Edellytykset

Tämä olettaa, että olet jo rekisteröinyt ulkoisen KMS-avaimesi OpenAI:ssa jonkin näistä ohjeista mukaisesti

• OpenAI / AWS EKM -integraatio-ohjeet

• OpenAI / GCP EKM -integraatio-ohjeet

• OpenAI / Azure EKM -integraatio-ohjeet

Keskeiset termit

Avaimen kierto ja avaimen kumoaminen palvelevat eri tarkoituksia. Varmista, että valitset käyttötapaukseesi oikean toiminnon.

• Avaimen kierto: Luo uutta kryptografista materiaalia uuden datan salaamiseen ja salli samalla aiemmilla avaimilla salatun vanhemman datan salauksen purku

  • Avaimen kierto ei vaikuta pääsyyn OpenAI:n dataan

• Avaimen kumoaminen: Peruuta pääsy kaikkeen aiemmilla avaimilla salattuun dataan.

  • Avaimen kumoaminen peruuttaa pääsyn OpenAI:n dataan

Kuinka varmistaa, että KMS-avaintasi käytetään

Pilvipalveluntarjoajallasi pitäisi olla lokit:

• AWS – https://docs.aws.amazon.com/kms/latest/developerguide/security-logging-monitoring.html

• GCP – https://cloud.google.com/kms/docs/audit-logging

• Azure – https://learn.microsoft.com/en-us/azure/key-vault/general/howto-logging

Avaimen kiertäminen

Voit määrittää automaattisen avaimen kierron

• AWS – https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html

• GCP – https://cloud.google.com/kms/docs/rotate-key#automatic

• Azure – https://learn.microsoft.com/en-us/azure/key-vault/keys/how-to-configure-key-rotation

Testaus: tämä muutos ei vaikuta pääsyysi OpenAI:n dataan

Avaimen kumoaminen

OpenAI:n pääsy avaimeesi voidaan peruuttaa monella tavalla – millä tahansa todennusprosessin häiriöllä:

• Jos peruutat OpenAI:n roolin pääsyn KMS-avaimeen

• Jos poistat KMS-avaimelta salaus-/purkuoikeudet

• Jos käytät AWS-avaimen aliasta (ei suositella) ja vaihdat taustalla olevan KMS ARN:n. Tämä toiminto sekoitetaan joskus avaimen kiertoon, mutta kyse on todellisuudessa avaimen kumoamisesta, joten sitä ei suositella, ellet ole varma, että haluat tämän.

• Jos pyydät OpenAI:ta päivittämään ChatGPT Enterprise -työtilasi käyttämän KMS ARN:n

Avaimen kumoamisen vahvistaminen:

• Odota yksi tunti, jotta kaikki välimuistimerkinnät vanhenevat OpenAI:n puolella, ja testaa sitten kumoamista

  • Jos käytät ChatGPT Enterprisea, et enää voi lukea aiempia keskusteluja, keskusteluhaku ei näytä tuloksia aiemmista keskusteluista etkä voi käyttää aiempia mukautettuja GPT:itä.

  • Jos käytät API:a, et enää voi ladata aiempia erätiedostoja, käyttää aiempia hienosäädettyjä malleja tai viitata aiempiin Responses API:lla luotuihin vastauksiin.

• Jos käytät API:a, voit myös testata heti, että OpenAI on käsitellyt avaimen kumoamisen ja että se tulee voimaan tunnin kuluessa

  • Luo Admin API -avain (ei tavallista API-avainta):

  • Hae työtilaasi tai projektiisi liitetty OpenAI:n ulkoisen avaimen tunnus (extkey_xxx) kutsumalla curl -X GET -H "Authorization: Bearer $ADMIN_API_KEY" https://api.openai.com/v1/organization/external_keys

  • Kutsu nyt curl -X POST -H "Authorization: Bearer $ADMIN_API_KEY" "https://api.openai.com/v1/organization/external_keys/extkey_xxx/validate"

Avaimen kumoamisen parhaat käytännöt

Jos käytät API:a

• Arkistoi API-projekti, jonka dataan olet estänyt pääsyn. Määritä sitten uusi KMS-avain ja luo uusi API-projekti, joka on liitetty uuteen KMS-avaimeen.

• Huomaa, että et voi vaihtaa vanhaan API-projektiin liitettyä KMS-avainta projektissa, jossa olet kumonnut avaimen – vanha projekti on arkistoitava. Projektia, jossa avain on kumottu, ei pidä jättää käyttöön. API tekee uusien projektien luomisesta erittäin helppoa, joten käytä tätä ominaisuutta.

Jos käytät ChatGPT Enterprisea

• Ota yhteyttä OpenAI-tukeen, kun olet kumonnut avaimen.

• Teemme kanssasi työtä käynnistääksemme uuden työtilan. Emme käytä vanhaa työtilaa uudelleen yrittämällä päivittää sitä käyttämään uutta KMS-avainta. Tämä johtuu siitä, että kun avaimen kumoaminen toimii suunnitellusti, aiempi kumotulla avaimella salattu data muuttuu saavuttamattomaksi.