Guía completa del ciclo de vida de las claves KMS, desde las verificaciones iniciales hasta la limpieza tras la revocación

Requisitos previos

Esto supone que ya registraste tu clave de KMS externo con OpenAI, siguiendo una de estas guías.

Términos clave

La rotación de claves y la revocación de claves tienen propósitos diferentes. Asegúrate de elegir la acción correcta para tu caso de uso.

Rotación de claves: genera nuevo material criptográfico para cifrar datos nuevos, sin dejar de permitir el descifrado de datos antiguos cifrados con claves anteriores.
- La rotación de claves no afecta el acceso a los datos de OpenAI
Revocación de claves: revoca el acceso a todos los datos cifrados con claves anteriores.
- La revocación de clave anula el acceso a los datos de OpenAI

Tu proveedor de servicios en la nube debería tener registros:

Puedes configurar la rotación automática de claves

Para probar: tu acceso a los datos de OpenAI no se verá afectado por este cambio.

Hay muchas formas de revocar el acceso de OpenAI a tu clave; cualquier interrupción en el flujo de autenticación:

Si revocas el acceso del rol de OpenAI a la clave de KMS
Si quitas los permisos de cifrado/descifrado de la clave de KMS
Si estás utilizando un alias de clave de AWS (lo cual no se recomienda), y cambias el ARN de KMS subyacente. Esta acción a veces se confunde con la rotación de claves, pero en realidad es una revocación de claves, por lo que no se recomienda a menos que estés completamente seguro de querer hacerlo.
Si le pides a OpenAI que actualice el ARN de KMS que se usa en tu espacio de trabajo de ChatGPT Enterprise

Para validar la revocación de tu clave:

Espera una hora para que todas las entradas de caché expiren en OpenAI y, luego, prueba la revocación.
- Si usas ChatGPT Enterprise, ya no podrás leer conversaciones anteriores, la búsqueda de conversaciones no mostrará resultados de conversaciones anteriores y no podrás acceder a GPT personalizados anteriores.
- Si estás usando la API, ya no podrás descargar archivos por lotes anteriores, usar modelos ajustados anteriormente ni hacer referencia a respuestas anteriores creadas con la API de Responses.
Si estás usando la API, también puedes comprobar de inmediato que la revocación de tu clave fue procesada por OpenAI y entrará en vigor en el plazo de una hora.
- Crear una clave de API de administrador (no una clave de API normal):
- Obtén el ID de clave externa de OpenAI (extkey_xxx) asociado con tu espacio de trabajo o proyecto llamando a curl -X GET -H "Authorization: Bearer $ADMIN_API_KEY" https://api.openai.com/v1/organization/external_keys
- Ahora llama a curl -X POST -H "Authorization: Bearer $ADMIN_API_KEY" "https://api.openai.com/v1/organization/external_keys/extkey_xxx/validate"

Si estás utilizando la API

Archiva el proyecto de API cuyos datos has hecho inaccesibles. Luego, configura una nueva clave de KMS y crea un nuevo proyecto de API asociado con la nueva clave de KMS.
Ten en cuenta que no puedes intercambiar la clave de KMS asociada con el proyecto de API anterior en el que ejecutaste la revocación de la clave; debes archivar el proyecto anterior. Un proyecto para el que se emitió una revocación de clave no debe seguir en uso. La API facilita mucho crear proyectos nuevos, así que usa esa función.

Si estás utilizando ChatGPT Enterprise

Ponte en contacto con el soporte de OpenAI después de haber ejecutado la revocación de una clave.
Trabajaremos contigo para configurar un nuevo espacio de trabajo. No reutilizaremos el espacio de trabajo antiguo al intentar actualizarlo para que use una nueva clave de KMS. Esto se debe a que, cuando la revocación de claves funciona según lo previsto, los datos previos cifrados con la clave revocada se vuelven inaccesibles.