Requisitos previos
Esto presupone que ya has registrado tu clave KMS externa con OpenAI siguiendo una de estas guías
Términos clave
La rotación de claves y la revocación de claves tienen fines distintos. Asegúrate de elegir la acción correcta para tu caso de uso.
Rotación de claves: generar nuevo material criptográfico para cifrar datos nuevos, permitiendo a la vez descifrar datos antiguos cifrados con claves anteriores
La rotación de claves no afecta al acceso a los datos de OpenAI
Revocación de claves: revocar el acceso a todos los datos cifrados con claves anteriores.
La revocación de claves revoca el acceso a los datos de OpenAI
Cómo verificar que se está usando tu clave KMS
Tu proveedor en la nube debería tener registros:
Cómo rotar tu clave
Puedes configurar la rotación automática de claves
AWS - https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html
GCP - https://cloud.google.com/kms/docs/rotate-key#automatic
Azure - https://learn.microsoft.com/en-us/azure/key-vault/keys/how-to-configure-key-rotation
Para probarlo: tu acceso a los datos de OpenAI no se verá afectado por este cambio
Cómo revocar tu clave
Hay muchas formas de revocar el acceso de OpenAI a tu clave: cualquier interrupción en el flujo de autenticación:
Si revocas el acceso del rol de OpenAI a la clave KMS
Si quitas los permisos de cifrado/descifrado de la clave KMS
Si usas un alias de clave de AWS (no recomendado), si cambias el ARN de KMS subyacente. Esta acción a veces se confunde con la rotación de claves, pero en realidad es una revocación de clave, por lo que no se recomienda a menos que tengas claro que es lo que quieres.
Si solicitas a OpenAI que actualice el ARN de KMS usado para tu área de trabajo de ChatGPT Enterprise
Para validar la revocación de tu clave:
Espera una hora a que caduquen todas las entradas de caché en el lado de OpenAI y, después, prueba la revocación
Si utilizas ChatGPT Enterprise, ya no podrás leer conversaciones anteriores, la búsqueda de conversaciones no mostrará resultados de conversaciones anteriores y no podrás acceder a GPTs personalizados anteriores.
Si utilizas la API, ya no podrás descargar archivos por lotes anteriores, usar modelos ajustados anteriores ni hacer referencia a respuestas anteriores creadas con la API de Responses.
Si utilizas la API, también puedes probar de inmediato que OpenAI ha procesado la revocación de tu clave y que surtirá efecto en un plazo de una hora
Crea una clave de API de administrador (no una clave de API normal):
Obtén el identificador de clave externa de OpenAI (extkey_xxx) asociado a tu área de trabajo o proyecto llamando a curl -X GET -H "Authorization: Bearer $ADMIN_API_KEY" https://api.openai.com/v1/organization/external_keys
Ahora llama a curl -X POST -H "Authorization: Bearer $ADMIN_API_KEY" "https://api.openai.com/v1/organization/external_keys/extkey_xxx/validate"
Prácticas recomendadas para la revocación de claves
Si utilizas la API
Archiva el proyecto de API cuyos datos has hecho inaccesibles. Después, configura una nueva clave KMS y crea un nuevo proyecto de API asociado a la nueva clave KMS.
Ten en cuenta que no puedes cambiar la clave KMS asociada al proyecto de API antiguo en el que has ejecutado la revocación de la clave: debes archivar el proyecto antiguo. Un proyecto en el que se ha emitido una revocación de clave no debe seguir en uso. La API facilita mucho la creación de proyectos nuevos, así que usa esa función.
Si utilizas ChatGPT Enterprise
Ponte en contacto con el soporte de OpenAI después de ejecutar una revocación de clave.
Trabajaremos contigo para poner en marcha una nueva área de trabajo. No reutilizaremos el área de trabajo antigua intentando actualizarla para que use una nueva clave KMS. Esto se debe a que, cuando la revocación de clave funciona según lo previsto, los datos anteriores cifrados con la clave revocada se vuelven inaccesibles.