Oversigt
Enterprise Key Management (EKM) giver dig mulighed for at kryptere dit kundeindhold hos OpenAI ved hjælp af nøgler, der administreres af dit eget eksterne Key Management System (KMS), tilgængeligt for både ChatGPT Enterprise og API.
OpenAI understøtter Bring Your Own Key (BYOK)-kryptering med eksterne konti i AWS KMS, Google Cloud (GCP) og Azure Key Vault.
På nuværende tidspunkt er EKM-implementering begrænset til Enterprise- og Edu-arbejdsområder med en navngiven OpenAI-kontorepræsentant.
Sådan fungerer OpenAI EKM-kryptering
Overordnet forløb
Vi genererer en Data Encryption Key (DEK) til din cloududbyder.
Dit cloud-KMS administrerer en master-Key Encryption Key (KEK), der enten er gemt i din cloud eller eksternt. Implementeringen er op til dig.
Vi anmoder om kryptering af DEK fra din cloud for at få en encrypted DEK (eDEK). Hvis din KEK er lagret eksternt, laver din cloud blot et ekstra hop til dit eksterne lager i et trin, der er uigennemsigtigt for OpenAI.
Kryptering
Ved kryptering krypteres dine data med DEK, og eDEK gemmes som metadata på filen.

Dekryptering
Ved dekryptering anmoder vi om, at eDEK dekrypteres af dit cloud-KMS til DEK, og vi dekrypterer dataene med DEK.

Nøglebegreber
Data Encryption Key (DEK) - nøglen, der krypterer dine data.
Encrypted Data Encryption Key (eDEK) - den krypterede DEK, genereret af dit KMS
Key Encryption Key (KEK) - den masternøgle, du administrerer, som krypterer DEK -> eDEK og dekrypterer eDEK -> DEK. Denne nøgle forbliver altid uden for OpenAI-systemer.
Overordnede krav til implementering
Hos din cloududbyder
Opret en ny nøgle i dit cloud-KMS (Azure, AWS eller GCP)
Opret en tilpasset, begrænset politik med Encrypt/Decrypt-tilladelser på KMS'et
Opret en trust policy (AWS), en workload identity (GCP) eller en service principal (til Azure) for OpenAI
Tildel OpenAI en rolle med den begrænsede politik for at få adgang til dit KMS
I OpenAI-platforme
ChatGPT Enterprise
Opret et sandbox-arbejdsområde i ChatGPT til testformål.
API
Opret et nyt projekt i dit OpenAI-dashboard, hvor kryptering skal anvendes.
Udbyderspecifikke funktioner
For AWS vil OpenAI:
Kalde AssumeRole med et ExternalID
For GCP vil OpenAI:
Kalde dit STS-endepunkt fra en OpenAI GCP-konto
Bruge GCP-adgangstokenet til at kalde encrypt/decrypt på dit KMS.
For Azure vil OpenAI:
Anmode om et adgangstoken til vaulten i din Azure-tenant
Bruge dette adgangstoken til at kalde encrypt/decrypt på din Key Vault.
Oplysninger, du har brug for fra OpenAI
Godkendelse
Du skal genkende OpenAI’s fødererede identitetstokens til AWS og GCP. For Azure skal du genkende OpenAI’s applikations-id til appregistreringen.
Oversigt over godkendelsesparametre
| OpenAI AWS principal | arn:aws:iam::790389265272:role/EnterpriseKeyManagement |
| OpenAI GCP-servicekonto-id | 105900137572174660365 |
| OpenAI Azure-applikations-id | 20a14814-5ab7-4612-a671-1382b412bf93 |
Nødvendige oplysninger under implementeringen baseret på din cloududbyder
For AWS, skal du konfigurere en tillidspolitik, der genkender:
OpenAI’s principal (kontonummer + rolle)
Et ExternalID, der er dit OpenAI-projekt-id
For GCP skal du konfigurere en workload identity, der genkender:
OpenAI's tjenestekonto-id
En målgruppe, der er dit OpenAI-projekt-id
For Azure skal du oprette en tjenesteprincipal i din Azure-tenant til OpenAI’s appregistrering
Opret en til OpenAI’s application client id: 20a14814-5ab7-4612-a671-1382b412bf9
Du kan gøre dette ved at sende en POST-anmodning til endepunktet https://graph.microsoft.com/v1.0/servicePrincipals.
Autorisation
Du skal oprette en politik, der giver OpenAI’s identitet begrænset adgang til dit KMS.
| AWS | GCP | Azure |
| kms:Decryptkms:Encrypt | cloudkms.cryptoKeyVersions.useToDecryptcloudkms.cryptoKeyVersions.useToEncrypt | Microsoft.KeyVault/vaults/keys/encrypt/actionMicrosoft.KeyVault/vaults/keys/decrypt/action |
Andet
I Azure skal du for nøgletype (nøglekrypteringsalgoritme) vælge RSA, ikke EC.
Oplysninger, OpenAI har brug for fra dig
Følg instruktionerne i denne dokumentation for at registrere din KMS hos OpenAI. Her er en oversigt over de parametre, du skal angive.
Godkendelsesrelateret
AWS
IAM Role ARN - rolle, som OpenAI skal påtage sig (eksempel: arn:aws:iam::123456789:role/role-name)
ExternalID - dit OpenAI-organisations-id
GCP
Workload Identity Project Number (eksempel: 123456789)
Workload Identity Pool ID
Workload Identity Provider ID
Tilladt målgruppe: dit OpenAI-organisations-id
Azure
Tenant-id
| AWS | GCP | Azure | |
| Godkendelsesrelateret | Tenant-id | ||
| KMS-relateret | KMS ARN - (eksempel: arn:aws:kms:REGION:ACCOUNT_NUMBER:key:KEY_UUID) | KMS Project ID (eksempel: adjective-noun-12345)Navn på KMS-nøgleringKMS-nøglenavnKMS-nøgleplacering (eksempel: us-east1) | Vault-URI (eksempel: https://your-vault-name.vault.azure.net/)Nøglenavn |
Når du har registreret din KMS hos OpenAI, skal du fortsætte med at følge instruktionerne i dokumentationen for at aktivere din EKM-konfiguration på et API-projekt. Opret et nyt OpenAI API-projekt til testformål.
Udbyderspecifikke implementeringsvejledninger
Se de tilsvarende links nedenfor for trinvis vejledning. Bemærk, at disse fokuserer på integrationskravene med OpenAI og ikke er beregnet som en omfattende vejledning til hele dit miljø
Ikke-understøttede funktioner, hvis EKM er aktiveret
I denne første udgivelse er følgende funktioner ikke tilgængelige, hvis EKM er aktiveret:
Apps med synkronisering
Funktioner, der ikke er generelt tilgængelige (dvs. alt, der stadig er i beta/alpha)
