Áttekintés
Az Enterprise Key Management (EKM) lehetővé teszi, hogy az ügyféltartalmait az OpenAI-nál az Ön saját külső Key Management Systemje (KMS) által kezelt kulcsokkal titkosítsa, mind a ChatGPT Enterprise, mind az API esetében.
Az OpenAI támogatja a Bring Your Own Key (BYOK) titkosítást külső fiókokkal az AWS KMS, a Google Cloud (GCP) és az Azure Key Vault esetén.
Jelenleg az EKM bevezetése az Enterprise és Edu munkaterületekre korlátozódik, amelyekhez megnevezett OpenAI-kapcsolattartó tartozik.
Hogyan működik az OpenAI EKM titkosítása
Felső szintű folyamat
Létrehozunk egy Data Encryption Keyt (DEK) az Ön felhőszolgáltatójához.
Az Ön felhőbeli KMS-e kezel egy fő Key Encryption Keyt (KEK), amelyet vagy a felhőjében, vagy külsőleg tárol. A megvalósítás Önön múlik.
Titkosítást kérünk a DEK-re az Ön felhőjétől, hogy encrypted DEK-et (eDEK) kapjunk. Ha a KEK külsőleg van tárolva, akkor a felhője csak egy extra ugrást tesz a külső tárolóhoz egy olyan lépésben, amely nem átlátható az OpenAI számára.
Titkosítás
A titkosítás során az adatai a DEK-kel lesznek titkosítva, az eDEK pedig metaadatként kerül tárolásra a fájlon.
Visszafejtés
A visszafejtés során kérjük, hogy a felhőbeli KMS fejtse vissza az eDEK-et DEK-ké, és a DEK-kel fejtjük vissza az adatokat.
Kulcsfogalmak
Data Encryption Key (DEK) – az a kulcs, amely titkosítja az adatait.
Encrypted Data Encryption Key (eDEK) – a titkosított DEK, amelyet az Ön KMS-e hoz létre
Key Encryption Key (KEK) – az Ön által kezelt főkulcs, amely a DEK -> eDEK titkosítását és az eDEK -> DEK visszafejtését végzi. Ez a kulcs mindig az OpenAI rendszerein kívül marad.
A megvalósítás magas szintű követelményei
A felhőszolgáltatójánál
Hozzon létre egy új kulcsot a felhőbeli KMS-ben (Azure, AWS vagy GCP)
Hozzon létre egy egyéni, korlátozott szabályzatot Encrypt/Decrypt jogosultságokkal a KMS-en
Hozzon létre egy bizalmi szabályzatot (AWS), egy workload identityt (GCP) vagy egy service principalt (Azure esetén) az OpenAI számára
Rendeljen az OpenAI-hoz egy szerepkört, amely a korlátozott szabályzattal hozzáfér a KMS-éhez
Az OpenAI-platformokon
ChatGPT Enterprise
Hozzon létre egy sandbox ChatGPT-munkaterületet tesztelési célokra.
API
Az OpenAI irányítópultján hozzon létre egy új projektet, ahol a titkosítás alkalmazva lesz.
Szolgáltatóspecifikus funkciók
AWS esetén az OpenAI a következőt teszi:
Meghívja az AssumeRole-t egy ExternalID-val
GCP esetén az OpenAI a következőt teszi:
Meghívja az Ön STS-végpontját egy OpenAI GCP-fiókból
A GCP hozzáférési tokent használja a titkosítás/visszafejtés meghívására az Ön KMS-én.
Azure esetén az OpenAI a következőt teszi:
Hozzáférési tokent kér az Azure-bérlője tárolójához
Ezt a hozzáférési tokent használja a titkosítás/visszafejtés meghívására az Ön Key Vaultján.
Az OpenAI-tól szükséges információk
Hitelesítés
Fel kell ismernie az OpenAI összevont identitástokenjeit AWS és GCP esetén. Azure esetén fel kell ismernie az OpenAI alkalmazásazonosítóját az alkalmazásregisztrációjához.
