OpenAI
Tämä sivu on konekäännetty. Katso alkuperäinen englanninkielinen artikkeli.

OpenAI / Azure EKM -integroinnin ohjeet

Vaiheittaiset ohjeet Azuren käyttöönottoon ja EKM:n aktivointiin

Päivitetty: 17 hours ago

Yleiskatsaus

Enterprise Key Management (EKM) antaa OpenAI:n salata tietoja hallitsemallasi pääavaimella. Jotta OpenAI voi kutsua salaus- ja salauksenpurkutoimintoja Key Vaultissasi, meille on myönnettävä käyttöoikeus. Tässä asiakirjassa näytetään, miten Azure-tilisi määritetään niin, että OpenAI voi omaksua roolin, jolla on Key Vault -käyttöoikeudet.

Azure EKM flow where OpenAI EKM uses Microsoft Entra ID to access your Key Vault and master KEK

Vaiheet

1. Luo tilillesi palvelun päänimi OpenAI:ta varten

  1. Hanki käyttöoikeustoken

az account get-access-token --resource https://graph.microsoft.com
--tenant YOUR_TENANT_ID

  1. Luo palvelun päänimi – alla olevassa pyynnössä appId on OpenAI:n sovelluksen asiakastunnus. Tämä luo päänimen näyttönimellä ”EKM - OpenAI Azure” – muista tämä myöhempiä vaiheita varten.

OpenAI / Azure EKM -integrointiohjeet – luo palvelun päänimi

curl -X POST https://graph.microsoft.com/v1.0/servicePrincipals \
-H "Authorization: Bearer $TOKEN_FROM_ABOVE" \
-H "Content-Type: application/json" \
–d '{"appId": "20a14814-5ab7-4612-a671-1382b412bf93"}'

2. Luo mukautettu rooli rajoitettua KMS-käyttöoikeutta varten

  1. Siirry kohtaan Tilaukset -> Käyttöoikeuksien hallinta (IAM)

  2. Valitse avattavasta + Lisää -valikosta Lisää mukautettu rooli

  3. Siirry JSON-välilehdelle, napsauta Muokkaa ja lisää seuraavat:

    1. Mikä tahansa roolin nimi – muista valitsemasi nimi

    2. Seuraavat käyttöoikeudet kohdassa dataActions:

      1. Microsoft.KeyVault/vaults/keys/encrypt/action

      2. Microsoft.KeyVault/vaults/keys/decrypt/action

      3. Microsoft.KeyVault/vaults/keys/read

OpenAI / Azure EKM Integration Instructions Custom Role

3. Luo Key Vault + avain

Jos sinulla ei vielä ole sellaista, luo uusi Key Vault samaan tilaukseen, johon juuri loit mukautetun roolisi.

Luo kyseisessä Key Vaultissa uusi avain:

  1. Siirry kohtaan Key Vault -> Objektit -> Avaimet ja napsauta sitten Luo/Tuo

  2. Valitse Asetukset-kohdasta Luo

Azure Key Vault Keys page with Generate/Import highlighted to add a key

  1. Valitse salausalgoritmiksi RSA.

  2. Voit valita minkä tahansa RSA-avaimen koon

  3. Anna avaimen nimi seuraavassa muodossa: <org-xxx>--<any_name>, jossa org-xxx on OpenAI-organisaatiosi tunnus, jonka löydät osoitteesta https://platform.openai.com/settings/organization/general

Azure Key Vault key generation form with RSA selected and key name org-abcdefg--test-keyvault-key

Jos et voi tarkastella tai luoda avainta, varmista, että sinulla on rooli Key Vault Administrator. Tätä tarvitaan, vaikka sinulla olisi Owner-rooli. Roolin määrittäminen:

  1. Siirry kohtaan Key Vault -> Käyttöoikeuksien hallinta (IAM)

  2. Napsauta Lisää -> Lisää roolimääritys

Azure Key Vault Access control (IAM) page with Add menu open to Add role assignment

