ઝાંખી
Enterprise Key Management (EKM) તમને OpenAI પર તમારા ગ્રાહક સામગ્રીને તમારી પોતાની બાહ્ય Key Management System (KMS) દ્વારા સંચાલિત કીઓથી એન્ક્રિપ્ટ કરવાની મંજૂરી આપે છે, જે ChatGPT Enterprise અને API બન્ને માટે ઉપલબ્ધ છે.
OpenAI AWS KMS, Google Cloud (GCP) અને Azure Key Vaultમાં બાહ્ય ખાતાઓ સાથે Bring Your Own Key (BYOK) એન્ક્રિપ્શનને સપોર્ટ કરે છે.
હાલમાં, EKM અમલીકરણ માત્ર Enterprise અને Edu વર્કસ્પેસ માટે મર્યાદિત છે, જ્યાં નિમણૂક કરાયેલ OpenAI એકાઉન્ટ પ્રતિનિધિ હોય.
OpenAI EKM એન્ક્રિપ્શન કેવી રીતે કાર્ય કરે છે
ઉચ્ચ-સ્તરનો પ્રવાહ
અમે તમારા ક્લાઉડ પ્રદાતા માટે Data Encryption Key (DEK) જનરેટ કરીએ છીએ.
તમારો ક્લાઉડ KMS માસ્ટર Key Encryption Key (KEK) સંચાલિત કરે છે, જે તમારા ક્લાઉડમાં અથવા બાહ્ય રીતે સંગ્રહિત હોઈ શકે છે. તેનો અમલ તમારા પર છે.
અમે તમારા ક્લાઉડ પાસે DEK ને એન્ક્રિપ્ટ કરવાની વિનંતી કરીએ છીએ જેથી encrypted DEK (eDEK) મળે. જો તમારો KEK બાહ્ય રીતે સંગ્રહિત હોય, તો તમારો ક્લાઉડ તમારા બાહ્ય સ્ટોર સુધી એક વધારાનો hop કરે છે, અને આ પગલું OpenAI માટે અસ્પષ્ટ રહે છે.
એન્ક્રિપ્શન
એન્ક્રિપ્શન સમયે, તમારી માહિતી DEK વડે એન્ક્રિપ્ટ થાય છે અને eDEK ફાઇલ પર metadata તરીકે સંગ્રહિત થાય છે.

ડિક્રિપ્શન
ડિક્રિપ્શન વખતે, અમે તમારા ક્લાઉડ KMS ને eDEK ને ડિક્રિપ્ટ કરીને DEK માં રૂપાંતરિત કરવાની વિનંતી કરીએ છીએ, અને પછી DEK વડે માહિતી ડિક્રિપ્ટ કરીએ છીએ.

મુખ્ય શબ્દો
Data Encryption Key (DEK) - તમારી માહિતી એન્ક્રિપ્ટ કરતી કી.
Encrypted Data Encryption Key (eDEK) - તમારી KMS દ્વારા જનરેટ થયેલી એન્ક્રિપ્ટેડ DEK
Key Encryption Key (KEK) - તમે સંચાલિત કરતા master key જે DEK -> eDEK ને એન્ક્રિપ્ટ કરે છે અને eDEK -> DEK ને ડિક્રિપ્ટ કરે છે. આ કી હંમેશા OpenAI સિસ્ટમ્સની બહાર જ રહે છે.
અમલીકરણ માટેની ઉચ્ચ-સ્તરની આવશ્યકતાઓ
તમારા ક્લાઉડ પ્રદાતામાં
તમારા ક્લાઉડ KMS માં (Azure, AWS, અથવા GCP) નવી key બનાવો
KMS પર Encrypt/Decrypt permissions સાથે કસ્ટમ, મર્યાદિત policy બનાવો
OpenAI માટે trust policy (AWS), workload identity (GCP) અથવા service principal (Azure માટે) બનાવો
તમારા KMS ને ઍક્સેસ કરવા મર્યાદિત policy સાથે OpenAI ને role આપો
OpenAI પ્લેટફોર્મમાં
ChatGPT Enterprise
પરીક્ષણ માટે sandbox ChatGPT વર્કસ્પેસ બનાવો.
API
તમારા OpenAI ડેશબોર્ડમાં, જ્યાં એન્ક્રિપ્શન લાગુ થશે એવો નવો project બનાવો.
પ્રદાતા-વિશિષ્ટ કાર્યો
AWS માટે, OpenAI આ કરશે:
ExternalID સાથે AssumeRole કૉલ કરશે
GCP માટે, OpenAI આ કરશે:
OpenAI GCP એકાઉન્ટમાંથી તમારા STS endpoint ને કૉલ કરશે
તમારા KMS પર encrypt/decrypt કૉલ કરવા માટે GCP access token નો ઉપયોગ કરશે.
Azure માટે, OpenAI આ કરશે:
તમારા Azure tenant ના vault માટે access token ની વિનંતી કરશે
તમારા Key Vault પર encrypt/decrypt કૉલ કરવા માટે તે access token નો ઉપયોગ કરશે.
OpenAI પાસેથી તમને જરૂરી માહિતી
પ્રમાણીકરણ
AWS અને GCP માટે તમારે OpenAI ના federated identity tokens ને માન્ય કરવા પડશે. Azure માટે, તેના app registration માટે તમારે OpenAI ના application id ને માન્ય કરવું પડશે.
