OpenAI
Tämä sivu on konekäännetty. Katso alkuperäinen englanninkielinen artikkeli.

OpenAI Enterprise Key Management (EKM) -yleiskatsaus

Lue, miten EKM toimii, mitä palveluntarjoajia tuetaan ja mistä pääset alkuun

Päivitetty: 22 days ago

Yleiskatsaus

Enterprise Key Management (EKM) mahdollistaa asiakassisältösi salauksen OpenAIssa käyttämällä oman ulkoisen avaintenhallintajärjestelmäsi (KMS) hallinnoimia avaimia. Tämä on saatavilla sekä ChatGPT Enterpriseen että APIin.

OpenAI tukee Bring Your Own Key (BYOK) -salausta ulkoisilla tileillä palveluissa AWS KMS, Google Cloud (GCP) ja Azure Key Vault.

Tällä hetkellä EKM-toteutus on rajoitettu Enterprise- ja Edu-työtiloihin, joilla on nimetty OpenAI-asiakasvastaava.

Näin OpenAI EKM -salaus toimii

Ylemmän tason kulku

  1. Luomme pilvipalveluntarjoajaasi varten Data Encryption Keyn (DEK).

  2. Pilvesi KMS hallinnoi pääasiallista Key Encryption Keytä (KEK), joka on tallennettu joko pilveesi tai ulkoisesti. Toteutus on sinun päätettävissäsi.

  3. Pyydämme pilveltäsi DEK:n salaamista saadaksemme salatun DEK:n (eDEK). Jos KEK on tallennettu ulkoisesti, pilvesi tekee vain ylimääräisen siirtymän ulkoiseen tallennuspaikkaasi vaiheessa, joka on OpenAI:lle läpinäkymätön.

Salaus

Salauksen yhteydessä tietosi salataan DEK:lla ja eDEK tallennetaan tiedoston metadataan.

EKM encryption flow where OpenAI requests a DEK from your KMS, encrypts data, and stores encrypted data with eDEK

Salauksen purku

Salauksen purun yhteydessä pyydämme pilvesi KMS:ää purkamaan eDEK:n salauksen DEK:ksi, ja puramme datan salauksen DEK:lla.

EKM decryption flow where OpenAI requests a DEK from your KMS to decrypt encrypted data for download

Keskeiset termit

  • Data Encryption Key (DEK) - avain, joka salaa tietosi.

  • Encrypted Data Encryption Key (eDEK) - salattu DEK, jonka KMS:si luo

  • Key Encryption Key (KEK) - hallinnoimasi pääavain, joka salaa DEK:n -> eDEK:ksi ja purkaa eDEK:n salauksen -> DEK:ksi. Tämä avain pysyy aina OpenAI:n järjestelmien ulkopuolella.

Käyttöönoton yleiset vaatimukset

Pilvipalveluntarjoajallasi

  1. Luo pilvesi KMS:ään uusi avain (Azure, AWS tai GCP)

  2. Luo mukautettu, rajoitettu policy, jossa on KMS:n Encrypt/Decrypt-oikeudet

  3. Luo OpenAI:lle trust policy (AWS), workload identity (GCP) tai service principal (Azure)

  4. Määritä OpenAI:lle rooli, jolla on rajoitettu policy KMS:si käyttöä varten

OpenAI-alustoilla

ChatGPT Enterprise

Luo testauskäyttöön ChatGPT-sandbox-työtila.

API

Luo OpenAI-hallintapaneelissasi uusi projekti, jossa salausta käytetään.

Palveluntarjoajakohtaiset toiminnot

AWS:ssä OpenAI:

  • kutsuu AssumeRolea käyttäen ExternalID:tä

GCP:ssä OpenAI:

  • kutsuu STS-endpointiasi OpenAI:n GCP-tililtä

  • käyttää GCP-käyttöoikeustokenia kutsuakseen KMS:si encrypt/decrypt-toimintoja.

Azuressa OpenAI:

  • pyytää käyttötokenin Azure-vuokraajasi vaultia varten

  • käyttää kyseistä käyttötokenia kutsuakseen Key Vaultisi encrypt/decrypt-toimintoja.

