OpenAI
આ પેજનો અનુવાદ મશીન દ્વારા કરવામાં આવ્યો હતો. મૂળ અંગ્રેજી લેખ જુઓ.

EKM ટેક્નિકલ FAQ

EKM વર્તન, પરવાનગીઓ અને કી લાઇફસાઇકલ વિશેના સામાન્ય ટેક્નિકલ પ્રશ્નોના જવાબો

અપડેટ કર્યા તારીખ: 2 days ago

એન્ક્રિપ્શન ખ્યાલો

ઉચ્ચ-સ્તરીય પ્રવાહ

  • તમે તમારા ક્લાઉડમાં એક માસ્ટર કી નિયંત્રિત કરો છો, જેને OpenAI ક્યારેય જોતું નથી.

  • તમારી માસ્ટર કીનો ઉપયોગ OpenAI દ્વારા વપરાતી ડેટા એન્ક્રિપ્શન કી (DEK) એન્ક્રિપ્ટ કરવા માટે થાય છે.

  • OpenAI તમારા સ્ટોર થયેલા ડેટાને એન્ક્રિપ્ટ કરવા માટે DEK નો ઉપયોગ કરે છે. DEK તમારી માસ્ટર કી વડે એન્ક્રિપ્ટ થાય છે, જેના પરિણામે eDEK (એન્ક્રિપ્ટેડ DEK) બને છે, જે તમારા ડેટા સાથે સંગ્રહિત થાય છે.

  • ડેટા વાંચવા માટે, OpenAI eDEK લે છે, તેને DEK માં ડિક્રિપ્ટ કરવા તમારા KMS ને વિનંતી કરે છે, અને પછી તમારો ડેટા ડિક્રિપ્ટ કરે છે.

EKM એન્ક્રિપ્શન કેવી રીતે કામ કરે છે?

વિગતવાર માહિતી માટે કૃપા કરીને અમારો લેખ જુઓ: OpenAI એન્ટરપ્રાઇઝ કી મેનેજમેન્ટ (EKM) ઓવરવ્યૂ

શું OpenAI મારા DEK સ્ટોર કરે છે?

ના - અમે એન્ક્રિપ્ટેડ DEK (eDEK) સ્ટોર કરીએ છીએ, જે તમારા KMS દ્વારા જનરેટ થાય છે. ડેટા ડિક્રિપ્ટ કરવા માટે, અમે તમારા KMS ને eDEK પાછું DEK માં ડિક્રિપ્ટ કરવા કહીએ છીએ.

શું OpenAI મારા DEK કેશ કરે છે?

હા - માત્ર મેમરીમાં. આ દરેક ડેટા encrypt/decrypt વિનંતી પર તમારા KMS ને હિટ કરવાનું ટાળવા માટે પ્રદર્શન હેતુસર છે. DEK ક્યારેય સ્ટોરેજમાં લખાતા નથી.

ક્લાઉડ પરવાનગીઓ

મારા KMS પર OpenAI પાસે કઈ પરવાનગીઓ હશે?

તમે સેટ કરેલી નીતિ મારફતે અમને આપો છો તે જ પરવાનગીઓ. અમને ઓછામાં ઓછા Encrypt/Decrypt ઑપરેશન્સની જરૂર છે. ઉત્પાદન હેતુઓ માટે વપરાતી કોઈપણ હાલની કી ફરીથી વાપરવાને બદલે, કૃપા કરીને તમારા ક્લાઉડ KMS માં OpenAI માટે નવી કી પણ બનાવો.

OpenAI ને મારા KMS ઍક્સેસ કરવાની પરવાનગીઓ ક્યારે મળે છે?

આ બધાં પગલાં લેવાયેલા હોવા જોઈએ:

  1. તમે OpenAI ની ઓળખ માન્ય કરી છે (ક્લાઉડ પ્રદાતા પર આધાર રાખીને ટ્રસ્ટ પોલિસી, વર્કલોડ ઓળખ વગેરે મારફતે).

  2. તમે KMS ઍક્સેસ કરવા માટે નીતિ બનાવી છે.

  3. તમે OpenAI ની ઓળખને નીતિ ઍક્સેસ કરવાની પરવાનગી સોંપી છે.

જો તમે આ બધાં પગલાં લીધા વગર માત્ર KMS બનાવો છો, તો OpenAI પાસે ઍક્સેસ નથી.

શું મારી માસ્ટર કી મારા ક્લાઉડમાં જ સ્ટોર કરવી પડશે?

