OpenAI
Cette page a été traduite automatiquement. Afficher l’article original en anglais.

Cycle de vie des clés KMS EKM

Guide complet du cycle de vie des clés KMS, des vérifications de configuration au nettoyage après révocation

Mise à jour : 8 days ago

Prérequis

Cela suppose que vous avez déjà enregistré votre clé KMS externe auprès d’OpenAI en suivant l’un de ces guides

Termes clés

La rotation de clé et la révocation de clé servent des objectifs différents. Assurez-vous de choisir la bonne action pour votre cas d’utilisation.

  • Rotation de clé : générer du nouveau matériel cryptographique pour le chiffrement des nouvelles données, tout en permettant le déchiffrement des données plus anciennes chiffrées avec des clés précédentes

    • La rotation de clé n’affecte pas l’accès aux données OpenAI

  • Révocation de clé : révoquer l’accès à toutes les données chiffrées avec des clés précédentes.

    • La révocation de clé révoque l’accès aux données OpenAI

Comment vérifier que votre clé KMS est utilisée

Votre fournisseur de services infonuagiques devrait disposer de journaux :

Comment effectuer la rotation de votre clé

Vous pouvez configurer la rotation automatique des clés

À tester : votre accès aux données OpenAI ne sera pas touché par ce changement

Comment révoquer votre clé

Il existe de nombreuses façons de révoquer l’accès d’OpenAI à votre clé : toute interruption du flux d’authentification :

  • Si vous révoquez l’accès du rôle d’OpenAI à la clé KMS

  • Si vous supprimez les autorisations de chiffrement/déchiffrement sur la clé KMS

  • Si vous utilisez un alias de clé AWS (non recommandé), si vous changez l’ARN KMS sous-jacent. Cette action est parfois confondue avec la rotation de clé, mais il s’agit en fait d’une révocation de clé; elle n’est donc pas recommandée, sauf si vous êtes certain de vouloir l’effectuer.

  • Si vous demandez à OpenAI de mettre à jour l’ARN KMS utilisé pour votre espace de travail ChatGPT Enterprise

Pour valider votre révocation de clé :

  • Attendez une heure afin que toutes les entrées de cache expirent du côté d’OpenAI, puis testez la révocation

    • Si vous utilisez ChatGPT Enterprise, vous ne pourrez plus lire les conversations précédentes, la recherche de conversations n’affichera pas de résultats provenant de conversations précédentes, et vous ne pourrez plus accéder aux GPT personnalisés précédents.

    • Si vous utilisez l’API, vous ne pourrez plus télécharger les fichiers de lot précédents, utiliser les modèles affinés précédents ni référencer les réponses précédentes créées à l’aide de l’API Responses.

  • Si vous utilisez l’API, vous pouvez aussi tester immédiatement que votre révocation de clé a été traitée par OpenAI et prendra effet dans l’heure qui suit

    • Créez une clé d’API administrateur (et non une clé d’API normale) :

    • Obtenez l’identifiant de clé externe OpenAI (extkey_xxx) associé à votre espace de travail ou à votre projet en appelant curl -X GET -H "Authorization: Bearer $ADMIN_API_KEY" https://api.openai.com/v1/organization/external_keys

    • Appelez maintenant curl -X POST -H "Authorization: Bearer $ADMIN_API_KEY" "https://api.openai.com/v1/organization/external_keys/extkey_xxx/validate"

Pratiques exemplaires pour la révocation de clés

Si vous utilisez l’API

  • Archivez le projet d’API dont vous avez rendu les données inaccessibles. Ensuite, configurez une nouvelle clé KMS et créez un nouveau projet d’API associé à cette nouvelle clé KMS.

  • Notez que vous ne pouvez pas remplacer la clé KMS associée à l’ancien projet d’API où vous avez exécuté la révocation de clé : vous devez archiver l’ancien projet. Un projet pour lequel une révocation de clé a été émise ne devrait pas rester en service. L’API permet de créer très facilement de nouveaux projets; utilisez donc cette fonctionnalité.

Si vous utilisez ChatGPT Enterprise

  • Communiquez avec le soutien d’OpenAI après avoir exécuté une révocation de clé.

  • Nous travaillerons avec vous pour créer un nouvel espace de travail. Nous ne réutiliserons pas l’ancien espace de travail en tentant de le mettre à jour pour utiliser une nouvelle clé KMS. En effet, lorsque la révocation de clé fonctionne comme prévu, les données antérieures chiffrées avec la clé révoquée deviennent inaccessibles.

Cet article vous a-t-il été utile?