Předpoklady
Tento postup předpokládá, že jste už svůj externí klíč KMS zaregistrovali u OpenAI podle jednoho z těchto návodů
Klíčové pojmy
Rotace klíče a zneplatnění klíče slouží k různým účelům. Ujistěte se, že pro svůj případ použití zvolíte správnou akci.
Rotace klíče: Vygeneruje nový kryptografický materiál pro šifrování nových dat a zároveň umožní dešifrování starších dat zašifrovaných předchozími klíči
Rotace klíče neovlivňuje přístup k datům OpenAI
Zneplatnění klíče: Zruší přístup ke všem datům zašifrovaným předchozími klíči.
Zneplatnění klíče ruší přístup k datům OpenAI
Jak ověřit, že se váš klíč KMS používá
Váš poskytovatel cloudu by měl mít protokoly:
AWS - https://docs.aws.amazon.com/kms/latest/developerguide/security-logging-monitoring.html
Azure - https://learn.microsoft.com/en-us/azure/key-vault/general/howto-logging
Jak klíč rotovat
Můžete nastavit automatickou rotaci klíče
AWS - https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html
GCP - https://cloud.google.com/kms/docs/rotate-key#automatic
Azure - https://learn.microsoft.com/en-us/azure/key-vault/keys/how-to-configure-key-rotation
Pro otestování: váš přístup k datům OpenAI nebude touto změnou ovlivněn
Jak zneplatnit klíč
Existuje mnoho způsobů, jak zrušit přístup OpenAI k vašemu klíči – jakékoli narušení toku ověřování:
Pokud odeberete přístup z role OpenAI ke klíči KMS
Pokud odeberete oprávnění k šifrování/dešifrování u klíče KMS
Pokud používáte alias klíče AWS (nedoporučuje se), pokud přepnete podkladové KMS ARN. Tato akce se někdy zaměňuje za rotaci klíče, ale ve skutečnosti jde o zneplatnění klíče, proto se nedoporučuje, pokud si nejste jistí, že to chcete.
Pokud požádáte OpenAI o aktualizaci KMS ARN používaného pro váš pracovní prostor ChatGPT Enterprise
Jak ověřit zneplatnění klíče:
Počkejte jednu hodinu, než na straně OpenAI vyprší platnost všech položek mezipaměti, a pak zneplatnění otestujte
Pokud používáte ChatGPT Enterprise, už nebudete moct číst předchozí konverzace, vyhledávání v konverzacích nebude zobrazovat výsledky z předchozích konverzací a nebudete mít přístup k předchozím vlastním GPT.
Pokud používáte API, už nebudete moct stahovat předchozí dávkové soubory, používat předchozí jemně doladěné modely ani odkazovat na předchozí odpovědi vytvořené pomocí Responses API.
Pokud používáte API, můžete také hned otestovat, že OpenAI vaše zneplatnění klíče zpracovalo a že se projeví do jedné hodiny
Vytvořte klíč Admin API (ne běžný klíč API):
Získejte OpenAI external key id (extkey_xxx) přidružené k vašemu pracovnímu prostoru nebo projektu zavoláním curl -X GET -H "Authorization: Bearer $ADMIN_API_KEY" https://api.openai.com/v1/organization/external_keys
Nyní zavolejte curl -X POST -H "Authorization: Bearer $ADMIN_API_KEY" "https://api.openai.com/v1/organization/external_keys/extkey_xxx/validate"
Osvědčené postupy při zneplatnění klíče
Pokud používáte API
Archivujte API projekt, jehož data jste znepřístupnili. Poté nastavte nový klíč KMS a vytvořte nový API projekt přidružený k novému klíči KMS.
Upozorňujeme, že nemůžete vyměnit klíč KMS přidružený ke starému API projektu, ve kterém jste provedli zneplatnění klíče – starý projekt musíte archivovat. Projekt, u kterého bylo provedeno zneplatnění klíče, by neměl zůstat v používání. API velmi usnadňuje vytváření nových projektů, proto tuto funkci využijte.
Pokud používáte ChatGPT Enterprise
Po provedení zneplatnění klíče kontaktujte podporu OpenAI.
Budeme s vámi spolupracovat na spuštění nového pracovního prostoru. Nebudeme znovu používat starý pracovní prostor tím, že ho zkusíme aktualizovat na používání nového klíče KMS. Důvodem je, že když zneplatnění klíče funguje podle návrhu, předchozí data zašifrovaná zneplatněným klíčem se stanou nepřístupnými.