ના - તમારી માસ્ટર કી કેવી રીતે મેનેજ કરવી તે તમારા પર છે. તમારી પાસે ક્લાઉડ-સંચાલિત સોલ્યુશન હોઈ શકે છે અથવા બહારનું સોલ્યુશન હોઈ શકે છે જ્યાં તમારી કી અલગથી સ્ટોર કરવામાં આવે છે. OpenAI ને ફક્ત તમારા KMS પર encrypt/decrypt ઑપરેશન્સ કૉલ કરવાની જરૂર છે - માસ્ટર કી વાસ્તવમાં encrypt/decrypt કેવી રીતે કરે છે તે અમલની વિગત છે, જે અમારે માટે અસ્પષ્ટ છે.

કી લાઇફસાઇકલ

DEK/eDEK રોટેશન (OpenAI દ્વારા નિયંત્રિત)

DEK/eDEK કેટલી વાર રોટેટ થાય છે?

એન્ક્રિપ્શન પાથ પર દર 24 કલાકે (DEK/eDEK કી જોડીની વિનંતી કરતી વખતે)

ડિક્રિપ્શન કી પાથ માટે દર 1 કલાકે (DEK -> eDEK)

DEK બદલાય ત્યારે શું મારે કંઈ કરવું પડશે?

ના - DEK/eDEK રોટેશન OpenAIની અંદર થાય છે. જ્યાં સુધી તમારી માસ્ટર કી માન્ય રહે છે, ત્યાં સુધી તમારી માસ્ટર કી વડે એન્ક્રિપ્ટ કરાયેલા કોઈપણ eDEK ને DEK માં ડિક્રિપ્ટ કરી શકાય છે, જે પછી તમારા ડેટાને ડિક્રિપ્ટ કરવા માટે વપરાય છે.

માસ્ટર કી રોટેશન અને રદબાતલ કરવું (તમારા દ્વારા નિયંત્રિત)

કી રોટેશન અને કી રદબાતલ કરવું કેટલી વાર થાય છે?

આ તમે નક્કી કરો છો, કારણ કે OpenAI પાસે તમારી માસ્ટર કી વિશે દૃશ્યતા નથી.

કી રોટેશન અને કી રદબાતલ કરવાના વચ્ચે શું ફરક છે?

કી રદબાતલ કરવાથી જૂની કીનો ઉપયોગ કરીને એન્ક્રિપ્ટ કરાયેલા ડેટાની ઍક્સેસ દૂર થાય છે. કી રોટેશન નવી કીથી ડેટા એન્ક્રિપ્ટ કરે છે, પરંતુ જૂના ડેટાની વાંચન ઍક્સેસ જાળવી રાખે છે.

જો હું મારી માસ્ટર કી રદબાતલ કરું તો શું થાય?

જો કી રદબાતલ થાય અથવા પરવાનગીઓ દૂર થાય, તો કેશ કરેલી કીઓ સમાપ્ત થયા પછી વર્કસ્પેસ અંતે બિનકાર્યરત બની જશે. તે સમયે, OpenAI સંગ્રહિત ડેટા ડિક્રિપ્ટ અથવા નવો ડેટા એન્ક્રિપ્ટ કરી શકશે નહીં. અસરકારક રીતે, ડેટા “શ્રેડ” થઈ જાય છે.

રદબાતલ કરવું કેટલા સમયમાં અસર કરે છે?

પ્રદર્શન અને સ્થિતિસ્થાપકતા માટે OpenAI DEK ને મેમરીમાં કેશ કરે છે. કેશ કરેલી કીઓ સમાપ્ત થાય અને પુનઃમાન્યતા નિષ્ફળ જાય પછી, રદબાતલ કરવું સામાન્ય રીતે એક કલાકની અંદર અસર કરે છે.

શું રદબાતલ કરવાની પ્રક્રિયાનું સુરક્ષિત રીતે પરીક્ષણ કરી શકાય છે?

પ્રોડક્શન વર્કસ્પેસમાં રદબાતલ કરવાની પ્રક્રિયાનું પરીક્ષણ કરવાની ભલામણ નથી, કારણ કે તે હાલના ડેટાને કાયમ માટે અપ્રાપ્ય બનાવી દેશે. પરંતુ ગ્રાહકો યોગ્ય વર્તન ચકાસવા અને પોતાની વિશ્વાસ-સંબંધિત ધારણાઓ માન્ય કરવા માટે સેન્ડબોક્સ પર્યાવરણમાં રદબાતલ કરવાની પ્રક્રિયાનું પરીક્ષણ કરી શકે છે (અને કરવું જોઈએ).