4. Luo roolimääritys OpenAI-palvelun päänimelle + uudelle mukautetulle KMS:lle + uudelle avaimelle

  1. Siirry kohtaan Key Vault -> Objektit -> Avaimet ja napsauta sitten luomasi avaimen riviä

  2. Siirry juuri napsauttamasi avaimen kohtaan Käyttöoikeuksien hallinta (IAM) (ei avainsäilösi).

  3. Valitse avattavasta + Lisää -valikosta Lisää roolimääritys

Azure Key Vault Access control (IAM) page with Add menu open to Add role assignment

  1. Valitse Rooli-välilehdellä juuri luomasi mukautetun roolin nimi.

Azure role list filtered for openai- with the openai-azure-kms-role entry

  1. Jäsenet-välilehdellä:

    1. Napsauta ”+ Valitse jäsenet”

    2. Kirjoita hakupalkkiin ”ekm -”, jolloin vaiheessa 1 luomasi OpenAI-palvelun päänimen pitäisi latautua

Azure role assignment Members step with EKM - OpenAI Azure Application selected as a member

5. Käytä mahdollisia lisärajoituksia omien tietoturvakäytäntöjesi mukaisesti

Yllä on vähimmäistiedot, joita OpenAI tarvitsee EKM:n määrittämiseen. Voit vapaasti käyttää lisäavainkäytäntöjä tai -rajoituksia omien sisäisten tietoturvakäytäntöjesi mukaisesti, kunhan OpenAI pystyy kutsumaan KMS:si salaus- ja salauksenpurkutoimintoja. Kun kutsut alla kuvattua OpenAI:n avaimen rekisteröinnin endpointia, vahvistamme määrityksesi.

Kun yllä olevat vaiheet on suoritettu

ChatGPT Enterprise

Ota yhteyttä OpenAI-yhteyshenkilöösi ja jaa seuraavat tiedot:

  • "tenant_id": "<YOUR_AZURE_TENANT_UUID>"

  • "vault_uri": "https://<YOUR_KEYVAULT_NAME>.vault.azure.net/"

  • "key_name": "<YOUR_KEY_NAME>"

  • Hallitsemasi Azure Key Vault -pääavaimen nimi

  • Avaimen nimen on oltava muodossa <org-xxx>--<any_name>, jossa org-xxx on OpenAI-organisaatiosi tunnus, jonka löydät osoitteesta https://platform.openai.com/settings/organization/general

Otamme EKM:n käyttöön ChatGPT-organisaatiossasi/-työtilassasi.

API

Rekisteröi ulkoinen avaimesi OpenAI:ssa

Noudata tämän API-viitteen ohjeita: Ulkoiset avaimet Management API:ssa

  • Rekisteröi ensin ulkoinen avaimesi OpenAI-organisaatiotasolla, mikä luo ulkoisen avaimen tunnuksen muodossa extkey_xxx

  • Tässä vaiheessa vahvistamme, että syötteesi on kelvollinen ja että voimme todennustautua KMS:ääsi.

  • Tämä ei vielä lisää EKM:ää OpenAI-projektiisi.

# This generates an external key ID of the form extkey_xxx
curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/external_keys" \
-d '{
  "type": "azure",
  "name": "<ANY_FRIENDLY_NAME>",
  "tenant_id": "<YOUR_AZURE_TENANT_UUID>",
  "vault_uri": "https://<YOUR_KEYVAULT_NAME>.vault.azure.net/",
  "key_name": "<YOUR_KEY_NAME>"
}'

  • Luo sitten ulkoiseen avaimeen liitetty OpenAI-projekti. Tämän jälkeen EKM aktivoidaan projektissasi.

  • Tämän API-kutsun vastausrunko antaa sinulle projektitunnuksen (proj_xxx)

curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/projects" \
-d '{
   "name": "Jokin projekti",
   "external_key_id": "extkey_xxxx"
}'

Oliko tästä artikkelista apua?