વિહંગાવલોકન
Enterprise Key Management (EKM) OpenAI ને તમારા નિયંત્રણ હેઠળની માસ્ટર કીનો ઉપયોગ કરીને ડેટા એન્ક્રિપ્ટ કરવાની મંજૂરી આપે છે. આ દસ્તાવેજ બતાવે છે કે તમારા KMS પર OpenAI ને મર્યાદિત પરવાનગીઓ આપવા માટે તમારું GCP એકાઉન્ટ કેવી રીતે સેટ કરવું.

પગલાં
1. OpenAI માટે ફેડરેટેડ ઓળખ બનાવો
OpenAI ની માલિકીના GCP એકાઉન્ટમાંથી OpenAI એક ઓળખ ટોકન જારી કરશે, જે કંઈક આના જેવું દેખાય છે.
azp અને sub એ GCP માં OpenAI નું સર્વિસ એકાઉન્ટ ID છે
aud એ તમારી OpenAI સંસ્થા ID છે. તમે તમારી OpenAI પ્રોજેક્ટ ID જેવા અન્ય ઑડિયન્સને પણ પસંદ કરી શકો છો - નીચેની સૂચનાઓ જુઓ
{
"aud": "org-xxxx",
"azp": "105900137572174660365",
"exp": 1747876928,
"iat": 1747873328,
"iss": "https://accounts.google.com",
"sub": "105900137572174660365"
}આ પગલું તે ઓળખ ટોકન દ્વારા કરવામાં આવેલા દાવાઓને ઓળખે છે અને જ્યારે તે ઓળખ ટોકન આપવામાં આવે ત્યારે તમારા GCP STS ને ઍક્સેસ ટોકન જારી કરવા સક્ષમ બનાવે છે.
IAM & એડમિન -> વર્કલોડ આઇડેન્ટિટી ફેડરેશન પર જાઓ અને પૂલ બનાવો પર ક્લિક કરો

ઓળખ પૂલ બનાવો, પગલામાં પૂલ નામ માટે કંઈપણ દાખલ કરો.
પૂલમાં પ્રદાતા ઉમેરો પગલામાં:
પ્રદાતા પસંદ કરોમાં, OpenID Connect (OIDC) પસંદ કરો
પ્રદાતા નામ માટે કંઈપણ દાખલ કરો.
જારીકર્તા (URL) વિભાગમાં, https://accounts.google.com દાખલ કરો
ઑડિયન્સ વિભાગમાં
મંજૂર ઑડિયન્સ પસંદ કરો
જ્યારે અમે તમને ટોકન પાસ કરીએ ત્યારે OpenAI કયું ઑડિયન્સ દર્શાવવું જોઈએ તે દાખલ કરો.
ChatGPT અથવા API માટે: તમે OpenAI API સંસ્થા ID (org-xxx) મૂકી શકો છો
API માટે: વધુ સુક્ષ્મતા માટે તમે ચોક્કસ API પ્રોજેક્ટ id મૂકી શકો છો.

ઍટ્રિબ્યુટ મેપિંગ વિભાગમાં
google.subject માટે assertion.sub દાખલ કરો

ઍટ્રિબ્યુટ શરતો વિભાગમાં
હવે તમને https://console.cloud.google.com/iam-admin/workload-identity-pools પેજમાં તમારો વર્કલોડ આઇડેન્ટિટી પૂલ અને વર્કલોડ આઇડેન્ટિટી પ્રદાતા સૂચિબદ્ધ દેખાવા જોઈએ
વર્કલોડ આઇડેન્ટિટી પૂલ id

વર્કલોડ આઇડેન્ટિટી પ્રદાતા ID

2. ખાતરી કરો કે KMS સક્ષમ છે
KMS સક્ષમ કરવા માટે https://console.developers.google.com/apis/api/cloudkms.googleapis.com/overview પર જાઓ. તમે જ્યાં OpenAI ની ફેડરેટેડ ઓળખ ઓળખી છે તે જ GCP પ્રોજેક્ટમાં તમારું KMS બનાવવું જરૂરી નથી; તેમ છતાં, જો પ્રોજેક્ટ અલગ હોય, તો KMS પ્રોડક્ટ બંને પ્રોજેક્ટમાં ઓછામાં ઓછી સક્ષમ હોવી જોઈએ.
3. નવી KMS કી બનાવો
આ પર જાઓ: સુરક્ષા -> ડેટા પ્રોટેક્શન > કી મેનેજમેન્ટ
વિહંગાવલોકન ટૅબ હેઠળ કી રિંગ બનાવો પર ક્લિક કરો
તમારા કી રિંગ માટે કોઈપણ નામ પસંદ કરો
ઉદ્દેશ અને અલ્ગોરિધમ માટે, સિમેટ્રિક એન્ક્રિપ્ટ/ડિક્રિપ્ટ પસંદ કરો