Tiedot, jotka tarvitset OpenAI:lta

Todennus

Sinun on tunnistettava OpenAI:n federoidut identiteettitokenit AWS:lle ja GCP:lle. Azuressa sinun on tunnistettava OpenAI:n sovelluksen tunnus sen sovellusrekisteröintiä varten.

Todennusparametrien yhteenveto

OpenAI AWS principalarn:aws:iam::790389265272:role/EnterpriseKeyManagement
OpenAI GCP -palvelutilin tunnus105900137572174660365
OpenAI Azure -sovelluksen tunnus20a14814-5ab7-4612-a671-1382b412bf93

Pilvipalveluntarjoajasi mukaan käyttöönotossa vaadittavat tiedot

  • Palvelussa AWS sinun on määritettävä trust policy, joka tunnistaa:

    • OpenAI:n principalin (tilinumero + rooli)

    • ExternalID:n, joka on OpenAI-projektisi tunnus

  • Palvelussa GCP sinun on määritettävä workload identity, joka tunnistaa:

    • OpenAI:n palvelutilin tunnuksen

    • audience-arvon, joka on OpenAI-projektisi tunnus

  • Palvelussa Azure sinun on luotava service principal Azure-vuokraajaasi OpenAI:n sovellusrekisteröintiä varten

Valtuutus

Sinun on luotava policy, jonka avulla OpenAI:n identiteetti saa rajoitetun pääsyn KMS:ääsi.

AWSGCPAzure
kms:Decryptkms:Encryptcloudkms.cryptoKeyVersions.useToDecryptcloudkms.cryptoKeyVersions.useToEncryptMicrosoft.KeyVault/vaults/keys/encrypt/actionMicrosoft.KeyVault/vaults/keys/decrypt/action

Muut

Valitse Azuressa avaintyypiksi (avaimen salausalgoritmi) RSA, ei EC.

Tiedot, joita OpenAI tarvitsee sinulta

Rekisteröi KMS OpenAIhin noudattamalla tämän ohjeen ohjeita. Tässä on yhteenveto annettavista parametreista.

  1. Todennukseen liittyvät

    1. AWS

      1. IAM-roolin ARN - rooli, jonka OpenAI ottaa käyttöön (esimerkki: arn:aws:iam::123456789:role/role-name)

      2. ExternalID - OpenAI-organisaatiosi tunnus

    2. GCP

      1. Workload Identity -projektinumero (esimerkki: 123456789)

      2. Workload Identity Pool ID

      3. Workload Identity Provider ID

      4. Sallittu audience: OpenAI-organisaatiosi tunnus

    3. Azure

      1. Tenant ID

AWSGCPAzure
Todennukseen liittyvät Tenant ID
KMS:ään liittyvätKMS ARN - (esim.: arn:aws:kms:REGION:ACCOUNT_NUMBER:key:KEY_UUID)KMS Project ID (esimerkki: adjective-noun-12345)KMS-avainrenkaan nimiKMS-avaimen nimiKMS-avaimen sijainti (esimerkki: us-east1)Vault URI (esimerkki: https://your-vault-name.vault.azure.net/)Key Name

Kun olet rekisteröinyt KMS:n OpenAIhin, jatka ohjeen noudattamista aktivoidaksesi EKM-määrityksesi API-projektissa. Luo testausta varten uusi OpenAI API -projekti.

Palveluntarjoajakohtaiset käyttöönottoppaat

Katso vaiheittaiset ohjeet alla olevista linkeistä. Huomaa, että ne keskittyvät OpenAI-integraation vaatimuksiin, eikä niitä ole tarkoitettu kattavaksi oppaaksi koko ympäristöösi

Ominaisuudet, joita ei tueta, jos EKM on käytössä

Tässä ensimmäisessä julkaisussa seuraavat ominaisuudet eivät ole käytettävissä, jos EKM on käytössä:

  • Synkronoinnin sisältävät sovellukset

  • Ominaisuudet, jotka eivät ole yleisesti saatavilla (eli kaikki, mikä on vielä beta-/alpha-vaiheessa)

Oliko tästä artikkelista apua?