OpenAI
આ પેજનો અનુવાદ મશીન દ્વારા કરવામાં આવ્યો હતો. મૂળ અંગ્રેજી લેખ જુઓ.

OpenAI Enterprise Key Management (EKM) ઝાંખી

EKM કેવી રીતે કાર્ય કરે છે, કયા પ્રદાતાઓ સપોર્ટેડ છે અને ક્યાંથી શરૂઆત કરવી તે જાણો

અપડેટ કર્યા તારીખ: 2 days ago

ઝાંખી

Enterprise Key Management (EKM) તમને OpenAI પર તમારા ગ્રાહક સામગ્રીને તમારી પોતાની બાહ્ય Key Management System (KMS) દ્વારા સંચાલિત કીઓથી એન્ક્રિપ્ટ કરવાની મંજૂરી આપે છે, જે ChatGPT Enterprise અને API બન્ને માટે ઉપલબ્ધ છે.

OpenAI AWS KMS, Google Cloud (GCP) અને Azure Key Vaultમાં બાહ્ય ખાતાઓ સાથે Bring Your Own Key (BYOK) એન્ક્રિપ્શનને સપોર્ટ કરે છે.

હાલમાં, EKM અમલીકરણ માત્ર Enterprise અને Edu વર્કસ્પેસ માટે મર્યાદિત છે, જ્યાં નિમણૂક કરાયેલ OpenAI એકાઉન્ટ પ્રતિનિધિ હોય.

OpenAI EKM એન્ક્રિપ્શન કેવી રીતે કાર્ય કરે છે

ઉચ્ચ-સ્તરનો પ્રવાહ

  1. અમે તમારા ક્લાઉડ પ્રદાતા માટે Data Encryption Key (DEK) જનરેટ કરીએ છીએ.

  2. તમારો ક્લાઉડ KMS માસ્ટર Key Encryption Key (KEK) સંચાલિત કરે છે, જે તમારા ક્લાઉડમાં અથવા બાહ્ય રીતે સંગ્રહિત હોઈ શકે છે. તેનો અમલ તમારા પર છે.

  3. અમે તમારા ક્લાઉડ પાસે DEK ને એન્ક્રિપ્ટ કરવાની વિનંતી કરીએ છીએ જેથી encrypted DEK (eDEK) મળે. જો તમારો KEK બાહ્ય રીતે સંગ્રહિત હોય, તો તમારો ક્લાઉડ તમારા બાહ્ય સ્ટોર સુધી એક વધારાનો hop કરે છે, અને આ પગલું OpenAI માટે અસ્પષ્ટ રહે છે.

એન્ક્રિપ્શન

એન્ક્રિપ્શન સમયે, તમારી માહિતી DEK વડે એન્ક્રિપ્ટ થાય છે અને eDEK ફાઇલ પર metadata તરીકે સંગ્રહિત થાય છે.

EKM encryption flow where OpenAI requests a DEK from your KMS, encrypts data, and stores encrypted data with eDEK

ડિક્રિપ્શન

ડિક્રિપ્શન વખતે, અમે તમારા ક્લાઉડ KMS ને eDEK ને ડિક્રિપ્ટ કરીને DEK માં રૂપાંતરિત કરવાની વિનંતી કરીએ છીએ, અને પછી DEK વડે માહિતી ડિક્રિપ્ટ કરીએ છીએ.

EKM decryption flow where OpenAI requests a DEK from your KMS to decrypt encrypted data for download

મુખ્ય શબ્દો

  • Data Encryption Key (DEK) - તમારી માહિતી એન્ક્રિપ્ટ કરતી કી.

  • Encrypted Data Encryption Key (eDEK) - તમારી KMS દ્વારા જનરેટ થયેલી એન્ક્રિપ્ટેડ DEK

  • Key Encryption Key (KEK) - તમે સંચાલિત કરતા master key જે DEK -> eDEK ને એન્ક્રિપ્ટ કરે છે અને eDEK -> DEK ને ડિક્રિપ્ટ કરે છે. આ કી હંમેશા OpenAI સિસ્ટમ્સની બહાર જ રહે છે.

