Présentation
La gestion des clés d'entreprise (EKM) permet à OpenAI de chiffrer les données à l'aide d'une clé maîtresse que vous contrôlez. Ce document explique comment configurer votre compte AWS afin d'accorder à OpenAI des autorisations limitées sur votre KMS.

Étapes
1. Créez une nouvelle clé KMS
Allez à KMS -> Clés gérées par le client, puis cliquez sur Créer une clé.
Sélectionnez un algorithme de chiffrement symétrique.
Une fois votre clé créée, notez son ARN. Les formats pris en charge sont :
arn:aws:kms:<region>:<account_number>:key/<uuid>,...:key/mrk-*ou...:alias/<alias_name>.

2. Créez une politique personnalisée pour un accès limité à la clé KMS
Allez à IAM -> Stratégies, puis cliquez sur Créer une stratégie.
À l'étape Spécifier les autorisations, sélectionnez JSON et saisissez ce qui suit pour accorder à la politique les actions d'accès KMS. Assurez-vous de remplacer YOUR_KMS_ARN par l'ARN de la clé que vous avez créée.

{
"Version" : "2012-10-17",
"Statement" : [
{
"Sid" : "AllowEncryptDecrypt",
"Effect" : "Allow",
"Action" : [
"kms :Decrypt",
"kms :Encrypt"
],
"Resource" : <YOUR_KMS_ARN>
}
]
}3. Créez un rôle IAM qu'OpenAI pourra assumer, puis associez-le à la politique qui accorde un accès limité à votre KMS
OpenAI appellera AssumeRole depuis un compte AWS appartenant à OpenAI. Cette étape permet au principal AWS d’OpenAI d’endosser le rôle limité pour accéder à votre KMS.
Allez à IAM -> Rôles, puis cliquez sur Créer un rôle.
À l’étape Sélectionner une entité de confiance, sélectionnez Politique de confiance personnalisée.

Ensuite, saisissez ce qui suit dans la Stratégie d’approbation personnalisée pour autoriser l’accès au principal AWS d’OpenAI.
Le principal AWS d’OpenAI est :
arn:aws:iam::790389265272:role/EnterpriseKeyManagement.Indiquez quel ExternalId OpenAI doit transmettre lors du processus
AssumeRole.Pour ChatGPT ou l’API, utilisez l’identifiant d’organisation (org-xxx) associé à votre espace de travail : https://platform.api.openai.org/settings/organization/general.
Pour l’API, vous pouvez utiliser un ID de projet API spécifique pour plus de granularité.
{
"Version" : "2012-10-17",
"Statement" : [
{
"Effect" : "Allow",
"Principal" : {
"AWS" : "arn :aws :iam : :790389265272 :role/EnterpriseKeyManagement"
},
"Action" : "sts :AssumeRole",
"Condition" : {
"StringEquals" : {
"sts :ExternalId" : [
<YOUR_OPENAI_ORGANIZATION_ID>
]
}
}
}
]
}Ensuite, à l’étape Ajouter des autorisations, recherchez le nom de la stratégie IAM que vous avez créée à l’étape précédente. Cliquez sur la case à cocher à côté du nom de la stratégie, puis cliquez sur Suivant.

Enfin, dans la section Nommer, vérifier et créer, sélectionnez n’importe quel nom de rôle.
4. Appliquez toute restriction supplémentaire conformément à vos propres pratiques de sécurité
Ci-dessus figurent les informations minimales requises dont OpenAI a besoin pour configurer EKM. Vous êtes libre d'appliquer des stratégies ou restrictions supplémentaires relatives aux clés, conformément à vos propres pratiques internes de sécurité, à condition qu'OpenAI puisse appeler les opérations de chiffrement et de déchiffrement sur votre KMS. Lorsque vous appelez l'endpoint d'enregistrement de clé avec OpenAI décrit ci-dessous, nous validerons votre configuration.
Après avoir suivi les étapes ci-dessus
ChatGPT Enterprise
Veuillez contacter votre contact OpenAI et partager les éléments suivants :
"role_arn" : "arn:aws:iam::<YOUR_AWS_ACCOUNT_NUMBER>:role/<YOUR_ROLE>"L’ARN du rôle qu’OpenAI endossera dans votre cloud.
"kms_arn" : "arn :aws :kms :<REGION> :<YOUR_AWS_ACCOUNT_NUMBER> :key/<UUID>"L’ARN du système de gestion des clés (KMS) pour la clé principale que vous gérez.
Nous activerons EKM pour votre organisation ou espace de travail ChatGPT.
API
Enregistrez votre clé externe auprès d'OpenAI
Suivez les instructions de cette référence d’API : Clés externes dans l’API de gestion.
Tout d’abord, enregistrez votre clé externe au niveau de l’organisation OpenAI, ce qui générera un identifiant de clé externe.
À cette étape, nous allons vérifier que votre entrée est valide et que nous pouvons nous authentifier auprès de votre KMS.
Ceci n'ajoutera pas encore EKM à votre projet OpenAI.
curl -X POST \
-H "Content-type : application/json" \
-H "Authorization : Bearer $TOKEN" \
"https://api.openai.com/v1/organization/external_keys" \
-d '{
"type" : "aws",
"name" : "AWS EKM Config",
"role_arn" : "arn :aws :iam : :<YOUR_AWS_ACCOUNT_NUMBER> :role/<YOUR_ROLE>",
"kms_arn" : "arn :aws :kms :<REGION> :<YOUR_AWS_ACCOUNT_NUMBER> :key/<UUID>",
"external_id" : <your org id or project id>
}'Ensuite, créez un projet OpenAI associé à la clé externe. Après cela, EKM est activé sur votre projet. Le corps de la réponse de cet appel d’API vous fournira l’identifiant du projet (proj_xxx).
curl -X POST \
-H "Content-type : application/json" \
-H "Authorization : Bearer $TOKEN" \
"https://api.openai.com/v1/organization/projects" \
-d '{
"name" : "Some Project",
"external_key_id" : "extkey_xxxx"
}'