OpenAI
Tämä sivu on konekäännetty. Katso alkuperäinen englanninkielinen artikkeli.

OpenAI / GCP EKM -integroinnin ohjeet

Vaiheittaiset ohjeet GCP:n provisiointiin ja EKM:n aktivointiin

Päivitetty: 17 hours ago

Yleiskatsaus

Enterprise Key Managementin (EKM) avulla OpenAI voi salata dataa hallitsemallasi pääavaimella. Tässä asiakirjassa näytetään, miten määrität GCP-tilisi niin, että OpenAI saa rajoitetut käyttöoikeudet KMS:ääsi.

Diagram of OpenAI GCP EKM integration flow using STS token exchange and KMS encrypt or decrypt requests

Vaiheet

1. Luo federoitu identiteetti OpenAI:lle

OpenAI antaa identiteettitokenin OpenAI:n omistamalta GCP-tililtä, ja se näyttää suunnilleen tältä.

  • azp ja sub ovat OpenAI:n palvelutilin tunnus GCP:ssä

  • aud on OpenAI-organisaatiosi tunnus. Voit myös valita toisen kohdeyleisön, kuten OpenAI-projektisi tunnuksen – katso alla olevat ohjeet

{
  "aud": "org-xxxx",
  "azp": "105900137572174660365",
  "exp": 1747876928,
  "iat": 1747873328,
  "iss": "https://accounts.google.com",
  "sub": "105900137572174660365"
}

Tässä vaiheessa tunnistetaan kyseisen identiteettitokenin väitteet ja annetaan GCP STS:lle mahdollisuus myöntää käyttöoikeustoken, kun kyseinen identiteettitoken toimitetaan.

  1. Siirry kohtaan IAM ja järjestelmänvalvoja -> Workload Identity Federation ja napsauta Luo pooli

GCP IAM & Admin with Workload Identity Federation selected

  1. Kirjoita vaiheessa Luo identiteettipooli mikä tahansa poolin nimi.

  1. Vaiheessa Lisää palveluntarjoaja pooliin:

  1. Valitse Valitse palveluntarjoaja -kohdassa OpenID Connect (OIDC)

  2. Anna mikä tahansa palveluntarjoajan nimi.

  3. Kirjoita Myöntäjä (URL) -osioon https://accounts.google.com

  4. Kohdeyleisöt-osiossa

  1. Valitse Sallitut kohdeyleisöt

  2. Kirjoita kohdeyleisö, joka OpenAI:n tulee ilmoittaa, kun välitämme sinulle tokenin.

  1. ChatGPT:tä tai APIa varten: voit lisätä OpenAI API -organisaation tunnuksen (org-xxx)

  2. APIa varten: voit lisätä tietyn API-projektin tunnuksen tarkempaa rajausastetta varten.

GCP Workload Identity Provider edit page with Allowed audiences selected and Audience 1 entered

  1. Attribuuttien määritys -osiossa

  1. kirjoita kohtaan google.subject assertion.sub

Google Cloud attribute mapping with Google 1 google.subject mapped to OIDC 1 assertion.sub

  1. Attribuuttiehdot-osiossa

  1. Nyt sinun pitäisi nähdä workload identity pool ja workload identity provider lueteltuina sivulla https://console.cloud.google.com/iam-admin/workload-identity-pools

  1. Workload identity pool -tunnus

GCP Workload Identity Pools page highlighting the provider ID value needed for OpenAI EKM setup

  1. Workload identity provider -tunnus

GCP Workload Identity Provider edit page with the provider ID field highlighted

2. Varmista, että KMS on käytössä

Ota KMS käyttöön siirtymällä osoitteeseen https://console.developers.google.com/apis/api/cloudkms.googleapis.com/overview. KMS:ää ei tarvitse luoda samaan GCP-projektiin, jossa tunnistit OpenAI:n federoidun identiteetin. Jos projektit kuitenkin eroavat toisistaan, KMS-tuotteen on oltava vähintään käytössä molemmissa projekteissa.