એકવાર તમે કી રિંગ બનાવી લો, પછી તે કી રિંગ્સ ટૅબમાં સૂચિબદ્ધ હોવું જોઈએ. કી રિંગ પર ક્લિક કરો.
કી રિંગ વિગતોમાં, કી બનાવો પર ક્લિક કરો
તમારી કી માટે કોઈપણ નામ પસંદ કરો
4. KMS પર એન્ક્રિપ્ટ/ડિક્રિપ્ટ કામગીરી માટે મર્યાદિત ભૂમિકા બનાવો
IAM & એડમિન -> ભૂમિકાઓ -> ભૂમિકા બનાવો પર જાઓ
ભૂમિકાના શીર્ષક અને ID માટે કંઈપણ દાખલ કરો
પરવાનગીઓ ઉમેરો પર ક્લિક કરો, પછી નીચેનું ઉમેરો
cloudkms.cryptoKeyVersions.useToDecrypt
cloudkms.cryptoKeyVersions.useToEncrypt
5. એન્ક્રિપ્ટ/ડિક્રિપ્ટ કામગીરી માટે OpenAI ની ફેડરેટેડ ઓળખને મર્યાદિત KMS ભૂમિકા સોંપો
સુરક્ષા -> ડેટા પ્રોટેક્શન > કી મેનેજમેન્ટ પર જાઓ
તમારા કી રિંગ નામ પર ક્લિક કરો, પછી તમારા કી વિગતો પેજ પર જવા માટે તમારા કી નામ પર ક્લિક કરો.
પરવાનગીઓ ટૅબ પર ક્લિક કરો, પછી ઍક્સેસ આપો બટન પર ક્લિક કરો

OpenAI ફેડરેટેડ ઓળખને તમે અગાઉ બનાવેલી કસ્ટમ ભૂમિકાને સોંપો
પ્રિન્સિપલ્સ ઉમેરો વિભાગ માટે, principal://iam.googleapis.com/projects/<YOUR_GCP_PROJECT_NUMBER>/locations/global/workloadIdentityPools/<YOUR_GCP_WORKLOAD_IDENTITY_POOL>/subject/105900137572174660365 દાખલ કરો
ભૂમિકાઓ સોંપો વિભાગમાં, મર્યાદિત EKM પરવાનગીઓ માટે તમે અગાઉના પગલામાં બનાવેલી કસ્ટમ ભૂમિકા પસંદ કરો
6. તમારી પોતાની સુરક્ષા પદ્ધતિઓ અનુસાર કોઈપણ વધારાના પ્રતિબંધો લાગુ કરો
ઉપરોક્ત એ EKM સેટ અપ કરવા માટે OpenAI ને જરૂરી ન્યૂનતમ આવશ્યક માહિતી છે. જ્યાં સુધી OpenAI તમારા KMS પર એન્ક્રિપ્ટ અને ડિક્રિપ્ટ કામગીરી કૉલ કરી શકે છે, ત્યાં સુધી તમે તમારી પોતાની આંતરિક સુરક્ષા પદ્ધતિઓ અનુસાર વધારાની કી નીતિઓ અથવા પ્રતિબંધો લાગુ કરવા માટે સ્વતંત્ર છો. જ્યારે તમે નીચે વર્ણવેલ OpenAI સાથે કી નોંધણી એન્ડપોઇન્ટને કૉલ કરો છો, ત્યારે અમે તમારું સેટઅપ માન્ય કરીશું.
ઉપરનાં પગલાં પૂર્ણ કર્યા પછી
ChatGPT Enterprise
કૃપા કરીને તમારા OpenAI સંપર્કનો સંપર્ક કરો અને નીચેનું શેર કરો:
"workload_identity_project_number": "123456789012",
"workload_identity_pool_id": "openai-azure",
"workload_identity_provider_id": "openai-ekm-service-role",
"kms_project_id": "adjective-noun-12345",
"kms_key_name": "openai-kms-key",
"kms_key_ring_name": "openai-kms-key-ring",
"kms_key_location": "us-east1"
તમારી Key Management System માસ્ટર કી જ્યાં સ્થિત છે તે પ્રદેશ
અમે તમારી ChatGPT સંસ્થા/વર્કસ્પેસ માટે EKM સક્ષમ કરીશું.
API
તમારી બાહ્ય કી OpenAI સાથે નોંધણી કરો
આ API સંદર્ભમાં આપેલી સૂચનાઓ અનુસરો: મેનેજમેન્ટ API માં બાહ્ય કીઓ
સૌપ્રથમ, તમારી બાહ્ય કી OpenAI સંસ્થા સ્તરે નોંધણી કરો, જે બાહ્ય કી id જનરેટ કરશે.
આ પગલામાં, અમે તમારા KMS સાથે પ્રમાણીકરણ કરી શકીએ છીએ કે નહીં તે ચકાસીને GCP પર તમારું સેટઅપ માન્ય કરીશું.
આ હજી તમારા OpenAI પ્રોજેક્ટમાં EKM ઉમેરશે નહીં.
curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/external_keys" \
-d '{
"type": "gcp",
"name": "GCP EKM Config",
"workload_identity_project_number": "123456789012",
"workload_identity_pool_id": "openai-azure",
"workload_identity_provider_id": "openai-ekm-service-role",
"audience": <તમારું org id અથવા project id>,
"kms_project_id": "adjective-noun-12345",
"kms_key_name": "openai-kms-key",
"kms_key_ring_name": "openai-kms-key-ring",
"kms_key_location": "us-east1"
}'પછી, બાહ્ય કી સાથે સંકળાયેલો OpenAI પ્રોજેક્ટ બનાવો. આ પછી, તમારા પ્રોજેક્ટ પર EKM સક્રિય થાય છે.
curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/projects" \
-d '{
"name": "Some Project",
"external_key_id": "extkey_xxxx"
}'