A hitelesítési paraméterek összefoglalása
| OpenAI AWS-principal | arn:aws:iam::790389265272:role/EnterpriseKeyManagement |
| OpenAI GCP szolgáltatásfiók-azonosító | 105900137572174660365 |
| OpenAI Azure-alkalmazásazonosító | 20a14814-5ab7-4612-a671-1382b412bf93 |
A megvalósítás során szükséges információk a felhőszolgáltató alapján
Az AWS esetén olyan bizalmi szabályzatot kell beállítania, amely felismeri a következőket:
az OpenAI-principalt (fiókszám + szerepkör)
egy ExternalID-t, amely az Ön OpenAI-projektazonosítója
A GCP esetén olyan workload identityt kell beállítania, amely felismeri a következőket:
az OpenAI szolgáltatásfiók-azonosítóját
egy audience-et, amely az Ön OpenAI-projektazonosítója
Az Azure esetén létre kell hoznia egy service principalt az Azure-bérlőjében az OpenAI alkalmazásregisztrációjához
Hozzon létre egyet az OpenAI application client id értékéhez: 20a14814-5ab7-4612-a671-1382b412bf9
Ezt megteheti a https://graph.microsoft.com/v1.0/servicePrincipals végpontra küldött kéréssel.
Jogosultságkezelés
Létre kell hoznia egy szabályzatot, amely lehetővé teszi, hogy az OpenAI identitása korlátozott hozzáférést kapjon az Ön KMS-éhez.
| AWS | GCP | Azure |
| kms:Decryptkms:Encrypt | cloudkms.cryptoKeyVersions.useToDecryptcloudkms.cryptoKeyVersions.useToEncrypt | Microsoft.KeyVault/vaults/keys/encrypt/actionMicrosoft.KeyVault/vaults/keys/decrypt/action |
Egyéb
Az Azure-ban a Key type (kulcstitkosítási algoritmus) mezőnél az RSA-t válassza, ne az EC-t.
Az OpenAI által Öntől kért információk
Kövesse e dokumentum utasításait a KMS OpenAI-jal való regisztrálásához. Az alábbiakban összefoglaljuk a megadandó paramétereket.
Hitelesítéssel kapcsolatos
AWS
IAM Role ARN - az OpenAI által felveendő szerepkör (példa: arn:aws:iam::123456789:role/role-name)
ExternalID - az Ön OpenAI-szervezetazonosítója
GCP
Workload Identity Project Number (példa: 123456789)
Workload Identity Pool ID
Workload Identity Provider ID
Allowed audience: az Ön OpenAI-szervezetazonosítója
Azure
Tenant ID
| AWS | GCP | Azure | |
| Hitelesítéssel kapcsolatos | Tenant ID | ||
| KMS-sel kapcsolatos | KMS ARN - (példa: arn:aws:kms:REGION:ACCOUNT_NUMBER:key:KEY_UUID) | KMS Project ID (példa: adjective-noun-12345)KMS key ring nameKMS key nameKMS key location (példa: us-east1) | Vault URI (példa: https://your-vault-name.vault.azure.net/)Key Name |
Miután regisztrálta a KMS-t az OpenAI-jal, folytassa a dokumentumban szereplő utasítások követését az EKM-konfiguráció API-projekten történő aktiválásához. Tesztelési célokra hozzon létre egy új OpenAI API-projektet.
Szolgáltatóspecifikus megvalósítási útmutatók
Lépésről lépésre útmutatásért tekintse meg az alábbi megfelelő hivatkozásokat. Kérjük, vegye figyelembe, hogy ezek az OpenAI-val való integráció követelményeire összpontosítanak, és nem az a céljuk, hogy átfogó útmutatóként szolgáljanak a teljes környezetéhez
Nem támogatott funkciók, ha az EKM engedélyezve van
Ebben az első kiadásban az alábbi funkciók nem érhetők el, ha az EKM engedélyezve van:
Szinkronizálással rendelkező alkalmazások
Nem általánosan elérhető funkciók (azaz minden, ami még béta/alfa állapotú)