

• Pokyny k integraci OpenAI / GCP EKM

• Pokyny k integraci OpenAI / Azure EKM

Klíčové pojmy

Rotace klíčů a odvolání klíčů slouží různým účelům. Ujistěte se, že jste pro svůj případ použití zvolili správnou akci.

• Rotace klíčů: Vygenerování nového kryptografického materiálu pro šifrování nových dat, přičemž zůstane možné dešifrovat starší data zašifrovaná předchozími klíči

  • Rotace klíčů nemá vliv na přístup k datům OpenAI

• Odvolání klíče: Odvolání přístupu ke všem datům zašifrovaným předchozími klíči.

  • Odvolání klíče odvolá přístup k datům OpenAI

Jak ověřit, že se váš klíč KMS používá

Váš poskytovatel cloudu by měl mít protokoly:

• AWS – https://docs.aws.amazon.com/kms/latest/developerguide/security-logging-monitoring.html

• GCP – https://cloud.google.com/kms/docs/audit-logging

• Azure – https://learn.microsoft.com/en-us/azure/key-vault/general/howto-logging

Jak rotovat klíč

Můžete nastavit automatickou rotaci klíčů

• AWS – https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html

• GCP – https://cloud.google.com/kms/docs/rotate-key#automatic

• Azure – https://learn.microsoft.com/en-us/azure/key-vault/keys/how-to-configure-key-rotation

Testování: váš přístup k datům OpenAI nebude touto změnou ovlivněn

Jak odvolat klíč

Existuje mnoho způsobů, jak OpenAI odebrat přístup k vašemu klíči – jakékoli narušení toku ověřování:

• Pokud odeberete přístup role OpenAI ke klíči KMS

• Pokud odeberete oprávnění k šifrování/dešifrování u klíče KMS

• Pokud používáte alias klíče AWS (nedoporučuje se) a přepnete podkladový KMS ARN. Tato akce se někdy zaměňuje s rotací klíče, ale ve skutečnosti jde o odvolání klíče, proto se nedoporučuje, pokud si nejste jisti, že ji chcete provést.

• Pokud požádáte OpenAI o aktualizaci KMS ARN používaného pro váš pracovní prostor ChatGPT Enterprise

Ověření odvolání klíče:

• Počkejte jednu hodinu, než na straně OpenAI vyprší platnost všech položek mezipaměti, a poté odvolání otestujte

  • Pokud používáte ChatGPT Enterprise, nebudete již moci číst předchozí konverzace, vyhledávání konverzací nezobrazí výsledky z předchozích konverzací a nebudete mít přístup k předchozím vlastním GPT.

  • Pokud používáte API, nebudete již moci stahovat předchozí dávkové soubory, používat předchozí doladěné modely ani odkazovat na předchozí odpovědi vytvořené pomocí Responses API.

• Pokud používáte API, můžete také okamžitě otestovat, že vaše odvolání klíče bylo zpracováno službou OpenAI a projeví se do jedné hodiny

  • Vytvořte klíč Admin API (nikoli běžný klíč API):

  • Získejte ID externího klíče OpenAI (extkey_xxx) přidruženého k vašemu pracovnímu prostoru nebo projektu zavoláním curl -X GET -H "Authorization: Bearer $ADMIN_API_KEY" https://api.openai.com/v1/organization/external_keys

  • Nyní zavolejte curl -X POST -H "Authorization: Bearer $ADMIN_API_KEY" "https://api.openai.com/v1/organization/external_keys/extkey_xxx/validate"

Osvědčené postupy při odvolání klíče

Pokud používáte API

• Archivujte projekt API, jehož data jste zpřístupnili jako nedostupná. Poté nastavte nový klíč KMS a vytvořte nový projekt API přidružený k novému klíči KMS.

• Upozorňujeme, že klíč KMS přidružený ke starému projektu API, u kterého jste provedli odvolání klíče, nelze vyměnit – starý projekt musíte archivovat. Projekt, u kterého bylo vydáno odvolání klíče, by se neměl dále používat. API velmi usnadňuje vytváření nových projektů, proto tuto funkci využijte.

Pokud používáte ChatGPT Enterprise

• Po provedení odvolání klíče kontaktujte podporu OpenAI.

• Budeme s vámi spolupracovat na spuštění nového pracovního prostoru. Starý pracovní prostor znovu nepoužijeme tím, že bychom se ho pokusili aktualizovat pro použití nového klíče KMS. Je to proto, že když odvolání klíče funguje podle návrhu, předchozí data zašifrovaná odvolaným klíčem se stanou nedostupnými.