અમલીકરણ માટેની ઉચ્ચ-સ્તરની આવશ્યકતાઓ

તમારા ક્લાઉડ પ્રદાતામાં

  1. તમારા ક્લાઉડ KMS માં (Azure, AWS, અથવા GCP) નવી key બનાવો

  2. KMS પર Encrypt/Decrypt permissions સાથે કસ્ટમ, મર્યાદિત policy બનાવો

  3. OpenAI માટે trust policy (AWS), workload identity (GCP) અથવા service principal (Azure માટે) બનાવો

  4. તમારા KMS ને ઍક્સેસ કરવા મર્યાદિત policy સાથે OpenAI ને role આપો

OpenAI પ્લેટફોર્મમાં

ChatGPT Enterprise

પરીક્ષણ માટે sandbox ChatGPT વર્કસ્પેસ બનાવો.

API

તમારા OpenAI ડેશબોર્ડમાં, જ્યાં એન્ક્રિપ્શન લાગુ થશે એવો નવો project બનાવો.

પ્રદાતા-વિશિષ્ટ કાર્યો

AWS માટે, OpenAI આ કરશે:

  • ExternalID સાથે AssumeRole કૉલ કરશે

GCP માટે, OpenAI આ કરશે:

  • OpenAI GCP એકાઉન્ટમાંથી તમારા STS endpoint ને કૉલ કરશે

  • તમારા KMS પર encrypt/decrypt કૉલ કરવા માટે GCP access token નો ઉપયોગ કરશે.

Azure માટે, OpenAI આ કરશે:

  • તમારા Azure tenant ના vault માટે access token ની વિનંતી કરશે

  • તમારા Key Vault પર encrypt/decrypt કૉલ કરવા માટે તે access token નો ઉપયોગ કરશે.

OpenAI પાસેથી તમને જરૂરી માહિતી

પ્રમાણીકરણ

AWS અને GCP માટે તમારે OpenAI ના federated identity tokens ને માન્ય કરવા પડશે. Azure માટે, તેના app registration માટે તમારે OpenAI ના application id ને માન્ય કરવું પડશે.

પ્રમાણીકરણ પરિમાણોનો સારાંશ

OpenAI AWS principalarn:aws:iam::790389265272:role/EnterpriseKeyManagement
OpenAI GCP service account id105900137572174660365
OpenAI Azure application id20a14814-5ab7-4612-a671-1382b412bf93

તમારા ક્લાઉડ પ્રદાતાના આધારે અમલીકરણ દરમિયાન જરૂરી માહિતી

  • AWS, માટે, તમારે નીચેની બાબતોને ઓળખતી ટ્રસ્ટ નીતિ સેટ અપ કરવી આવશ્યક છે:

    • OpenAIનું પ્રિન્સિપલ (એકાઉન્ટ નંબર + ભૂમિકા)

    • એક ExternalID જે તમારું OpenAI પ્રોજેક્ટ ID છે

  • GCP માટે, તમારે નીચેની બાબતોને ઓળખતી વર્કલોડ આઇડેન્ટિટી સેટ અપ કરવી આવશ્યક છે:

    • OpenAIનું સર્વિસ એકાઉન્ટ ID

    • એક ઑડિયન્સ જે તમારું OpenAI પ્રોજેક્ટ ID છે

  • Azure માટે, તમારે OpenAIની એપ નોંધણી માટે તમારા Azure ટેનન્ટમાં સર્વિસ પ્રિન્સિપલ બનાવવો આવશ્યક છે

    • OpenAIના એપ્લિકેશન ક્લાયન્ટ ID માટે એક બનાવો: 20a14814-5ab7-4612-a671-1382b412bf9

    • તમે https://graph.microsoft.com/v1.0/servicePrincipals એન્ડપોઇન્ટ પર પોસ્ટ કરીને આવું કરી શકો છો.

