Επισκόπηση

Το Enterprise Key Management (EKM) σάς επιτρέπει να κρυπτογραφείτε το περιεχόμενο πελατών σας στην OpenAI χρησιμοποιώντας κλειδιά που διαχειρίζεται το δικό σας εξωτερικό Σύστημα Διαχείρισης Κλειδιών (KMS), διαθέσιμο τόσο για το ChatGPT Enterprise όσο και για το API.

Η OpenAI υποστηρίζει κρυπτογράφηση Bring Your Own Key (BYOK) με εξωτερικούς λογαριασμούς σε AWS KMS, Google Cloud (GCP) και Azure Key Vault.

Προς το παρόν, η υλοποίηση του EKM περιορίζεται σε χώρους εργασίας Enterprise και Edu με ορισμένο εκπρόσωπο λογαριασμού OpenAI.

Πώς λειτουργεί η κρυπτογράφηση OpenAI EKM

Ροή υψηλού επιπέδου

1. Δημιουργούμε ένα Data Encryption Key (DEK) για τον πάροχο cloud σας.

2. Το cloud KMS σας διαχειρίζεται ένα κύριο Key Encryption Key (KEK), το οποίο είτε αποθηκεύεται στο cloud σας είτε εξωτερικά. Η υλοποίηση εξαρτάται από εσάς.

3. Ζητάμε κρυπτογράφηση του DEK από το cloud σας, ώστε να λάβουμε ένα encrypted DEK (eDEK). Αν το KEK σας αποθηκεύεται εξωτερικά, το cloud σας απλώς κάνει ένα επιπλέον hop προς τον εξωτερικό χώρο αποθήκευσης, σε ένα βήμα που είναι αδιαφανές για την OpenAI.

Κρυπτογράφηση

Κατά την κρυπτογράφηση, τα δεδομένα σας κρυπτογραφούνται με το DEK και το eDEK αποθηκεύεται ως μεταδεδομένα στο αρχείο.

Αποκρυπτογράφηση

Κατά την αποκρυπτογράφηση, ζητάμε να αποκρυπτογραφηθεί το eDEK από το cloud KMS σας σε DEK και αποκρυπτογραφούμε τα δεδομένα με το DEK.

Βασικοί όροι

• Data Encryption Key (DEK) - το κλειδί που κρυπτογραφεί τα δεδομένα σας. 

• Encrypted Data Encryption Key (eDEK) - το κρυπτογραφημένο DEK, που δημιουργείται από το KMS σας

• Key Encryption Key (KEK) - το κύριο κλειδί που διαχειρίζεστε και κρυπτογραφεί το DEK -> eDEK και αποκρυπτογραφεί το eDEK -> DEK. Αυτό το κλειδί παραμένει πάντα εκτός των συστημάτων της OpenAI.

Απαιτήσεις υλοποίησης υψηλού επιπέδου

Στον πάροχο cloud σας

1. Δημιουργήστε ένα νέο κλειδί στο cloud KMS σας (Azure, AWS ή GCP)

2. Δημιουργήστε μια προσαρμοσμένη, περιορισμένη πολιτική με δικαιώματα Encrypt/Decrypt στο KMS

3. Δημιουργήστε μια πολιτική εμπιστοσύνης (AWS), μια ταυτότητα φόρτου εργασίας (GCP) ή ένα service principal (για Azure) για την OpenAI

4. Αναθέστε στην OpenAI έναν ρόλο με την περιορισμένη πολιτική για πρόσβαση στο KMS σας

Στις πλατφόρμες της OpenAI

ChatGPT Enterprise

Δημιουργήστε έναν sandbox χώρο εργασίας ChatGPT για σκοπούς δοκιμής.

API

Στον πίνακα ελέγχου OpenAI, δημιουργήστε ένα νέο έργο όπου θα εφαρμοστεί η κρυπτογράφηση.

Λειτουργίες ανά πάροχο

Για το AWS, η OpenAI θα:

• Καλέσει το AssumeRole με ένα ExternalID

Για το GCP, η OpenAI θα:

• Καλέσει το τελικό σημείο STS σας από λογαριασμό OpenAI GCP

• Χρησιμοποιήσει το access token του GCP για να καλέσει encrypt/decrypt στο KMS σας.

Για το Azure, η OpenAI θα:

• Ζητήσει access token για το vault του tenant Azure σας

• Χρησιμοποιήσει αυτό το access token για να καλέσει encrypt/decrypt στο Key Vault σας.