જો કોઈ કી કાયમી રીતે રદબાતલ કરવામાં આવે, તો શું નવી કી જોડીને વર્કસ્પેસ પુનઃપ્રાપ્ત કરી શકાય?

ના. કી ગુમાયા પછી, ડિઝાઇન મુજબ ડેટા પાછો મેળવી શકાતો નથી. એકમાત્ર ઉપાય નવો વર્કસ્પેસ શરૂ કરવાનો છે.

કીમાં ફેરફારોને કારણે વર્કસ્પેસ અપ્રાપ્ય બને તો અમારે શું કરવું જોઈએ?

અપેક્ષિત ઉપાય નવો વર્કસ્પેસ બનાવવાનો છે. KMS અપડેટ કરવાથી હાલનો ડેટા પુનઃપ્રાપ્ત નહીં થાય.

જો અમે CMEK નો ઉપયોગ બંધ કરવાનો નિર્ણય કરીએ, તો બેકઆઉટ પ્લાન શું છે?

હાલમાં કોઈ બેકઆઉટ પ્લાન નથી. એકવાર CMEK સાથે વર્કસ્પેસ બનાવવામાં આવે, પછી સંબંધિત તમામ ડેટા ગ્રાહક-સંચાલિત કીઓથી એન્ક્રિપ્ટ થાય છે અને તે કીઓ વિના ઍક્સેસ કરી શકાતો નથી. CMEK નો ઉપયોગ બંધ કરવાનો એકમાત્ર રસ્તો નવો વર્કસ્પેસ બનાવવાનો છે — હાલનો એન્ક્રિપ્ટેડ ડેટા કાયમ માટે અપ્રાપ્ય રહેશે.

જ્યારે હું મારી માસ્ટર કી રોટેટ કરું ત્યારે શું થાય?

એન્ક્રિપ્શન માટે નવી ક્રિપ્ટોગ્રાફિક સામગ્રી જનરેટ થશે, તેથી નવી એન્ક્રિપ્શન વિનંતીઓ નવી કીનો ઉપયોગ કરશે. પરંતુ KMS ઓળખકર્તા (ARN અથવા કી નામ) એ જ રહે છે અને જૂનો ડેટા હજુ પણ ડિક્રિપ્ટ કરી શકાય છે. ઘણા ક્લાઉડ પ્રદાતાઓ આપમેળે કી રોટેશન આપે છે (AWS, GCP, Azure).

જ્યારે હું મારી માસ્ટર કી રોટેટ કરું ત્યારે શું OpenAI જૂના ડેટાને ફરીથી એન્ક્રિપ્ટ કરે છે?

ના. નવી ક્રિપ્ટોગ્રાફિક સામગ્રીનો ઉપયોગ માત્ર નવો ડેટા એન્ક્રિપ્ટ કરવા માટે થશે.

કી રોટેશન અથવા કી રદબાતલ કરવું અસરકારક થવામાં કેટલો સમય લાગે છે?

1 કલાક. કારણ કે DEK/eDEK મેમરીમાં કેશ થાય છે અને અમે દર કલાકે તમારા KMS સાથે આ એન્ટ્રીઓ ફરીથી માન્ય કરીએ છીએ.

KMS ઓળખકર્તા બદલવો

KMS ઓળખકર્તા બદલવું કી રદબાતલ કરવું છે કે કી રોટેશન?

કી રદબાતલ કરવું. એક કી બીજી કીથી એન્ક્રિપ્ટ થયેલો ડેટા ડિક્રિપ્ટ કરી શકતી નથી.

શું OpenAI મને ChatGPT વર્કસ્પેસ માટે મારો KMS ઓળખકર્તા બદલવામાં મદદ કરી શકે છે?

જો તમે પુષ્ટિ કરો કે તમારો હેતુ તમારી કી રદબાતલ કરવાનો છે, તો અમે ChatGPT વર્કસ્પેસ માટે આ કરવામાં તમારી મદદ કરી શકીએ છીએ. નોંધો કે KMS ARN અપડેટ થાય ત્યારે જૂનો ડેટા અપ્રાપ્ય જ રહેશે, તેથી ફેરફાર પછી તમારી પાસે અપ્રાપ્ય અને ઍક્સેસિબલ ડેટાનું મિશ્રણ રહેશે.

શું OpenAI મને API પ્રોજેક્ટ માટે મારો KMS ઓળખકર્તા બદલવામાં મદદ કરી શકે છે?

