OpenAI
Αυτή η σελίδα μεταφράστηκε αυτόματα. Δείτε το πρωτότυπο άρθρο στα αγγλικά.

Οδηγίες ενσωμάτωσης OpenAI / Azure EKM

Οδηγίες βήμα προς βήμα για παροχή Azure και ενεργοποίηση EKM

Τελευταία ενημέρωση: yesterday

Επισκόπηση

Το Enterprise Key Management (EKM) επιτρέπει στην OpenAI να κρυπτογραφεί δεδομένα χρησιμοποιώντας ένα κύριο κλειδί που ελέγχετε εσείς. Για να μπορεί η OpenAI να καλεί λειτουργίες κρυπτογράφησης/αποκρυπτογράφησης στο Key Vault σας, θα πρέπει να της έχει παραχωρηθεί πρόσβαση. Αυτό το έγγραφο δείχνει πώς να ρυθμίσετε τον λογαριασμό σας Azure ώστε η OpenAI να μπορεί να αναλάβει έναν ρόλο με δικαιώματα Key Vault.

Azure EKM flow where OpenAI EKM uses Microsoft Entra ID to access your Key Vault and master KEK

Βήματα

1. Δημιουργήστε ένα service principal για την OpenAI στον λογαριασμό σας

  1. Λάβετε ένα access token

az account get-access-token --resource https://graph.microsoft.com
--tenant YOUR_TENANT_ID

2. Δημιουργήστε το service principal - το appId στο παρακάτω αίτημα είναι το αναγνωριστικό client εφαρμογής της OpenAI. Αυτό θα δημιουργήσει ένα principal με το εμφανιζόμενο όνομα «EKM - OpenAI Azure» - θυμηθείτε το για τα επόμενα βήματα.

Οδηγίες ενσωμάτωσης OpenAI / Azure EKM - Δημιουργία service principal

curl -X POST https://graph.microsoft.com/v1.0/servicePrincipals \
-H "Authorization: Bearer $TOKEN_FROM_ABOVE" \
-H "Content-Type: application/json" \
–d '{"appId": "20a14814-5ab7-4612-a671-1382b412bf93"}'

2. Δημιουργήστε έναν προσαρμοσμένο ρόλο για περιορισμένη πρόσβαση KMS

  1. Μεταβείτε στο Subscriptions -> Access Control (IAM)

  2. Στο αναπτυσσόμενο μενού + Add , επιλέξτε Add custom role

  3. Μεταβείτε στην καρτέλα JSON, κάντε κλικ στο Edit και προσθέστε τα εξής

    1. Οποιοδήποτε όνομα ρόλου - θυμηθείτε το όνομα που επιλέξατε

    2. Τα παρακάτω δικαιώματα στο dataActions

      1. Microsoft.KeyVault/vaults/keys/encrypt/action

      2. Microsoft.KeyVault/vaults/keys/decrypt/action

      3. Microsoft.KeyVault/vaults/keys/read

        OpenAI / Azure EKM Integration Instructions Custom Role

3. Δημιουργήστε ένα Key Vault + Key

Αν δεν έχετε ήδη, δημιουργήστε ένα νέο Key Vault στην ίδια συνδρομή όπου μόλις δημιουργήσατε τον προσαρμοσμένο ρόλο σας

Σε αυτό το Key Vault, δημιουργήστε ένα νέο Key:

  1. Μεταβείτε στο Key Vault -> Objects -> Keys, έπειτα κάντε κλικ στο Generate/Import

  2. Στην ενότητα Options επιλέξτε Generate

    Azure Key Vault Keys page with Generate/Import highlighted to add a key

  3. Επιλέξτε RSA για αλγόριθμο κρυπτογράφησης.

  4. Μπορείτε να επιλέξετε οποιοδήποτε μέγεθος κλειδιού RSA

  5. Δώστε ένα όνομα κλειδιού με την ακόλουθη μορφή: <org-xxx>--<any_name> όπου το org-xxx είναι το αναγνωριστικό οργανισμού OpenAI, το οποίο μπορείτε να βρείτε στη διεύθυνση https://platform.openai.com/settings/organization/general

    Azure Key Vault key generation form with RSA selected and key name org-abcdefg--test-keyvault-key

Αν δεν μπορείτε να δείτε ή να δημιουργήσετε κλειδί, βεβαιωθείτε ότι έχετε τον ρόλο Key Vault Administrator. Αυτό απαιτείται ακόμη κι αν έχετε τον ρόλο Owner. Για να σας εκχωρηθεί ο ρόλος:

  1. Μεταβείτε στο Key Vault->Access Control (IAM)

  2. Κάντε κλικ στο Add-> Add role assignment

    Azure Key Vault Access control (IAM) page with Add menu open to Add role assignment

4. Δημιουργήστε μια εκχώρηση ρόλου για το service principal της OpenAI + το νέο προσαρμοσμένο KMS + το νέο κλειδί

  1. Μεταβείτε στο Key Vault -> Objects -> Keys και έπειτα κάντε κλικ στη γραμμή για το κλειδί που δημιουργήσατε

  2. Μεταβείτε στο Access control (IAM) για το κλειδί στο οποίο μόλις κάνατε κλικ (όχι το key vault σας).