Πληροφορίες που χρειάζεστε από την OpenAI

Ταυτοποίηση

Θα χρειαστεί να αναγνωρίζετε τα federated identity token της OpenAI για AWS και GCP. Για το Azure, θα χρειαστεί να αναγνωρίζετε το αναγνωριστικό εφαρμογής της OpenAI για την καταχώριση εφαρμογής της.

Σύνοψη παραμέτρων ταυτοποίησης

Απαιτούμενες πληροφορίες κατά την υλοποίηση με βάση τον πάροχο cloud σας

• Για το AWS, πρέπει να ρυθμίσετε μια πολιτική εμπιστοσύνης που να αναγνωρίζει:

  • Το principal της OpenAI (αριθμός λογαριασμού + ρόλος)

  • Ένα ExternalID που είναι το αναγνωριστικό έργου OpenAI σας

• Για το GCP πρέπει να ρυθμίσετε μια ταυτότητα φόρτου εργασίας που να αναγνωρίζει:

  • Το αναγνωριστικό λογαριασμού υπηρεσίας της OpenAI

  • Ένα audience που είναι το αναγνωριστικό έργου OpenAI σας

• Για το Azure πρέπει να δημιουργήσετε ένα service principal στον tenant Azure σας για την καταχώριση εφαρμογής της OpenAI

  • Δημιουργήστε ένα για το application client id της OpenAI: 20a14814-5ab7-4612-a671-1382b412bf9

  • Μπορείτε να το κάνετε αυτό δημοσιεύοντας στο τελικό σημείο https://graph.microsoft.com/v1.0/servicePrincipals.

Εξουσιοδότηση

Θα χρειαστεί να δημιουργήσετε μια πολιτική που να επιτρέπει στην ταυτότητα της OpenAI να αποκτήσει περιορισμένη πρόσβαση στο KMS σας. 

Άλλα

Στο Azure, για τον τύπο κλειδιού (αλγόριθμος κρυπτογράφησης κλειδιού) επιλέξτε RSA, όχι EC.

Πληροφορίες που χρειάζεται η OpenAI από εσάς

Ακολουθήστε τις οδηγίες σε αυτό το έγγραφο για να καταχωρίσετε το KMS σας στην OpenAI. Ακολουθεί σύνοψη των παραμέτρων που θα χρειαστεί να δώσετε.

1. Σχετικά με την ταυτοποίηση

   1. AWS

      1. IAM Role ARN - ρόλος που θα αναλάβει η OpenAI (παράδειγμα: arn:aws:iam::123456789:role/role-name)

      2. ExternalID - το αναγνωριστικό οργανισμού OpenAI σας

   2. GCP

      1. Αριθμός έργου Workload Identity (παράδειγμα: 123456789)

      2. Αναγνωριστικό pool Workload Identity

      3. Αναγνωριστικό παρόχου Workload Identity

      4. Allowed audience: το αναγνωριστικό οργανισμού OpenAI σας

   3. Azure

      1. Tenant ID

Αφού καταχωρίσετε το KMS σας στην OpenAI, συνεχίστε να ακολουθείτε τις οδηγίες στο έγγραφο για να ενεργοποιήσετε τη διαμόρφωση EKM σε ένα έργο API. Δημιουργήστε ένα νέο έργο OpenAI API για σκοπούς δοκιμής.

Οδηγοί υλοποίησης ανά πάροχο

Για καθοδήγηση βήμα προς βήμα, δείτε τους αντίστοιχους συνδέσμους παρακάτω. Σημειώστε ότι αυτοί εστιάζουν στις απαιτήσεις ενσωμάτωσης με την OpenAI και δεν προορίζονται να λειτουργήσουν ως πλήρης οδηγός για το συνολικό περιβάλλον σας

• Οδηγίες ενσωμάτωσης OpenAI / AWS EKM

• Οδηγίες ενσωμάτωσης OpenAI / GCP EKM

• Οδηγίες ενσωμάτωσης OpenAI / Azure EKM

Μη υποστηριζόμενες λειτουργίες όταν είναι ενεργοποιημένο το EKM

Σε αυτήν την αρχική έκδοση, οι ακόλουθες λειτουργίες δεν είναι διαθέσιμες αν είναι ενεργοποιημένο το EKM:

• Εφαρμογές με συγχρονισμό

• Λειτουργίες που δεν είναι Γενικά Διαθέσιμες (δηλ. οτιδήποτε είναι ακόμη σε beta/alpha)