જો તમે API નો ઉપયોગ કરો છો, તો API નવા પ્રોજેક્ટ્સ આર્કાઇવ કરવું અને બનાવવું સરળ બનાવે છે, તેથી જે પ્રોજેક્ટનો ડેટા તેમ છતાં ઍક્સેસિબલ નથી તેને આર્કાઇવ કરો, OpenAI સાથે નવું EKM કૉન્ફિગ રજિસ્ટર કરો, અને નવી KMS કી સાથે નવો API પ્રોજેક્ટ બનાવો.

જો હું નિયમિત રીતે મારી જાતે મારો KMS ઓળખકર્તા બદલવા માગું તો શું?

આની ભલામણ નથી, કારણ કે તમે કદાચ તમારી કી નિયમિત રીતે રદબાતલ કરવા માંગતા નથી. પરંતુ જો તમે KMS કી અલિયાસને સપોર્ટ કરતા ક્લાઉડ પ્રદાતાનો ઉપયોગ કરો છો, તો તમે હજી પણ આ કરી શકો છો (AWS ઉદાહરણ). તમે તે KMS કી અલિયાસ OpenAI સાથે રજિસ્ટર કરી શકો છો, અને પછી તમારા ક્લાઉડ પ્રદાતા પર કી રદબાતલ કરવા માટે અલિયાસ જે મૂળ KMS ઓળખકર્તા તરફ સૂચવે છે તેને તમે કોઈપણ સમયે બદલી શકો છો.

બીટા અને GA વર્તન

પ્રોડક્શનમાં એન્ક્રિપ્શન બીટાનો ઉપયોગ કરતી વખતે કોઈ જાણીતા જોખમો અથવા સિસ્ટમ-સ્તરના ફેરફારો છે?

બીટા પર્યાવરણ કાર્યાત્મક રીતે GA સમકક્ષ છે, અને કોઈ માઇગ્રેશન પગલાં અપેક્ષિત નથી. મુખ્ય જોખમ એ છે કે અપૂર્ણ કોડ પાથને કારણે કેટલીક એજ-કેસ સુવિધાઓ હજુ એન્ક્રિપ્ટેડ કન્ટેન્ટને સપોર્ટ ન કરતી હોઈ શકે. આ દુર્લભ છે અને સક્રિય રીતે ઉકેલાઈ રહ્યા છે. આ સંભવિત સમસ્યાઓ હોવા છતાં ડેટા સંપૂર્ણપણે એન્ક્રિપ્ટેડ અને સુરક્ષિત છે.

બીટાથી GA સુધી કોઈ માઇગ્રેશન પગલાં હશે?

ના. એન્ક્રિપ્શન બીટાનો ઉપયોગ કરતા વર્કસ્પેસ કોઈપણ વપરાશકર્તા ક્રિયા વિના GA માં આપમેળે સમર્થિત થશે.

વધારાની ટેક્નિકલ વિગતો

એન્વલપ એન્ક્રિપ્શન અને પરવાનગીઓ

શું EKM માટે OpenAI ને GenerateDataKey પરવાનગીઓ આપવાની જરૂર છે?

ના. OpenAI ને તમારી KMS કી પર માત્ર Encrypt અને Decrypt પરવાનગીઓની જરૂર છે. EKM ઇન્ટિગ્રેશન માટે GenerateDataKey પરવાનગી જરૂરી નથી.

શું OpenAI ગ્રાહક ડેટા માટે એન્વલપ એન્ક્રિપ્શનનો ઉપયોગ કરે છે?

હા. OpenAI એન્વલપ એન્ક્રિપ્શન મોડલનો ઉપયોગ કરે છે:

  • ગ્રાહક KMS: કી એન્ક્રિપ્શન કી (KEK) મેનેજ કરે છે. OpenAI ક્યારેય KEK જોતું કે સ્ટોર કરતું નથી.

  • OpenAI ઈન્ફ્રાસ્ટ્રક્ચર: ડેટા એન્ક્રિપ્શન કી (DEK) જનરેટ અને મેનેજ કરે છે. દરેક DEK સ્ટોરેજ પહેલાં તમારી KEK વડે એન્ક્રિપ્ટ (રેપ) થાય છે.

  • ડેટા પ્રવાહ:

    • ગ્રાહક ડેટા DEK વડે એન્ક્રિપ્ટ થાય છે.

    • તે DEK તમારી KEK વડે એન્ક્રિપ્ટ થાય છે, જેના પરિણામે eDEK બને છે.

