OpenAI
Tämä sivu on konekäännetty. Katso alkuperäinen englanninkielinen artikkeli.

OpenAI / AWS EKM -integroinnin ohjeet

Vaiheittaiset ohjeet AWS:n valmisteluun ja EKM:n aktivointiin

Päivitetty: 10 hours ago

Yleiskatsaus

Enterprise Key Management (EKM) antaa OpenAI:n salata dataa hallitsemallasi pääavaimella. Tässä asiakirjassa näytetään, miten määrität AWS-tilisi niin, että OpenAI saa rajoitetut oikeudet KMS:ääsi.

AWS EKM integration flow between OpenAI EKM Service, your STS, your KMS, and your master KEK

Vaiheet

1. Luo uusi KMS-avain

  1. Siirry kohtaan KMS -> Asiakkaan hallinnoimat avaimet ja valitse sitten Luo avain.

  2. Valitse symmetrinen salausalgoritmi.

  3. Kun avaimesi on luotu, merkitse sen ARN muistiin. Tuettuja muotoja ovat arn:aws:kms:<region>:<account_number>:key/<uuid>, ...:key/mrk-* tai ...:alias/<alias_name>.

AWS KMS customer managed key details page with key ID and ARN for test-kms

2. Luo mukautettu käytäntö rajoitetulle käyttöoikeudelle KMS-avaimeen

  1. Siirry kohtaan IAM -> Käytännöt ja valitse sitten Luo käytäntö.

  2. Valitse Määritä oikeudet -vaiheessa JSON ja syötä seuraava, jotta käytäntö saa KMS:n käyttötoiminnot. Varmista, että korvaat YOUR_KMS_ARN luomasi avaimen ARN:llä.

AWS IAM Create policy page with Specify permissions open and the JSON policy editor selected
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowEncryptDecrypt",
            "Effect": "Allow",
            "Action": [

                "kms:Decrypt",
                "kms:Encrypt"

            ],
            "Resource": <OMA_KMS_ARN>
        }
    ]
}

3. Luo IAM-rooli, jonka OpenAI voi ottaa käyttöön, ja liitä se käytäntöön, jolla on rajoitettu käyttöoikeus KMS:ään

OpenAI kutsuu AssumeRole-toimintoa OpenAI:n omistamasta AWS-tilistä. Tämän vaiheen avulla OpenAI:n AWS-principal voi ottaa käyttöön rajoitetun roolin KMS:ääsi varten.

  1. Siirry kohtaan IAM -> Roolit ja valitse sitten Luo rooli.

  2. Valitse Valitse luotettu entiteetti -vaiheessa Mukautettu luottamuskäytäntö.

AWS IAM Select trusted entity screen with Custom trust policy selected

Syötä seuraavaksi Mukautettu luottamuskäytäntö -kohtaan seuraava, jotta OpenAI:n AWS-principalille sallitaan käyttöoikeus.

  • Principal on OpenAI:n AWS-principal: arn:aws:iam::790389265272:role/EnterpriseKeyManagement.

  • Määritä, mikä ExternalId OpenAI:n tulee välittää AssumeRole-prosessin aikana.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::790389265272:role/EnterpriseKeyManagement"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "sts:ExternalId": [
                         <OPENAI_ORGANIZATION_ID>,
                     ]
                }
            }
        }
    ]
}

Etsi sitten Lisää oikeuksia -vaiheessa edellisessä vaiheessa luomasi IAM-käytännön nimeä. Napsauta käytännön nimen vieressä olevaa valintaruutua ja valitse sitten Seuraava.

AWS IAM Add permissions page filtered to customer managed KMS policies with test-allow-kms-access selected

Valitse lopuksi Nimi, tarkista ja luo -osiossa mikä tahansa roolin nimi.

4. Ota käyttöön omien tietoturvakäytäntöjesi mukaiset lisärajoitukset

Yllä on vähimmäistiedot, jotka OpenAI tarvitsee EKM:n määrittämiseen. Voit vapaasti ottaa käyttöön omien sisäisten tietoturvakäytäntöjesi mukaisia avainkäytäntöjä tai rajoituksia, kunhan OpenAI pystyy kutsumaan salaus- ja salauksenpurkutoimintoja KMS:ssäsi. Kun kutsut alla kuvattua avaimen rekisteröinnin endpointia OpenAI:n kanssa, vahvistamme määrityksesi.

Edellä olevien vaiheiden suorittamisen jälkeen

ChatGPT Enterprise

Ota yhteyttä OpenAI-yhteyshenkilöösi ja jaa seuraavat tiedot:

  • "role_arn": "arn:aws:iam::<YOUR_AWS_ACCOUNT_NUMBER>:role/<YOUR_ROLE>"

    • Roolin ARN, jonka OpenAI ottaa käyttöön pilvessäsi.

  • "kms_arn": "arn:aws:kms:<REGION>:<YOUR_AWS_ACCOUNT_NUMBER>:key/<UUID>"

    • Hallinnoimasi pääavaimen avaintenhallintajärjestelmän ARN.

Otamme EKM:n käyttöön ChatGPT-organisaatiollesi/työtilallesi.

API

Rekisteröi ulkoinen avaimesi OpenAI:ssa

Noudata tämän API-viitteen ohjeita: Ulkoiset avaimet hallinta-API:ssa.

  1. Rekisteröi ensin ulkoinen avaimesi OpenAI-organisaatiotasolla, jolloin luodaan ulkoisen avaimen tunnus.

  2. Tässä vaiheessa vahvistamme, että syötteesi on kelvollinen ja että voimme todentautua KMS:ääsi.

  3. Tämä ei vielä lisää EKM:ää OpenAI-projektiisi.

curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \

"https://api.openai.com/v1/organization/external_keys" \
-d '{
  "type": "aws",
  "name": "AWS EKM -määritys",
  "role_arn": "arn:aws:iam::<YOUR_AWS_ACCOUNT_NUMBER>:role/<YOUR_ROLE>",
  "kms_arn": "arn:aws:kms:<REGION>:<YOUR_AWS_ACCOUNT_NUMBER>:key/<UUID>",
  "external_id": <organisaatiosi tunnus tai projektin tunnus>
}'

Luo sen jälkeen ulkoiseen avaimeen liitetty OpenAI-projekti. Tämän jälkeen EKM aktivoidaan projektissasi. Tämän API-kutsun vastausrunko antaa sinulle projektitunnuksen (proj_xxx).

curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/projects" \
-d '{
   "name": "Jokin projekti",

   "external_key_id": "extkey_xxxx"
}'

Oliko tästä artikkelista apua?