Descripción general
Enterprise Key Management (EKM) le permite cifrar el contenido de sus clientes en OpenAI mediante claves gestionadas por su propio sistema externo de gestión de claves (KMS), disponible tanto para ChatGPT Enterprise como para la API.
OpenAI admite el cifrado Bring Your Own Key (BYOK) con cuentas externas en AWS KMS, Google Cloud (GCP) y Azure Key Vault.
En este momento, la implementación de EKM está limitada a Áreas de trabajo Enterprise y Edu con un representante de cuenta asignado de OpenAI.
Cómo funciona el cifrado EKM de OpenAI
Flujo de alto nivel
Generamos una Data Encryption Key (DEK) para su proveedor de nube.
Su KMS en la nube gestiona una Key Encryption Key (KEK) maestra, ya sea almacenada en su nube o externamente. La implementación depende de usted.
Solicitamos el cifrado de la DEK a su nube para obtener una DEK cifrada (eDEK). Si su KEK se almacena externamente, su nube simplemente realiza un salto adicional a su almacén externo, en un paso que es opaco para OpenAI.
Cifrado
Al cifrar, sus datos se cifran con la DEK y la eDEK se almacena como metadatos en el archivo.
Descifrado
Al descifrar, solicitamos que su KMS en la nube descifre la eDEK en la DEK, y desciframos los datos con la DEK.
Términos clave
Data Encryption Key (DEK) - la clave que cifra sus datos.
Encrypted Data Encryption Key (eDEK) - la DEK cifrada, generada por su KMS
Key Encryption Key (KEK) - la clave maestra que usted gestiona y que cifra la DEK -> eDEK y descifra eDEK -> DEK. Esta clave siempre permanece fuera de los sistemas de OpenAI.
Requisitos generales para la implementación
En su proveedor de nube
Cree una clave nueva en su KMS en la nube (Azure, AWS o GCP)
Cree una política personalizada y limitada con permisos de Encrypt/Decrypt en el KMS
Cree una política de confianza (AWS), una identidad de carga de trabajo (GCP) o una entidad de servicio (para Azure) para OpenAI
Asigne a OpenAI un rol con la política limitada para acceder a su KMS
En las plataformas de OpenAI
ChatGPT Enterprise
Cree un Área de trabajo de ChatGPT de entorno de pruebas para fines de prueba.
API
En su panel de OpenAI, cree un proyecto nuevo donde se aplicará el cifrado.
Funciones específicas del proveedor
Para AWS, OpenAI:
Llamará a AssumeRole con un ExternalID
Para GCP, OpenAI:
Llamará a su punto de acceso STS desde una cuenta de GCP de OpenAI
Usará el token de acceso de GCP para llamar a encrypt/decrypt en su KMS.
Para Azure, OpenAI:
Solicitará un token de acceso para el almacén de su inquilino de Azure
Usará ese token de acceso para llamar a encrypt/decrypt en su Key Vault.
Información que necesita de OpenAI
Autenticación
Deberá reconocer los tokens de identidad federada de OpenAI para AWS y GCP. En Azure, deberá reconocer el ID de aplicación de OpenAI para su registro de aplicaciones.
Resumen de los parámetros de autenticación
| Entidad principal de OpenAI en AWS | arn:aws:iam::790389265272:role/EnterpriseKeyManagement |
| ID de cuenta de servicio de OpenAI en GCP | 105900137572174660365 |
| ID de aplicación de OpenAI en Azure | 20a14814-5ab7-4612-a671-1382b412bf93 |
Información necesaria durante la implementación según tu proveedor de nube
Para AWS, debes configurar una política de confianza que reconozca:
El principal de OpenAI (número de cuenta + rol)
Un ExternalID que sea tu ID de proyecto de OpenAI
Para GCP debes configurar una identidad de carga de trabajo que reconozca:
El ID de cuenta de servicio de OpenAI
Una audiencia que sea tu ID de proyecto de OpenAI
Para Azure debes crear una entidad de servicio en tu inquilino de Azure para el registro de aplicación de OpenAI
Crea una para el ID de cliente de aplicación de OpenAI: 20a14814-5ab7-4612-a671-1382b412bf9
Puedes hacerlo publicando en el punto de acceso https://graph.microsoft.com/v1.0/servicePrincipals.
Autorización
Deberá crear una política que permita a la identidad de OpenAI obtener acceso limitado a su KMS.
| AWS | GCP | Azure |
| kms:Decryptkms:Encrypt | cloudkms.cryptoKeyVersions.useToDecryptcloudkms.cryptoKeyVersions.useToEncrypt | Microsoft.KeyVault/vaults/keys/encrypt/actionMicrosoft.KeyVault/vaults/keys/decrypt/action |
Otros
En Azure, para el tipo de clave (algoritmo de cifrado de claves), seleccione RSA, no EC.
Información que OpenAI necesita de ti
Sigue las instrucciones de este documento para registrar tu KMS con OpenAI. Este es un resumen de los parámetros que tendrás que proporcionar.
Relacionado con la autenticación
AWS
ARN de rol de IAM - rol que OpenAI debe asumir (ejemplo: arn:aws:iam::123456789:role/role-name)
ExternalID - el ID de tu organización de OpenAI
GCP
Número de proyecto de Workload Identity (ejemplo: 123456789)
ID de grupo de Workload Identity
ID de proveedor de Workload Identity
Audiencia permitida: el ID de tu organización de OpenAI
Azure
ID de inquilino
| AWS | GCP | Azure | |
| Relacionado con la autenticación | ID de inquilino | ||
| Relacionado con KMS | ARN de KMS - (ejemplo: arn:aws:kms:REGION:ACCOUNT_NUMBER:key:KEY_UUID) | ID de proyecto de KMS (ejemplo: adjective-noun-12345)Nombre del conjunto de claves de KMSNombre de clave de KMSUbicación de clave de KMS (ejemplo: us-east1) | URI del almacén (ejemplo: https://your-vault-name.vault.azure.net/)Nombre de clave |
Después de registrar tu KMS con OpenAI, continúa siguiendo las instrucciones del documento para activar tu configuración de EKM en un proyecto de API. Crea un proyecto de API de OpenAI nuevo con fines de prueba.
Guías de implementación específicas por proveedor
Para obtener orientación paso a paso, consulta los enlaces correspondientes a continuación. Ten en cuenta que se centran en los requisitos de integración con OpenAI y no pretenden servir como guía completa de todo tu entorno
Funciones no compatibles si EKM está habilitado
En esta versión inicial, las siguientes funciones no están disponibles si EKM está habilitado:
Aplicaciones con sincronización
Funciones que no están en disponibilidad general (es decir, cualquier cosa que siga en beta/alpha)