    • eDEK એન્ક્રિપ્ટેડ ડેટા સાથે સંગ્રહિત થાય છે.

    • ડેટા ડિક્રિપ્ટ કરવા માટે, OpenAI તમારા KMS ને eDEK ડિક્રિપ્ટ કરવાની વિનંતી કરે છે, DEK મેળવે છે, અને કન્ટેન્ટ ડિક્રિપ્ટ કરે છે.

KMS ને KEK અને DEK બંને મેનેજ કરવા દેવાની બદલે OpenAI એ આ મોડલ કેમ પસંદ કર્યું?

એન્વલપ એન્ક્રિપ્શનના બે સામાન્ય અભિગમો છે:

KMS-સંચાલિત KEK અને DEK:

ફાયદા: અમલીકરણ સરળ, એન્ક્રિપ્શન ઈન્ફ્રાસ્ટ્રક્ચર જાળવવાની જરૂર નથી.

ગેરફાયદા: દરેક એન્ક્રિપ્શન/ડિક્રિપ્શન વિનંતી KMS સુધી પહોંચે છે, જેના કારણે લેટન્સી અને ખર્ચ વધે છે, અને નિષ્ફળતાનું એક જ બિંદુ ઊભું થાય છે.

KMS-સંચાલિત KEK / OpenAI-સંચાલિત DEK (અમારો અભિગમ):

ફાયદા: નોંધપાત્ર રીતે ઓછી લેટન્સી અને ખર્ચ, વધુ સારી સ્કેલેબિલિટી અને વિશ્વસનીયતા, અને આંશિક KMS આઉટેજ દરમિયાન સતત કામગીરી (DEK કેશ TTL સુધી).

ગેરફાયદા: OpenAI તરફે અમલીકરણ થોડું વધુ જટિલ છે.

આ ડિઝાઇન OpenAI ને ગ્રાહકો માટે ઓપરેશનલ જોખમ અને ખર્ચ ઘટાડતાં મજબૂત સુરક્ષા ખાતરીઓ પ્રદાન કરવાની મંજૂરી આપે છે.

DEK કેટલી વાર રોટેટ થાય છે?

દરેક DEK લગભગ દર 60 મિનિટે રોટેટ થાય છે. આ સમયગત અલગતા આપે છે — જો કોઈ રીતે DEK સમાધાન પામે, તો પણ અસર માત્ર તે એક કલાકની વિન્ડોમાં એન્ક્રિપ્ટ કરાયેલા ડેટા સુધી મર્યાદિત રહેશે.

KMS વિનંતી વોલ્યુમ અને અવલોકનક્ષમતા

અમને વપરાશકર્તા સંદેશાઓની સંખ્યાની તુલનામાં ઘણી ઓછી KMS વિનંતીઓ દેખાય છે. શું આ સંખ્યાઓ મેળ ખાવી જોઈએ?

ના, તેઓ સીધા સંબંધિત નહીં હોય.

કારણ કે પ્રદર્શન માટે OpenAI DEK ને મેમરીમાં કેશ કરે છે, KMS કૉલ માત્ર ત્યારે થાય છે જ્યારે DEK ને ડિક્રિપ્ટ કરવાની જરૂર હોય — દરેક એન્ક્રિપ્શન અથવા ડિક્રિપ્શન ઑપરેશન પર નહીં. પરિણામે, તમારે આની અપેક્ષા રાખવી જોઈએ:

  • વપરાશકર્તા ક્રિયાપ્રતિક્રિયાઓ કરતાં ઓછી KMS વિનંતીઓ.

  • કેશ કરેલા DEK સમાપ્ત થાય ત્યારે (લગભગ દર કલાકે) અથવા જૂના એન્ક્રિપ્ટેડ ડેટાને ઍક્સેસ કરવાની જરૂર પડે ત્યારે ક્યારેક વધારા.

  • ઐતિહાસિક ડેટા મેળવતી વખતે, જેમ કે વપરાશકર્તા લાંબી ચાલતી વાતચીત ચાલુ રાખે અને જૂના DEK લોડ કરવા પડે ત્યારે વધારાના કૉલ્સ.

KMS વિનંતીઓની ચોક્કસ સંખ્યા કેશિંગની સ્થિતિ, વપરાશકર્તા વર્તન, ડેટા ઍક્સેસ પેટર્ન અને વાતચીતની લંબાઈ પર આધાર રાખે છે, તેથી તે સંદેશાઓની માત્રા સાથે સીધી રીતે સંબંધિત નહીં હોય.

શું આ લેખ મદદરૂપ હતો?