Oversigt
Enterprise Key Management (EKM) giver OpenAI mulighed for at kryptere data ved hjælp af en hovednøgle, som du kontrollerer. Dette dokument viser, hvordan du konfigurerer din AWS-konto til at give OpenAI begrænsede tilladelser til din KMS.

Trin
1. Opret en ny KMS-nøgle
Gå til KMS -> Kundeadministrerede nøgler, og klik derefter på Opret nøgle.
Vælg en symmetrisk krypteringsalgoritme.
Når din nøgle er oprettet, skal du notere dens ARN. Understøttede formater omfatter
arn:aws:kms:<region>:<account_number>:key/<uuid>,...:key/mrk-*eller...:alias/<alias_name>.

2. Opret en tilpasset politik for begrænset adgang til KMS-nøglen
Gå til IAM -> Politikker, og klik derefter på Opret politik.
I trinnet Angiv tilladelser skal du vælge JSON og indtaste følgende for at give politikken KMS-adgangshandlinger. Sørg for at erstatte YOUR_KMS_ARN med ARN'et for den nøgle, du oprettede.

{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowEncryptDecrypt",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:Encrypt"
],
"Resource": <DIT_KMS_ARN>
}
]
}3. Opret en IAM-rolle, som OpenAI kan overtage, og knyt den til politikken med begrænset adgang til din KMS
OpenAI kalder AssumeRole fra en OpenAI-ejet AWS-konto. Dette trin lader OpenAIs AWS-principal overtage den begrænsede rolle for at få adgang til din KMS.
Gå til IAM -> Roller, og klik derefter på Opret rolle.
I trinnet Vælg betroet enhed skal du vælge Tilpasset tillidspolitik.

Indtast derefter følgende i Tilpasset tillidspolitik for at tillade adgang til OpenAIs AWS-principal.
Principalen er OpenAIs AWS-principal:
arn:aws:iam::790389265272:role/EnterpriseKeyManagement.Angiv, hvilket ExternalId OpenAI skal sende under
AssumeRole-processen.For ChatGPT eller API skal du bruge det organisations-id (org-xxx), der er knyttet til dit arbejdsområde: https://platform.api.openai.org/settings/organization/general.
For API kan du bruge et specifikt API-projekt-id for større granularitet.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::790389265272:role/EnterpriseKeyManagement"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"sts:ExternalId": [
<DIT_OPENAI_ORGANIZATIONS-ID>,
]
}
}
}
]
}Søg derefter i trinnet Tilføj tilladelser efter politiknavnet på den IAM-politik, du oprettede i det forrige trin. Klik på afkrydsningsfeltet ud for politiknavnet, og klik derefter på Næste.

Til sidst skal du i afsnittet Navngiv, gennemgå og opret vælge et hvilket som helst rollenavn.
4. Anvend eventuelle yderligere begrænsninger i overensstemmelse med din egen sikkerhedspraksis
Ovenstående er de mindst påkrævede oplysninger, OpenAI skal bruge for at konfigurere EKM. Du kan frit anvende yderligere nøglepolitikker eller begrænsninger i overensstemmelse med din egen interne sikkerhedspraksis, så længe OpenAI kan kalde krypterings- og dekrypteringshandlinger på din KMS. Når du kalder endepunktet til nøgleregistrering med OpenAI, som er beskrevet nedenfor, validerer vi din opsætning.
Efter at have fuldført ovenstående trin
ChatGPT Enterprise
Kontakt din OpenAI-kontakt, og del følgende:
"role_arn": "arn:aws:iam::<YOUR_AWS_ACCOUNT_NUMBER>:role/<YOUR_ROLE>"Den rolle-ARN, som OpenAI overtager i din cloud.
"kms_arn": "arn:aws:kms:<REGION>:<YOUR_AWS_ACCOUNT_NUMBER>:key/<UUID>"Key Management System-ARN'et for den hovednøgle, du administrerer.
Vi aktiverer EKM for din ChatGPT-organisation/dit ChatGPT-arbejdsområde.
API
Registrer din eksterne nøgle hos OpenAI
Følg instruktionerne i denne API-reference: Eksterne nøgler i Management API.
Registrer først din eksterne nøgle på OpenAI-organisationsniveau, hvilket genererer et eksternt nøgle-id.
I dette trin validerer vi, at dit input er gyldigt, og at vi kan godkende os over for din KMS.
Dette føjer endnu ikke EKM til dit OpenAI-projekt.
curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/external_keys" \
-d '{
"type": "aws",
"name": "AWS EKM-konfiguration",
"role_arn": "arn:aws:iam::<YOUR_AWS_ACCOUNT_NUMBER>:role/<YOUR_ROLE>",
"kms_arn": "arn:aws:kms:<REGION>:<YOUR_AWS_ACCOUNT_NUMBER>:key/<UUID>",
"external_id": <dit organisations-id eller projekt-id>
}'Opret derefter et OpenAI-projekt, der er knyttet til den eksterne nøgle. Herefter er EKM aktiveret på dit projekt. Svarindholdet fra dette API-kald giver dig projekt-id'et (proj_xxx).
curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/projects" \
-d '{
"name": "Et projekt",
"external_key_id": "extkey_xxxx"
}'