  3. Στο αναπτυσσόμενο μενού + Add, επιλέξτε Add role assignment

    Azure Key Vault Access control (IAM) page with Add menu open to Add role assignment

  4. Στην καρτέλα Role, επιλέξτε το όνομα του προσαρμοσμένου ρόλου που μόλις δημιουργήσατε.

    Azure role list filtered for openai- with the openai-azure-kms-role entry

  5. Στην καρτέλα Members:

    1. Κάντε κλικ στο «+ Select members»

    2. Πληκτρολογήστε «ekm -» στη γραμμή αναζήτησης και έπειτα θα πρέπει να εμφανιστεί το service principal της OpenAI που δημιουργήσατε στο Βήμα 1

      Azure role assignment Members step with EKM - OpenAI Azure Application selected as a member

5. Εφαρμόστε τυχόν πρόσθετους περιορισμούς σύμφωνα με τις δικές σας πρακτικές ασφαλείας

Τα παραπάνω είναι οι ελάχιστες απαιτούμενες πληροφορίες που χρειάζεται η OpenAI για να ρυθμίσει το EKM. Είστε ελεύθεροι να εφαρμόσετε πρόσθετες πολιτικές κλειδιών ή περιορισμούς σύμφωνα με τις εσωτερικές σας πρακτικές ασφαλείας, αρκεί η OpenAI να μπορεί να καλεί λειτουργίες κρυπτογράφησης και αποκρυπτογράφησης στο KMS σας. Όταν καλέσετε το τελικό σημείο καταχώρισης κλειδιού με την OpenAI που περιγράφεται παρακάτω, θα επικυρώσουμε τη ρύθμισή σας.

Αφού ολοκληρώσετε τα παραπάνω βήματα

ChatGPT Enterprise

Παρακαλούμε επικοινωνήστε με την επαφή σας στην OpenAI και κοινοποιήστε τα εξής:

  • "tenant_id": "<YOUR_AZURE_TENANT_UUID>"

    • Το UUID του tenant σας στο Azure

  • "vault_uri": "https://<YOUR_KEYVAULT_NAME>.vault.azure.net/"

    • Το URI του Azure vault που περιέχει το κύριο κλειδί που διαχειρίζεστε

  • "key_name": "<YOUR_KEY_NAME>"

    • Το όνομα του κύριου κλειδιού Azure Key Vault που διαχειρίζεστε

    • Το όνομα του κλειδιού πρέπει να έχει τη μορφή <org-xxx>--<any_name> όπου το org-xxx είναι το αναγνωριστικό οργανισμού OpenAI, το οποίο μπορείτε να βρείτε στη διεύθυνση https://platform.openai.com/settings/organization/general

Θα ενεργοποιήσουμε το EKM για τον οργανισμό/χώρο εργασίας ChatGPT σας.

API

Καταχωρίστε το εξωτερικό σας κλειδί στην OpenAI

Ακολουθήστε τις οδηγίες σε αυτή την αναφορά API External Keys in the Management API

  • Αρχικά, καταχωρίστε το εξωτερικό σας κλειδί σε επίπεδο οργανισμού OpenAI, κάτι που θα δημιουργήσει ένα αναγνωριστικό εξωτερικού κλειδιού της μορφής extkey_xxx

  • Σε αυτό το βήμα, θα επικυρώσουμε ότι τα στοιχεία εισόδου σας είναι έγκυρα και ότι μπορούμε να πραγματοποιήσουμε έλεγχο ταυτότητας στο KMS σας.

  • Αυτό δεν θα προσθέσει ακόμη EKM στο έργο OpenAI σας. 

# Αυτό δημιουργεί ένα αναγνωριστικό εξωτερικού κλειδιού της μορφής extkey_xxx

curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/external_keys" \
-d '{
  "type": "azure",
  "name": "<ANY_FRIENDLY_NAME>",
  "tenant_id": "<YOUR_AZURE_TENANT_UUID>",
  "vault_uri": "https://<YOUR_KEYVAULT_NAME>.vault.azure.net/",
  "key_name": "<YOUR_KEY_NAME>"
}'

  • Έπειτα, δημιουργήστε ένα έργο OpenAI που να σχετίζεται με το εξωτερικό κλειδί. Μετά από αυτό, το EKM ενεργοποιείται στο έργο σας.

  • Το σώμα απόκρισης αυτής της κλήσης API θα σας δώσει το αναγνωριστικό έργου (proj_xxx)

    Οδηγίες ενσωμάτωσης OpenAI / Azure EKM - Δημιουργία έργου

curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/projects" \
-d '{
   "name": "Some Project",
   "external_key_id": "extkey_xxxx"
}'

Σας βοήθησε αυτό το άρθρο;