अवलोकन
Enterprise Key Management (EKM) की मदद से तुम OpenAI पर अपने कस्टमर कंटेंट को अपने external Key Management System (KMS) से मैनेज की गई keys का इस्तेमाल करके एन्क्रिप्ट कर सकते हो. यह ChatGPT Enterprise और API, दोनों के लिए उपलब्ध है.
OpenAI AWS KMS, Google Cloud (GCP) और Azure Key Vault में external accounts के साथ Bring Your Own Key (BYOK) encryption को सपोर्ट करता है.
फ़िलहाल, EKM implementation सिर्फ़ उन Enterprise और Edu वर्कस्पेस तक सीमित है जिनके लिए OpenAI का नामित खाता प्रतिनिधि नियुक्त है.
OpenAI EKM एन्क्रिप्शन की कार्यप्रणाली
शीर्ष-स्तरीय फ़्लो
हम आपके क्लाउड प्रोवाइडर के लिए डेटा एन्क्रिप्शन कुंजी (DEK) जनरेट करते हैं.
आपका क्लाउड KMS एक मास्टर Key Encryption Key (KEK) को मैनेज करता है, चाहे वह आपके क्लाउड के भीतर स्टोर हो या बाहरी रूप से. इम्प्लीमेंटेशन आप पर निर्भर है.
हम आपके क्लाउड से DEK के एन्क्रिप्शन का अनुरोध करते हैं, ताकि एक एन्क्रिप्टेड DEK (eDEK) प्राप्त किया जा सके. यदि आपका KEK बाहरी रूप से संग्रहित है, तो आपका क्लाउड बस आपके बाहरी स्टोर तक एक अतिरिक्त हॉप लगाता है, एक ऐसे चरण में जो OpenAI के लिए अपारदर्शी होता है.
एन्क्रिप्शन
एन्क्रिप्शन के बाद, आपका डेटा DEK से एन्क्रिप्ट किया जाता है और eDEK को फ़ाइल के मेटाडेटा के रूप में संग्रहित किया जाता है.
डिक्रिप्शन
डिक्रिप्शन के समय, हम आपके क्लाउड KMS से eDEK को डिक्रिप्ट करके DEK में बदलने का अनुरोध करते हैं, और हम DEK का उपयोग करके डेटा को डिक्रिप्ट करते हैं.
प्रमुख शब्दावली
डेटा एन्क्रिप्शन कुंजी (DEK) - वह कुंजी जो आपके डेटा को एन्क्रिप्ट करती है.
एन्क्रिप्टेड डेटा एन्क्रिप्शन की (eDEK) - एन्क्रिप्टेड DEK, जो आपके KMS द्वारा जनरेट की गई है
Key Encryption Key (KEK) - वह मास्टर की जिसे आप मैनेज करते हैं, जो DEK को एन्क्रिप्ट करके eDEK बनाती है और eDEK को डिक्रिप्ट करके DEK बनाती है. यह कुंजी हमेशा OpenAI के सिस्टम के बाहर रहती है.
इम्प्लीमेंटेशन के लिए उच्च-स्तरीय आवश्यकताएँ
आपके क्लाउड प्रोवाइडर में
अपने क्लाउड KMS में नई कुंजी बनाएं (Azure, AWS, या GCP)
KMS पर एन्क्रिप्ट/डिक्रिप्ट परमिशन्स के साथ एक कस्टम, सीमित पॉलिसी बनाई
OpenAI के लिए एक trust policy (AWS), workload identity (GCP) या service principal (Azure के लिए) बनाएं
आपके KMS तक पहुँचने के लिए OpenAI को सीमित नीति के साथ एक भूमिका असाइन करें
OpenAI प्लेटफ़ॉर्म्स में
ChatGPT Enterprise
परीक्षण उद्देश्यों के लिए एक सैंडबॉक्स ChatGPT वर्कस्पेस बनाएं.
API
अपने OpenAI डैशबोर्ड में एक नया प्रोजेक्ट बनाएं, जहां एन्क्रिप्शन लागू किया जाएगा.
प्रदाता-विशिष्ट फ़ंक्शन
AWS के लिए, OpenAI निम्नलिखित करेगा:
ExternalID के साथ AssumeRole को कॉल करें
GCP के लिए, OpenAI यह करेगा:
अपने STS एंडपॉइंट को OpenAI GCP अकाउंट से कॉल करें
अपने KMS पर encrypt/decrypt कॉल करने के लिए GCP एक्सेस टोकन का उपयोग करें.
Azure के लिए, OpenAI यह करेगा:
अपने Azure टेनेंट के वॉल्ट के लिए एक्सेस टोकन का अनुरोध करें
अपने Key Vault पर एन्क्रिप्ट/डिक्रिप्ट कॉल करने के लिए उस एक्सेस टोकन का उपयोग करें.
OpenAI से आपको चाहिए जानकारी
प्रमाणीकरण
आपको AWS और GCP के लिए OpenAI के फ़ेडरेटेड आइडेंटिटी टोकन पहचानने की आवश्यकता होगी. Azure के लिए, आपको उसके ऐप रजिस्ट्रेशन के लिए OpenAI की एप्लिकेशन आईडी को पहचानना होगा.