પ્રમાણીકરણ પરિમાણોનો સારાંશ
| OpenAI AWS principal | arn:aws:iam::790389265272:role/EnterpriseKeyManagement |
| OpenAI GCP service account id | 105900137572174660365 |
| OpenAI Azure application id | 20a14814-5ab7-4612-a671-1382b412bf93 |
તમારા ક્લાઉડ પ્રદાતાના આધારે અમલીકરણ દરમિયાન જરૂરી માહિતી
AWS, માટે, તમારે નીચેની બાબતોને ઓળખતી ટ્રસ્ટ નીતિ સેટ અપ કરવી આવશ્યક છે:
OpenAIનું પ્રિન્સિપલ (એકાઉન્ટ નંબર + ભૂમિકા)
એક ExternalID જે તમારું OpenAI પ્રોજેક્ટ ID છે
GCP માટે, તમારે નીચેની બાબતોને ઓળખતી વર્કલોડ આઇડેન્ટિટી સેટ અપ કરવી આવશ્યક છે:
OpenAIનું સર્વિસ એકાઉન્ટ ID
એક ઑડિયન્સ જે તમારું OpenAI પ્રોજેક્ટ ID છે
Azure માટે, તમારે OpenAIની એપ નોંધણી માટે તમારા Azure ટેનન્ટમાં સર્વિસ પ્રિન્સિપલ બનાવવો આવશ્યક છે
OpenAIના એપ્લિકેશન ક્લાયન્ટ ID માટે એક બનાવો: 20a14814-5ab7-4612-a671-1382b412bf9
તમે https://graph.microsoft.com/v1.0/servicePrincipals એન્ડપોઇન્ટ પર પોસ્ટ કરીને આવું કરી શકો છો.
અધિકૃતતા
તમારે એવી policy બનાવવી પડશે જે OpenAI ની ઓળખને તમારા KMS સુધી મર્યાદિત ઍક્સેસ મેળવવાની મંજૂરી આપે.
| AWS | GCP | Azure |
| kms:Decryptkms:Encrypt | cloudkms.cryptoKeyVersions.useToDecryptcloudkms.cryptoKeyVersions.useToEncrypt | Microsoft.KeyVault/vaults/keys/encrypt/actionMicrosoft.KeyVault/vaults/keys/decrypt/action |
અન્ય
Azure માં, Key type (key encryption algorithm) માટે EC નહીં, RSA પસંદ કરો.
OpenAIને તમારી પાસેથી જરૂરી માહિતી
તમારા KMSને OpenAI સાથે રજિસ્ટર કરવા માટે આ દસ્તાવેજમાં આપેલી સૂચનાઓ અનુસરો. તમારે પૂરા પાડવાના પરિમાણોનો સારાંશ અહીં છે.
પ્રમાણીકરણ-સંબંધિત
AWS
IAM ભૂમિકા ARN - OpenAI દ્વારા ધારણ કરવાની ભૂમિકા (ઉદાહરણ: arn:aws:iam::123456789:role/role-name)
ExternalID - તમારું OpenAI સંસ્થા ID
GCP
વર્કલોડ આઇડેન્ટિટી પ્રોજેક્ટ નંબર (ઉદાહરણ: 123456789)
વર્કલોડ આઇડેન્ટિટી પૂલ ID
વર્કલોડ આઇડેન્ટિટી પ્રદાતા ID
માન્ય ઑડિયન્સ: તમારું OpenAI સંસ્થા ID
Azure
ટેનન્ટ ID
| AWS | GCP | Azure | |
| પ્રમાણીકરણ-સંબંધિત | ટેનન્ટ ID | ||
| KMS-સંબંધિત | KMS ARN - (ઉદાહરણ: arn:aws:kms:REGION:ACCOUNT_NUMBER:key:KEY_UUID) | KMS પ્રોજેક્ટ ID (ઉદાહરણ: adjective-noun-12345)KMS કી રિંગનું નામKMS કીનું નામKMS કીનું સ્થાન (ઉદાહરણ: us-east1) | Vault URI (ઉદાહરણ: https://your-vault-name.vault.azure.net/)કીનું નામ |
તમે તમારા KMSને OpenAI સાથે રજિસ્ટર કરી લીધા પછી, API પ્રોજેક્ટ પર તમારું EKM કૉન્ફિગ સક્રિય કરવા માટે દસ્તાવેજમાં આપેલી સૂચનાઓનું પાલન કરવાનું ચાલુ રાખો. પરીક્ષણ હેતુઓ માટે નવો OpenAI API પ્રોજેક્ટ બનાવો.
પ્રદાતા-વિશિષ્ટ અમલીકરણ માર્ગદર્શિકાઓ
પગલાવાર માર્ગદર્શન માટે, નીચે આપેલી સંબંધિત લિંક્સ જુઓ. કૃપા કરીને નોંધો કે આ OpenAI સાથેની સંકલન આવશ્યકતાઓ પર કેન્દ્રિત છે અને તમારા સંપૂર્ણ પર્યાવરણ માટે વ્યાપક માર્ગદર્શિકા તરીકે ઉપયોગ માટે નથી.
જો EKM સક્રિય હોય તો અસપોર્ટેડ સુવિધાઓ
આ પ્રારંભિક પ્રકાશનમાં, જો EKM સક્રિય હોય તો નીચેની સુવિધાઓ ઉપલબ્ધ નથી:
સિંક સાથેની Apps
જે સુવિધાઓ સામાન્ય રીતે ઉપલબ્ધ નથી (અર્થાત્ હજી beta/alpha માં હોય તેવી કોઈપણ વસ્તુ)