3. Luo uusi KMS-avain

  1. Siirry kohtaan Tietoturva -> Tietosuoja > Avaintenhallinta

  2. Napsauta Yleiskatsaus-välilehdessä Luo avainnippu

  1. Valitse avainnipulle mikä tahansa nimi

  2. Valitse tarkoitukseksi ja algoritmiksi Symmetrinen salaus/salauksen purku

GCP Key Management Overview page with the Create Key Ring button highlighted

  1. Kun olet luonut avainnipun, sen pitäisi näkyä Avainniput-välilehdessä. Napsauta avainnippua.

  2. Napsauta avainnipun tiedoissa Luo avain

  1. Valitse avaimellesi mikä tahansa nimi

4. Luo KMS:ään rajoitettu rooli salaus- ja salauksenpurkutoimintoja varten

  1. Siirry kohtaan IAM ja järjestelmänvalvoja -> Roolit -> Luo rooli

  2. Anna roolille mikä tahansa otsikko ja tunnus

  3. Napsauta Lisää käyttöoikeuksia ja lisää sitten seuraavat

  1. cloudkms.cryptoKeyVersions.useToDecrypt

  2. cloudkms.cryptoKeyVersions.useToEncrypt

5. Määritä OpenAI:n federoitu identiteetti rajoitettuun KMS-rooliin salaus- ja salauksenpurkutoimintoja varten

  1. Siirry kohtaan Tietoturva -> Tietosuoja > Avaintenhallinta

  2. Napsauta avainnipun nimeä ja siirry sitten avaimen tietosivulle napsauttamalla avaimen nimeä.

  1. Napsauta Käyttöoikeudet-välilehteä ja sitten Myönnä käyttöoikeus -painiketta

Google Cloud KMS key details page with Permissions tab open and Grant Access highlighted

  1. Määritä OpenAI:n federoitu identiteetti aiemmin luomaasi mukautettuun rooliin

  1. Kirjoita Lisää päätahot -osioon principal://iam.googleapis.com/projects/<YOUR_GCP_PROJECT_NUMBER>/locations/global/workloadIdentityPools/<YOUR_GCP_WORKLOAD_IDENTITY_POOL>/subject/105900137572174660365

  1. Valitse Määritä roolit -osiossa edellisessä vaiheessa luomasi mukautettu rooli rajoitettuja EKM-käyttöoikeuksia varten

6. Ota käyttöön mahdolliset lisärajoitukset omien tietoturvakäytäntöjesi mukaisesti

Yllä on vähimmäistiedot, jotka OpenAI tarvitsee EKM:n määrittämiseen. Voit ottaa käyttöön lisäavainkäytäntöjä tai rajoituksia omien sisäisten tietoturvakäytäntöjesi mukaisesti, kunhan OpenAI pystyy kutsumaan KMS:ssäsi salaus- ja salauksenpurkutoimintoja. Kun kutsut alla kuvattua avaimen rekisteröinnin endpointia OpenAI:ssa, vahvistamme määrityksesi.

Kun olet suorittanut yllä olevat vaiheet

ChatGPT Enterprise

Ota yhteyttä OpenAI-yhteyshenkilöösi ja jaa seuraavat tiedot:

  • "workload_identity_project_number": "123456789012",

  • "workload_identity_pool_id": "openai-azure",

  • "workload_identity_provider_id": "openai-ekm-service-role",

  • "kms_project_id": "adjective-noun-12345",

  • "kms_key_name": "openai-kms-key",

  • "kms_key_ring_name": "openai-kms-key-ring",

  • "kms_key_location": "us-east1"

  • Alue, jossa Key Management System -pääavaimesi sijaitsee

Otamme EKM:n käyttöön ChatGPT-organisaatiollesi/-työtilallesi.

API

Rekisteröi ulkoinen avaimesi OpenAI:ssa

Noudata tämän API-viitteen ohjeita: Ulkoiset avaimet Management APIssa

  • Rekisteröi ensin ulkoinen avaimesi OpenAI-organisaation tasolla, jolloin luodaan ulkoisen avaimen tunnus.

  • Tässä vaiheessa vahvistamme GCP-määrityksesi tarkistamalla, että pystymme todentautumaan KMS:ääsi.

  • Tämä ei vielä lisää EKM:ää OpenAI-projektiisi.

curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/external_keys" \
-d '{
   "type": "gcp",
   "name": "GCP EKM -määritys",
   "workload_identity_project_number": "123456789012",
   "workload_identity_pool_id": "openai-azure",
   "workload_identity_provider_id": "openai-ekm-service-role",
   "audience": <organisaatiosi tunnus tai projektitunnus>,
   "kms_project_id": "adjective-noun-12345",
   "kms_key_name": "openai-kms-key",
   "kms_key_ring_name": "openai-kms-key-ring",
   "kms_key_location": "us-east1"
}'

Luo sitten ulkoiseen avaimeen liitetty OpenAI-projekti. Tämän jälkeen EKM aktivoidaan projektissasi.

curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/projects" \
-d '{
   "name": "Jokin projekti",

   "external_key_id": "extkey_xxxx"

}'

Oliko tästä artikkelista apua?