OpenAI
Denne side er maskinoversat. Se den originale engelske artikel.

Oversigt over OpenAI Enterprise Key Management (EKM)

Lær, hvordan EKM fungerer, hvilke udbydere der understøttes, og hvor du kommer i gang

Opdateret: 15 days ago

Oversigt

Enterprise Key Management (EKM) giver dig mulighed for at kryptere dit kundeindhold hos OpenAI ved hjælp af nøgler, der administreres af dit eget eksterne Key Management System (KMS), tilgængeligt for både ChatGPT Enterprise og API.

OpenAI understøtter Bring Your Own Key (BYOK)-kryptering med eksterne konti i AWS KMS, Google Cloud (GCP) og Azure Key Vault.

På nuværende tidspunkt er EKM-implementering begrænset til Enterprise- og Edu-arbejdsområder med en navngiven OpenAI-kontorepræsentant.

Sådan fungerer OpenAI EKM-kryptering

Overordnet forløb

  1. Vi genererer en Data Encryption Key (DEK) til din cloududbyder.

  2. Dit cloud-KMS administrerer en master-Key Encryption Key (KEK), der enten er gemt i din cloud eller eksternt. Implementeringen er op til dig.

  3. Vi anmoder om kryptering af DEK fra din cloud for at få en encrypted DEK (eDEK). Hvis din KEK er lagret eksternt, laver din cloud blot et ekstra hop til dit eksterne lager i et trin, der er uigennemsigtigt for OpenAI.

Kryptering

Ved kryptering krypteres dine data med DEK, og eDEK gemmes som metadata på filen.

EKM encryption flow where OpenAI requests a DEK from your KMS, encrypts data, and stores encrypted data with eDEK

Dekryptering

Ved dekryptering anmoder vi om, at eDEK dekrypteres af dit cloud-KMS til DEK, og vi dekrypterer dataene med DEK.

EKM decryption flow where OpenAI requests a DEK from your KMS to decrypt encrypted data for download

Nøglebegreber

  • Data Encryption Key (DEK) - nøglen, der krypterer dine data. 

  • Encrypted Data Encryption Key (eDEK) - den krypterede DEK, genereret af dit KMS

  • Key Encryption Key (KEK) - den masternøgle, du administrerer, som krypterer DEK -> eDEK og dekrypterer eDEK -> DEK. Denne nøgle forbliver altid uden for OpenAI-systemer.

Overordnede krav til implementering

Hos din cloududbyder

  1. Opret en ny nøgle i dit cloud-KMS (Azure, AWS eller GCP)

  2. Opret en tilpasset, begrænset politik med Encrypt/Decrypt-tilladelser på KMS'et

  3. Opret en trust policy (AWS), en workload identity (GCP) eller en service principal (til Azure) for OpenAI

  4. Tildel OpenAI en rolle med den begrænsede politik for at få adgang til dit KMS

I OpenAI-platforme

ChatGPT Enterprise

Opret et sandbox-arbejdsområde i ChatGPT til testformål.

API

Opret et nyt projekt i dit OpenAI-dashboard, hvor kryptering skal anvendes.

Udbyderspecifikke funktioner

For AWS vil OpenAI:

  • Kalde AssumeRole med et ExternalID

For GCP vil OpenAI:

  • Kalde dit STS-endepunkt fra en OpenAI GCP-konto

  • Bruge GCP-adgangstokenet til at kalde encrypt/decrypt på dit KMS.

For Azure vil OpenAI:

  • Anmode om et adgangstoken til vaulten i din Azure-tenant

  • Bruge dette adgangstoken til at kalde encrypt/decrypt på din Key Vault.

Oplysninger, du har brug for fra OpenAI

Godkendelse

Du skal genkende OpenAI’s fødererede identitetstokens til AWS og GCP. For Azure skal du genkende OpenAI’s applikations-id til appregistreringen.

Oversigt over godkendelsesparametre

OpenAI AWS principalarn:aws:iam::790389265272:role/EnterpriseKeyManagement
OpenAI GCP-servicekonto-id105900137572174660365
OpenAI Azure-applikations-id20a14814-5ab7-4612-a671-1382b412bf93

Nødvendige oplysninger under implementeringen baseret på din cloududbyder

  • For AWS, skal du konfigurere en tillidspolitik, der genkender:

    • OpenAI’s principal (kontonummer + rolle)

    • Et ExternalID, der er dit OpenAI-projekt-id

  • For GCP skal du konfigurere en workload identity, der genkender:

    • OpenAI's tjenestekonto-id

    • En målgruppe, der er dit OpenAI-projekt-id

  • For Azure skal du oprette en tjenesteprincipal i din Azure-tenant til OpenAI’s appregistrering

Autorisation

Du skal oprette en politik, der giver OpenAI’s identitet begrænset adgang til dit KMS. 

AWSGCPAzure
kms:Decryptkms:Encryptcloudkms.cryptoKeyVersions.useToDecryptcloudkms.cryptoKeyVersions.useToEncryptMicrosoft.KeyVault/vaults/keys/encrypt/actionMicrosoft.KeyVault/vaults/keys/decrypt/action

Andet

I Azure skal du for nøgletype (nøglekrypteringsalgoritme) vælge RSA, ikke EC.

Oplysninger, OpenAI har brug for fra dig

Følg instruktionerne i denne dokumentation for at registrere din KMS hos OpenAI. Her er en oversigt over de parametre, du skal angive.

  1. Godkendelsesrelateret

    1. AWS

      1. IAM Role ARN - rolle, som OpenAI skal påtage sig (eksempel: arn:aws:iam::123456789:role/role-name)

      2. ExternalID - dit OpenAI-organisations-id

    2. GCP

      1. Workload Identity Project Number (eksempel: 123456789)

      2. Workload Identity Pool ID

      3. Workload Identity Provider ID

      4. Tilladt målgruppe: dit OpenAI-organisations-id

    3. Azure

      1. Tenant-id

AWSGCPAzure
Godkendelsesrelateret Tenant-id
KMS-relateretKMS ARN - (eksempel: arn:aws:kms:REGION:ACCOUNT_NUMBER:key:KEY_UUID)KMS Project ID (eksempel: adjective-noun-12345)Navn på KMS-nøgleringKMS-nøglenavnKMS-nøgleplacering (eksempel: us-east1)Vault-URI (eksempel: https://your-vault-name.vault.azure.net/)Nøglenavn

Når du har registreret din KMS hos OpenAI, skal du fortsætte med at følge instruktionerne i dokumentationen for at aktivere din EKM-konfiguration på et API-projekt. Opret et nyt OpenAI API-projekt til testformål.

Udbyderspecifikke implementeringsvejledninger

Se de tilsvarende links nedenfor for trinvis vejledning. Bemærk, at disse fokuserer på integrationskravene med OpenAI og ikke er beregnet som en omfattende vejledning til hele dit miljø

Ikke-understøttede funktioner, hvis EKM er aktiveret

I denne første udgivelse er følgende funktioner ikke tilgængelige, hvis EKM er aktiveret:

  • Apps med synkronisering

  • Funktioner, der ikke er generelt tilgængelige (dvs. alt, der stadig er i beta/alpha)

Var denne artikel nyttig?