OpenAI
Denne side er maskinoversat. Se den originale engelske artikel.

OpenAI / AWS EKM-integrationsvejledning

Trinvis vejledning til at konfigurere AWS og aktivere EKM

Opdateret: 15 days ago

Oversigt

Enterprise Key Management (EKM) giver OpenAI mulighed for at kryptere data ved hjælp af en hovednøgle, som du kontrollerer. Dette dokument viser, hvordan du konfigurerer din AWS-konto til at give OpenAI begrænsede tilladelser til din KMS.

AWS EKM integration flow between OpenAI EKM Service, your STS, your KMS, and your master KEK

Trin

1. Opret en ny KMS-nøgle

  1. Gå til KMS -> Kundeadministrerede nøgler, og klik derefter på Opret nøgle.

  2. Vælg en symmetrisk krypteringsalgoritme.

  3. Når din nøgle er oprettet, skal du notere dens ARN. Understøttede formater omfatter arn:aws:kms:<region>:<account_number>:key/<uuid>, ...:key/mrk-* eller ...:alias/<alias_name>.

AWS KMS customer managed key details page with key ID and ARN for test-kms

2. Opret en tilpasset politik for begrænset adgang til KMS-nøglen

  1. Gå til IAM -> Politikker, og klik derefter på Opret politik.

  2. I trinnet Angiv tilladelser skal du vælge JSON og indtaste følgende for at give politikken KMS-adgangshandlinger. Sørg for at erstatte YOUR_KMS_ARN med ARN'et for den nøgle, du oprettede.

AWS IAM Create policy page with Specify permissions open and the JSON policy editor selected
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowEncryptDecrypt",
            "Effect": "Allow",
            "Action": [

                "kms:Decrypt",
                "kms:Encrypt"

            ],
            "Resource": <DIT_KMS_ARN>
        }
    ]
}

3. Opret en IAM-rolle, som OpenAI kan overtage, og knyt den til politikken med begrænset adgang til din KMS

OpenAI kalder AssumeRole fra en OpenAI-ejet AWS-konto. Dette trin lader OpenAIs AWS-principal overtage den begrænsede rolle for at få adgang til din KMS.

  1. Gå til IAM -> Roller, og klik derefter på Opret rolle.

  2. I trinnet Vælg betroet enhed skal du vælge Tilpasset tillidspolitik.

AWS IAM Select trusted entity screen with Custom trust policy selected

Indtast derefter følgende i Tilpasset tillidspolitik for at tillade adgang til OpenAIs AWS-principal.

  • Principalen er OpenAIs AWS-principal: arn:aws:iam::790389265272:role/EnterpriseKeyManagement.

  • Angiv, hvilket ExternalId OpenAI skal sende under AssumeRole-processen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::790389265272:role/EnterpriseKeyManagement"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "sts:ExternalId": [
                         <DIT_OPENAI_ORGANIZATIONS-ID>,
                     ]
                }
            }
        }
    ]
}

Søg derefter i trinnet Tilføj tilladelser efter politiknavnet på den IAM-politik, du oprettede i det forrige trin. Klik på afkrydsningsfeltet ud for politiknavnet, og klik derefter på Næste.

AWS IAM Add permissions page filtered to customer managed KMS policies with test-allow-kms-access selected

Til sidst skal du i afsnittet Navngiv, gennemgå og opret vælge et hvilket som helst rollenavn.

4. Anvend eventuelle yderligere begrænsninger i overensstemmelse med din egen sikkerhedspraksis

Ovenstående er de mindst påkrævede oplysninger, OpenAI skal bruge for at konfigurere EKM. Du kan frit anvende yderligere nøglepolitikker eller begrænsninger i overensstemmelse med din egen interne sikkerhedspraksis, så længe OpenAI kan kalde krypterings- og dekrypteringshandlinger på din KMS. Når du kalder endepunktet til nøgleregistrering med OpenAI, som er beskrevet nedenfor, validerer vi din opsætning.

Efter at have fuldført ovenstående trin

ChatGPT Enterprise

Kontakt din OpenAI-kontakt, og del følgende:

  • "role_arn": "arn:aws:iam::<YOUR_AWS_ACCOUNT_NUMBER>:role/<YOUR_ROLE>"

    • Den rolle-ARN, som OpenAI overtager i din cloud.

  • "kms_arn": "arn:aws:kms:<REGION>:<YOUR_AWS_ACCOUNT_NUMBER>:key/<UUID>"

    • Key Management System-ARN'et for den hovednøgle, du administrerer.

Vi aktiverer EKM for din ChatGPT-organisation/dit ChatGPT-arbejdsområde.

API

Registrer din eksterne nøgle hos OpenAI

Følg instruktionerne i denne API-reference: Eksterne nøgler i Management API.

  1. Registrer først din eksterne nøgle på OpenAI-organisationsniveau, hvilket genererer et eksternt nøgle-id.

  2. I dette trin validerer vi, at dit input er gyldigt, og at vi kan godkende os over for din KMS.

  3. Dette føjer endnu ikke EKM til dit OpenAI-projekt.

curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \

"https://api.openai.com/v1/organization/external_keys" \
-d '{
  "type": "aws",
  "name": "AWS EKM-konfiguration",
  "role_arn": "arn:aws:iam::<YOUR_AWS_ACCOUNT_NUMBER>:role/<YOUR_ROLE>",
  "kms_arn": "arn:aws:kms:<REGION>:<YOUR_AWS_ACCOUNT_NUMBER>:key/<UUID>",
  "external_id": <dit organisations-id eller projekt-id>
}'

Opret derefter et OpenAI-projekt, der er knyttet til den eksterne nøgle. Herefter er EKM aktiveret på dit projekt. Svarindholdet fra dette API-kald giver dig projekt-id'et (proj_xxx).

curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/projects" \
-d '{
   "name": "Et projekt",

   "external_key_id": "extkey_xxxx"
}'

Var denne artikel nyttig?