Προαπαιτούμενα

Αυτό προϋποθέτει ότι έχετε ήδη καταχωρίσει το εξωτερικό σας κλειδί KMS στην OpenAI, ακολουθώντας έναν από αυτούς τους οδηγούς

• Οδηγίες ενσωμάτωσης OpenAI / AWS EKM

• Οδηγίες ενσωμάτωσης OpenAI / GCP EKM

• Οδηγίες ενσωμάτωσης OpenAI / Azure EKM

Βασικοί όροι

Η περιστροφή κλειδιού και η ανάκληση κλειδιού εξυπηρετούν διαφορετικούς σκοπούς. Βεβαιωθείτε ότι επιλέγετε τη σωστή ενέργεια για τη δική σας περίπτωση χρήσης.

• Περιστροφή κλειδιού: Δημιουργία νέου κρυπτογραφικού υλικού για την κρυπτογράφηση νέων δεδομένων, ενώ επιτρέπεται η αποκρυπτογράφηση παλαιότερων δεδομένων που έχουν κρυπτογραφηθεί με προηγούμενα κλειδιά

  • Η περιστροφή κλειδιού δεν επηρεάζει την πρόσβαση στα δεδομένα της OpenAI

• Ανάκληση κλειδιού: Ανάκληση πρόσβασης σε όλα τα δεδομένα που έχουν κρυπτογραφηθεί με προηγούμενα κλειδιά.

  • Η ανάκληση κλειδιού ανακαλεί την πρόσβαση στα δεδομένα της OpenAI

Πώς να επαληθεύσετε ότι χρησιμοποιείται το κλειδί KMS σας

Ο πάροχος cloud σας θα πρέπει να διαθέτει αρχεία καταγραφής:

• AWS - https://docs.aws.amazon.com/kms/latest/developerguide/security-logging-monitoring.html

• GCP - https://cloud.google.com/kms/docs/audit-logging

• Azure - https://learn.microsoft.com/en-us/azure/key-vault/general/howto-logging

Πώς να περιστρέψετε το κλειδί σας

Μπορείτε να ρυθμίσετε αυτόματη περιστροφή κλειδιού 

• AWS - https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html

• GCP - https://cloud.google.com/kms/docs/rotate-key#automatic

• Azure - https://learn.microsoft.com/en-us/azure/key-vault/keys/how-to-configure-key-rotation

Για δοκιμή: η πρόσβασή σας στα δεδομένα της OpenAI δεν θα επηρεαστεί από αυτήν την αλλαγή

Πώς να ανακαλέσετε το κλειδί σας

Υπάρχουν πολλοί τρόποι να ανακαλέσετε την πρόσβαση της OpenAI στο κλειδί σας - οποιαδήποτε διακοπή στη ροή εξουσιοδότησης:

• Αν ανακαλέσετε την πρόσβαση από τον ρόλο της OpenAI στο κλειδί KMS

• Αν αφαιρέσετε τα δικαιώματα κρυπτογράφησης/αποκρυπτογράφησης στο κλειδί KMS

• Αν χρησιμοποιείτε ψευδώνυμο κλειδιού AWS (δεν συνιστάται), αν αλλάξετε το υποκείμενο KMS ARN. Αυτή η ενέργεια μερικές φορές συγχέεται με την περιστροφή κλειδιού, αλλά στην πραγματικότητα είναι ανάκληση κλειδιού, επομένως δεν συνιστάται εκτός αν είστε βέβαιοι ότι το θέλετε.

• Αν ζητήσετε από την OpenAI να ενημερώσει το KMS ARN που χρησιμοποιείται για τον χώρο εργασίας σας στο ChatGPT Enterprise

Για να επικυρώσετε την ανάκληση του κλειδιού σας:

• Περιμένετε μία ώρα ώστε να λήξουν όλες οι εγγραφές cache στην πλευρά της OpenAI και, στη συνέχεια, δοκιμάστε την ανάκληση

  • Αν χρησιμοποιείτε ChatGPT Enterprise, δεν θα μπορείτε πλέον να διαβάζετε προηγούμενες συνομιλίες, η αναζήτηση συνομιλιών δεν θα εμφανίζει αποτελέσματα από προηγούμενες συνομιλίες και δεν θα μπορείτε να έχετε πρόσβαση σε προηγούμενα προσαρμοσμένα GPT. 

  • Αν χρησιμοποιείτε το API, δεν θα μπορείτε πλέον να κατεβάζετε προηγούμενα αρχεία batch, να χρησιμοποιείτε προηγούμενα fine-tuned μοντέλα ή να αναφέρεστε σε προηγούμενες αποκρίσεις που δημιουργήθηκαν με το Responses API.

• Αν χρησιμοποιείτε το API, μπορείτε επίσης να ελέγξετε αμέσως ότι η ανάκληση του κλειδιού σας έχει υποβληθεί σε επεξεργασία από την OpenAI και θα τεθεί σε ισχύ εντός μίας ώρας

  • Δημιουργήστε ένα κλειδί Admin API (όχι ένα κανονικό κλειδί API): 

  • Λάβετε το εξωτερικό αναγνωριστικό κλειδιού OpenAI (extkey_xxx) που σχετίζεται με τον χώρο εργασίας ή το project σας καλώντας curl -X GET -H "Authorization: Bearer $ADMIN_API_KEY" https://api.openai.com/v1/organization/external_keys

  • Τώρα καλέστε το curl -X POST -H "Authorization: Bearer $ADMIN_API_KEY" "https://api.openai.com/v1/organization/external_keys/extkey_xxx/validate"

Βέλτιστες πρακτικές για την ανάκληση κλειδιού

Αν χρησιμοποιείτε το API

• Αρχειοθετήστε το API project του οποίου τα δεδομένα έχετε καταστήσει μη προσβάσιμα. Στη συνέχεια, ρυθμίστε ένα νέο κλειδί KMS και δημιουργήστε ένα νέο API project που να σχετίζεται με το νέο κλειδί KMS.

• Σημειώστε ότι δεν μπορείτε να αντικαταστήσετε το κλειδί KMS που σχετίζεται με το παλιό API project όπου εκτελέσατε την ανάκληση κλειδιού - πρέπει να αρχειοθετήσετε το παλιό project. Ένα project για το οποίο έχει εκδοθεί ανάκληση κλειδιού δεν θα πρέπει να παραμένει σε χρήση. Το API καθιστά πολύ εύκολη τη δημιουργία νέων project, οπότε χρησιμοποιήστε αυτή τη δυνατότητα.

Αν χρησιμοποιείτε το ChatGPT Enterprise

• Επικοινωνήστε με την υποστήριξη της OpenAI αφού εκτελέσετε ανάκληση κλειδιού.

• Θα συνεργαστούμε μαζί σας για να δημιουργήσουμε έναν νέο χώρο εργασίας. Δεν θα επαναχρησιμοποιήσουμε τον παλιό χώρο εργασίας προσπαθώντας να τον ενημερώσουμε ώστε να χρησιμοποιεί νέο κλειδί KMS. Αυτό συμβαίνει επειδή, όταν η ανάκληση κλειδιού λειτουργεί όπως έχει σχεδιαστεί, τα προηγούμενα δεδομένα που έχουν κρυπτογραφηθεί με το ανακληθέν κλειδί καθίστανται μη προσβάσιμα.