Forudsætninger
Dette forudsætter, at du allerede har registreret din eksterne KMS-nøgle hos OpenAI ved at følge en af disse vejledninger
Nøglebegreber
Nøglerotation og nøgletilbagekaldelse tjener forskellige formål. Sørg for at vælge den korrekte handling til dit brugstilfælde.
Nøglerotation: Generér nyt kryptografisk materiale til kryptering af nye data, samtidig med at dekryptering af ældre data, der er krypteret med tidligere nøgler, tillades
Nøglerotation påvirker ikke adgangen til OpenAI-data
Tilbagekaldelse af nøgler: Tilbagekald adgang til alle data, der er krypteret med tidligere nøgler.
Tilbagekaldelse af nøgler tilbagekalder adgang til OpenAI-data
Sådan verificerer du, at din KMS-nøgle bruges
Din cloududbyder bør have logfiler:
Sådan roterer du din nøgle
Du kan konfigurere automatisk nøglerotation
AWS - https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html
GCP - https://cloud.google.com/kms/docs/rotate-key#automatic
Azure - https://learn.microsoft.com/en-us/azure/key-vault/keys/how-to-configure-key-rotation
Sådan tester du: Din adgang til OpenAI-data påvirkes ikke af denne ændring
Sådan tilbagekalder du din nøgle
Der er mange måder at tilbagekalde OpenAIs adgang til din nøgle på - enhver afbrydelse i godkendelsesflowet:
Hvis du tilbagekalder adgang fra OpenAIs rolle til KMS-nøglen
Hvis du fjerner tilladelserne til kryptering/dekryptering på KMS-nøglen
Hvis du bruger et AWS-nøglealias (anbefales ikke), og du skifter den underliggende KMS ARN. Denne handling forveksles nogle gange med nøglerotation, men er i virkeligheden en tilbagekaldelse af nøglen, så den anbefales ikke, medmindre du er sikker på, at du ønsker dette.
Hvis du anmoder OpenAI om at opdatere den KMS ARN, der bruges til dit ChatGPT Enterprise-arbejdsområde
Sådan validerer du din tilbagekaldelse af nøglen:
Vent én time, indtil alle cacheposter udløber hos OpenAI, og test derefter tilbagekaldelsen
Hvis du bruger ChatGPT Enterprise, vil du ikke længere kunne læse tidligere samtaler, søgning i samtaler vil ikke vise resultater fra tidligere samtaler, og du vil ikke kunne få adgang til tidligere tilpassede GPT'er.
Hvis du bruger API'en, vil du ikke længere kunne downloade tidligere batchfiler, bruge tidligere finjusterede modeller eller henvise til tidligere svar, der er oprettet med Responses API.
Hvis du bruger API'en, kan du også straks teste, at din tilbagekaldelse af nøglen er blevet behandlet af OpenAI og træder i kraft inden for én time
Opret en Admin API-nøgle (ikke en almindelig API-nøgle):
Hent OpenAI's eksterne nøgle-id (extkey_xxx), der er knyttet til dit arbejdsområde eller projekt, ved at kalde curl -X GET -H "Authorization: Bearer $ADMIN_API_KEY" https://api.openai.com/v1/organization/external_keys
Kald nu curl -X POST -H "Authorization: Bearer $ADMIN_API_KEY" "https://api.openai.com/v1/organization/external_keys/extkey_xxx/validate"
Bedste praksis ved tilbagekaldelse af nøgler
Hvis du bruger API'en
Arkivér det API-projekt, hvis data du har gjort utilgængelige. Konfigurer derefter en ny KMS-nøgle, og opret et nyt API-projekt, der er knyttet til den nye KMS-nøgle.
Bemærk, at du ikke kan udskifte den KMS-nøgle, der er knyttet til det gamle API-projekt, hvor du har tilbagekaldt nøglen - du skal arkivere det gamle projekt. Et projekt, hvor en nøgle er blevet tilbagekaldt, bør ikke fortsat være i brug. API'en gør det meget nemt at oprette nye projekter, så brug den funktion.
Hvis du bruger ChatGPT Enterprise
Kontakt OpenAI-support, når du har tilbagekaldt en nøgle.
Vi samarbejder med dig om at oprette et nyt arbejdsområde. Vi genbruger ikke det gamle arbejdsområde ved at forsøge at opdatere det til at bruge en ny KMS-nøgle. Det skyldes, at når tilbagekaldelse af nøgler fungerer efter hensigten, bliver tidligere data, der er krypteret med den tilbagekaldte nøgle, utilgængelige.