અધિકૃતતા

તમારે એવી policy બનાવવી પડશે જે OpenAI ની ઓળખને તમારા KMS સુધી મર્યાદિત ઍક્સેસ મેળવવાની મંજૂરી આપે.

AWSGCPAzure
kms:Decryptkms:Encryptcloudkms.cryptoKeyVersions.useToDecryptcloudkms.cryptoKeyVersions.useToEncryptMicrosoft.KeyVault/vaults/keys/encrypt/actionMicrosoft.KeyVault/vaults/keys/decrypt/action

અન્ય

Azure માં, Key type (key encryption algorithm) માટે EC નહીં, RSA પસંદ કરો.

OpenAIને તમારી પાસેથી જરૂરી માહિતી

તમારા KMSને OpenAI સાથે રજિસ્ટર કરવા માટે આ દસ્તાવેજમાં આપેલી સૂચનાઓ અનુસરો. તમારે પૂરા પાડવાના પરિમાણોનો સારાંશ અહીં છે.

  1. પ્રમાણીકરણ-સંબંધિત

    1. AWS

      1. IAM ભૂમિકા ARN - OpenAI દ્વારા ધારણ કરવાની ભૂમિકા (ઉદાહરણ: arn:aws:iam::123456789:role/role-name)

      2. ExternalID - તમારું OpenAI સંસ્થા ID

    2. GCP

      1. વર્કલોડ આઇડેન્ટિટી પ્રોજેક્ટ નંબર (ઉદાહરણ: 123456789)

      2. વર્કલોડ આઇડેન્ટિટી પૂલ ID

      3. વર્કલોડ આઇડેન્ટિટી પ્રદાતા ID

      4. માન્ય ઑડિયન્સ: તમારું OpenAI સંસ્થા ID

    3. Azure

      1. ટેનન્ટ ID

AWSGCPAzure
પ્રમાણીકરણ-સંબંધિત ટેનન્ટ ID
KMS-સંબંધિતKMS ARN - (ઉદાહરણ: arn:aws:kms:REGION:ACCOUNT_NUMBER:key:KEY_UUID)KMS પ્રોજેક્ટ ID (ઉદાહરણ: adjective-noun-12345)KMS કી રિંગનું નામKMS કીનું નામKMS કીનું સ્થાન (ઉદાહરણ: us-east1)Vault URI (ઉદાહરણ: https://your-vault-name.vault.azure.net/)કીનું નામ

તમે તમારા KMSને OpenAI સાથે રજિસ્ટર કરી લીધા પછી, API પ્રોજેક્ટ પર તમારું EKM કૉન્ફિગ સક્રિય કરવા માટે દસ્તાવેજમાં આપેલી સૂચનાઓનું પાલન કરવાનું ચાલુ રાખો. પરીક્ષણ હેતુઓ માટે નવો OpenAI API પ્રોજેક્ટ બનાવો.

પ્રદાતા-વિશિષ્ટ અમલીકરણ માર્ગદર્શિકાઓ

પગલાવાર માર્ગદર્શન માટે, નીચે આપેલી સંબંધિત લિંક્સ જુઓ. કૃપા કરીને નોંધો કે આ OpenAI સાથેની સંકલન આવશ્યકતાઓ પર કેન્દ્રિત છે અને તમારા સંપૂર્ણ પર્યાવરણ માટે વ્યાપક માર્ગદર્શિકા તરીકે ઉપયોગ માટે નથી.

જો EKM સક્રિય હોય તો અસપોર્ટેડ સુવિધાઓ

આ પ્રારંભિક પ્રકાશનમાં, જો EKM સક્રિય હોય તો નીચેની સુવિધાઓ ઉપલબ્ધ નથી:

  • સિંક સાથેની Apps

  • જે સુવિધાઓ સામાન્ય રીતે ઉપલબ્ધ નથી (અર્થાત્ હજી beta/alpha માં હોય તેવી કોઈપણ વસ્તુ)

શું આ લેખ મદદરૂપ હતો?