Prérequis

Cela suppose que vous avez déjà enregistré votre clé KMS externe auprès d’OpenAI, en suivant l’un de ces guides

• Instructions d’intégration EKM OpenAI / AWS

• Instructions d’intégration EKM OpenAI / GCP

• Instructions d’intégration EKM OpenAI / Azure

Termes clés

La rotation des clés et la révocation des clés servent à des fins différentes. Assurez-vous de choisir la bonne action pour votre cas d’utilisation.

• Rotation des clés : Générer de nouveau matériel cryptographique pour chiffrer de nouvelles données, tout en permettant le déchiffrement des données plus anciennes chiffrées avec des clés précédentes

  • La rotation des clés n’affecte pas l’accès aux données OpenAI

• Révocation de clé : Révoquer l’accès à toutes les données chiffrées avec des clés précédentes.

  • La révocation de clé révoque l’accès aux données OpenAI

Comment vérifier que votre clé KMS est utilisée

Votre fournisseur de services infonuagiques devrait avoir des journaux :

• AWS - https://docs.aws.amazon.com/kms/latest/developerguide/security-logging-monitoring.html

• GCP - https://cloud.google.com/kms/docs/audit-logging

• Azure - https://learn.microsoft.com/en-us/azure/key-vault/general/howto-logging

Comment effectuer la rotation de votre clé

Vous pouvez configurer la rotation automatique des clés 

• AWS - https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html

• GCP - https://cloud.google.com/kms/docs/rotate-key#automatic

• Azure - https://learn.microsoft.com/en-us/azure/key-vault/keys/how-to-configure-key-rotation

Pour tester : votre accès aux données OpenAI ne sera pas affecté par ce changement

Comment révoquer votre clé

Il existe de nombreuses façons de révoquer l’accès d’OpenAI à votre clé — toute interruption dans le flux d’authentification :

• Si vous révoquez l’accès du rôle d’OpenAI à la clé KMS

• Si vous supprimez les autorisations de chiffrement/déchiffrement sur la clé KMS

• Si vous utilisez un alias de clé AWS (non recommandé), si vous changez l’ARN KMS sous-jacent. Cette action est parfois confondue avec la rotation de clé, mais il s’agit en réalité d’une révocation de clé; elle n’est donc pas recommandée, sauf si vous êtes certain de vouloir le faire.

• Si vous demandez à OpenAI de mettre à jour l’ARN KMS utilisé pour votre espace de travail ChatGPT Enterprise

Pour valider la révocation de votre clé :

• Attendez une heure pour que toutes les entrées de cache expirent du côté d’OpenAI, puis testez la révocation

  • Si vous utilisez ChatGPT Enterprise, vous ne pourrez plus lire les conversations précédentes, la recherche dans les conversations n’affichera plus de résultats provenant des conversations précédentes, et vous ne pourrez plus accéder aux GPT personnalisés précédents. 

  • Si vous utilisez l’API, vous ne pourrez plus télécharger les fichiers de lots précédents, utiliser les modèles ajustés précédents ni référencer les réponses précédentes créées à l’aide de l’API Responses.

• Si vous utilisez l’API, vous pouvez aussi tester immédiatement que la révocation de votre clé a bien été traitée par OpenAI et qu’elle prendra effet dans l’heure

  • Créez une clé d’API d’administration (pas une clé API normale) : 

  • Obtenez l’identifiant de clé externe OpenAI (extkey_xxx) associé à votre espace de travail ou projet en appelant curl -X GET -H "Authorization: Bearer $ADMIN_API_KEY" https://api.openai.com/v1/organization/external_keys

  • Appelez maintenant curl -X POST -H "Authorization: Bearer $ADMIN_API_KEY" "https://api.openai.com/v1/organization/external_keys/extkey_xxx/validate"

Pratiques exemplaires pour la révocation de clé

Si vous utilisez l’API

• Archivez le projet API dont vous avez rendu les données inaccessibles. Configurez ensuite une nouvelle clé KMS, puis créez un nouveau projet API associé à la nouvelle clé KMS.

• Notez que vous ne pouvez pas remplacer la clé KMS associée à l’ancien projet API où vous avez exécuté la révocation de clé — vous devez archiver l’ancien projet. Un projet pour lequel une révocation de clé a été émise ne devrait pas demeurer en utilisation. L’API facilite grandement la création de nouveaux projets; utilisez donc cette fonctionnalité.

Si vous utilisez ChatGPT Enterprise

• Communiquez avec le soutien OpenAI après avoir exécuté une révocation de clé.

• Nous travaillerons avec vous pour créer un nouvel espace de travail. Nous ne réutiliserons pas l’ancien espace de travail en tentant de le mettre à jour pour utiliser une nouvelle clé KMS. En effet, lorsque la révocation de clé fonctionne comme prévu, les données précédentes chiffrées avec la clé révoquée deviennent inaccessibles.