OpenAI
Denne side er maskinoversat. Se den originale engelske artikel.

EKM KMS-nøglens livscyklus

Vejledning til KMS-nøglens fulde livscyklus, fra opsætningskontrol til oprydning efter tilbagekaldelse

Opdateret: 15 days ago

Forudsætninger

Dette forudsætter, at du allerede har registreret din eksterne KMS-nøgle hos OpenAI ved at følge en af disse vejledninger

Nøglebegreber

Nøglerotation og nøgletilbagekaldelse tjener forskellige formål. Sørg for at vælge den korrekte handling til dit brugstilfælde.

  • Nøglerotation: Generér nyt kryptografisk materiale til kryptering af nye data, samtidig med at dekryptering af ældre data, der er krypteret med tidligere nøgler, tillades

    • Nøglerotation påvirker ikke adgangen til OpenAI-data

  • Tilbagekaldelse af nøgler: Tilbagekald adgang til alle data, der er krypteret med tidligere nøgler.

    • Tilbagekaldelse af nøgler tilbagekalder adgang til OpenAI-data

Sådan roterer du din nøgle

Du kan konfigurere automatisk nøglerotation

Sådan tester du: Din adgang til OpenAI-data påvirkes ikke af denne ændring

Sådan tilbagekalder du din nøgle

Der er mange måder at tilbagekalde OpenAIs adgang til din nøgle på - enhver afbrydelse i godkendelsesflowet:

  • Hvis du tilbagekalder adgang fra OpenAIs rolle til KMS-nøglen

  • Hvis du fjerner tilladelserne til kryptering/dekryptering på KMS-nøglen

  • Hvis du bruger et AWS-nøglealias (anbefales ikke), og du skifter den underliggende KMS ARN. Denne handling forveksles nogle gange med nøglerotation, men er i virkeligheden en tilbagekaldelse af nøglen, så den anbefales ikke, medmindre du er sikker på, at du ønsker dette.

  • Hvis du anmoder OpenAI om at opdatere den KMS ARN, der bruges til dit ChatGPT Enterprise-arbejdsområde

Sådan validerer du din tilbagekaldelse af nøglen:

  • Vent én time, indtil alle cacheposter udløber hos OpenAI, og test derefter tilbagekaldelsen

    • Hvis du bruger ChatGPT Enterprise, vil du ikke længere kunne læse tidligere samtaler, søgning i samtaler vil ikke vise resultater fra tidligere samtaler, og du vil ikke kunne få adgang til tidligere tilpassede GPT'er.

    • Hvis du bruger API'en, vil du ikke længere kunne downloade tidligere batchfiler, bruge tidligere finjusterede modeller eller henvise til tidligere svar, der er oprettet med Responses API.

  • Hvis du bruger API'en, kan du også straks teste, at din tilbagekaldelse af nøglen er blevet behandlet af OpenAI og træder i kraft inden for én time

    • Opret en Admin API-nøgle (ikke en almindelig API-nøgle):

    • Hent OpenAI's eksterne nøgle-id (extkey_xxx), der er knyttet til dit arbejdsområde eller projekt, ved at kalde curl -X GET -H "Authorization: Bearer $ADMIN_API_KEY" https://api.openai.com/v1/organization/external_keys

    • Kald nu curl -X POST -H "Authorization: Bearer $ADMIN_API_KEY" "https://api.openai.com/v1/organization/external_keys/extkey_xxx/validate"

Bedste praksis ved tilbagekaldelse af nøgler

Hvis du bruger API'en

  • Arkivér det API-projekt, hvis data du har gjort utilgængelige. Konfigurer derefter en ny KMS-nøgle, og opret et nyt API-projekt, der er knyttet til den nye KMS-nøgle.

  • Bemærk, at du ikke kan udskifte den KMS-nøgle, der er knyttet til det gamle API-projekt, hvor du har tilbagekaldt nøglen - du skal arkivere det gamle projekt. Et projekt, hvor en nøgle er blevet tilbagekaldt, bør ikke fortsat være i brug. API'en gør det meget nemt at oprette nye projekter, så brug den funktion.

Hvis du bruger ChatGPT Enterprise

  • Kontakt OpenAI-support, når du har tilbagekaldt en nøgle.

  • Vi samarbejder med dig om at oprette et nyt arbejdsområde. Vi genbruger ikke det gamle arbejdsområde ved at forsøge at opdatere det til at bruge en ny KMS-nøgle. Det skyldes, at når tilbagekaldelse af nøgler fungerer efter hensigten, bliver tidligere data, der er krypteret med den tilbagekaldte nøgle, utilgængelige.

Var denne artikel nyttig?