प्रमाणीकरण पैरामीटर का सारांश
| OpenAI AWS प्रमुख | arn:aws:iam::790389265272:role/EnterpriseKeyManagement |
| OpenAI GCP सेवा अकाउंट ID | 105900137572174660365 |
| OpenAI Azure एप्लिकेशन आईडी | 20a14814-5ab7-4612-a671-1382b412bf93 |
आपके क्लाउड प्रोवाइडर के आधार पर कार्यान्वयन के दौरान आवश्यक जानकारी
AWS के लिए, आपको ऐसी ट्रस्ट पॉलिसी सेट अप करनी होगी, जो इनकी पहचान करती हो:
OpenAI का प्रमुख (खाता संख्या + भूमिका)
एक ExternalID जो आपकी OpenAI प्रोजेक्ट आईडी है.
GCP के लिए तुम्हें ऐसी वर्कलोड आइडेंटिटी सेट अप करनी होगी जो निम्नलिखित को पहचानती है:
OpenAI के सेवा अकाउंट की आईडी
वह ऑडियंस जो आपकी OpenAI प्रोजेक्ट ID है
Azure के लिए आपको OpenAI के ऐप रजिस्ट्रेशन हेतु अपने Azure टेनेंट में एक सर्विस प्रिंसिपलबनाना होगा.
OpenAI के एप्लिकेशन क्लाइंट आईडी के लिए एक बनाएं: 20a14814-5ab7-4612-a671-1382b412bf9
आप यह https://graph.microsoft.com/v1.0/servicePrincipals पर POST करके कर सकते हैं. एंडपॉइंट.
प्राधिकरण
आपको ऐसी नीति बनानी होगी जो OpenAI की पहचान को आपके KMS तक सीमित एक्सेस प्राप्त करने की अनुमति दे.
| AWS | GCP | Azure |
| kms:Decryptkms:Encrypt | cloudkms.cryptoKeyVersions.useToDecryptcloudkms.cryptoKeyVersions.useToEncrypt | Microsoft.KeyVault/vaults/keys/encrypt/actionMicrosoft.KeyVault/vaults/keys/decrypt/action |
अन्य
Azure में, कुंजी प्रकार (कुंजी एन्क्रिप्शन एल्गोरिदम) के लिए RSA चुनें, EC नहीं.
OpenAI को आपसे आवश्यक जानकारी
अपने KMS को OpenAI के साथ रजिस्टर करने के लिए इस डॉक में दिए गए निर्देशों का पालन करें. यहाँ उन पैरामीटर का सारांश दिया गया है जिन्हें आपको देने होंगे.
Auth-से-संबंधित
AWS
IAM Role ARN - वह रोल जिसे OpenAI ग्रहण करेगा (उदाहरण: arn:aws:iam::123456789:role/role-name)
ExternalID - आपका OpenAI संगठन ID
GCP
वर्कलोड आइडेंटिटी प्रोजेक्ट नंबर (उदाहरण: 123456789)
वर्कलोड पहचान पूल आईडी
वर्कलोड आइडेंटिटी प्रोवाइडर आईडी
अनुमत ऑडियंस: आपका OpenAI संगठन आईडी
Azure
टेनेंट आईडी
| AWS | GCP | Azure | |
| ऑथेंटिकेशन से संबंधित | टेनेंट आईडी | ||
| KMS से संबंधित | KMS ARN - (उदाहरण के लिए: arn:aws:kms:REGION:ACCOUNT_NUMBER:key:KEY_UUID) | KMS Project ID (उदाहरण: adjective-noun-12345)KMS की की-रिंग का नामKMS कुंजी का नामKMS कुंजी का स्थान (उदाहरण: us-east1) | वॉल्ट URI (उदाहरण के लिए: https://your-vault-name.vault.azure.net/)Key नाम |
OpenAI के साथ अपना KMS रजिस्टर करने के बाद, API प्रोजेक्ट पर अपना EKM config एक्टिवेट करने के लिए डॉक्युमेंट में दिए गए निर्देशों को फॉलो करते रहें. परीक्षण उद्देश्यों के लिए एक नया OpenAI API प्रोजेक्ट बनाएं.
प्रदाता-विशिष्ट इम्प्लीमेंटेशन गाइड
चरण-दर-चरण मार्गदर्शन के लिए, नीचे दिए गए संबंधित लिंक देखें। कृपया ध्यान दें कि ये OpenAI के साथ एकीकरण आवश्यकताओं पर केंद्रित हैं और आपके संपूर्ण परिवेश के लिए एक व्यापक मार्गदर्शिका के रूप में अभिप्रेत नहीं हैं.
EKM सक्षम होने पर असमर्थित फ़ीचर्स
इस शुरुआती रिलीज़ में, यदि EKM इनेबल है, तो निम्नलिखित विशेषताएँ उपलब्ध नहीं हैं.
सिंक वाले ऐप्स
वे विशेषताएँ जो सामान्य रूप से उपलब्ध नहीं हैं (उदा. के लिए कुछ भी जो अभी भी बीटा/अल्फा में है)