Áttekintés

Az Enterprise Key Management (EKM) lehetővé teszi, hogy az ügyféltartalmait az OpenAI-nál az Ön saját külső Key Management Systemje (KMS) által kezelt kulcsokkal titkosítsa, mind a ChatGPT Enterprise, mind az API esetében.

Az OpenAI támogatja a Bring Your Own Key (BYOK) titkosítást külső fiókokkal az AWS KMS, a Google Cloud (GCP) és az Azure Key Vault esetén.

Jelenleg az EKM bevezetése az Enterprise és Edu munkaterületekre korlátozódik, amelyekhez megnevezett OpenAI-kapcsolattartó tartozik.

Hogyan működik az OpenAI EKM titkosítása

Felső szintű folyamat

1. Létrehozunk egy Data Encryption Keyt (DEK) az Ön felhőszolgáltatójához.

2. Az Ön felhőbeli KMS-e kezel egy fő Key Encryption Keyt (KEK), amelyet vagy a felhőjében, vagy külsőleg tárol. A megvalósítás Önön múlik.

3. Titkosítást kérünk a DEK-re az Ön felhőjétől, hogy encrypted DEK-et (eDEK) kapjunk. Ha a KEK külsőleg van tárolva, akkor a felhője csak egy extra ugrást tesz a külső tárolóhoz egy olyan lépésben, amely nem átlátható az OpenAI számára.

Titkosítás

A titkosítás során az adatai a DEK-kel lesznek titkosítva, az eDEK pedig metaadatként kerül tárolásra a fájlon.

Visszafejtés

A visszafejtés során kérjük, hogy a felhőbeli KMS fejtse vissza az eDEK-et DEK-ké, és a DEK-kel fejtjük vissza az adatokat.

Kulcsfogalmak

• Data Encryption Key (DEK) – az a kulcs, amely titkosítja az adatait.

• Encrypted Data Encryption Key (eDEK) – a titkosított DEK, amelyet az Ön KMS-e hoz létre

• Key Encryption Key (KEK) – az Ön által kezelt főkulcs, amely a DEK -> eDEK titkosítását és az eDEK -> DEK visszafejtését végzi. Ez a kulcs mindig az OpenAI rendszerein kívül marad.

A megvalósítás magas szintű követelményei

A felhőszolgáltatójánál

1. Hozzon létre egy új kulcsot a felhőbeli KMS-ben (Azure, AWS vagy GCP)

2. Hozzon létre egy egyéni, korlátozott szabályzatot Encrypt/Decrypt jogosultságokkal a KMS-en

3. Hozzon létre egy bizalmi szabályzatot (AWS), egy workload identityt (GCP) vagy egy service principalt (Azure esetén) az OpenAI számára

4. Rendeljen az OpenAI-hoz egy szerepkört, amely a korlátozott szabályzattal hozzáfér a KMS-éhez

Az OpenAI-platformokon

ChatGPT Enterprise

Hozzon létre egy sandbox ChatGPT-munkaterületet tesztelési célokra.

API

Az OpenAI irányítópultján hozzon létre egy új projektet, ahol a titkosítás alkalmazva lesz.

Szolgáltatóspecifikus funkciók

AWS esetén az OpenAI a következőt teszi:

• Meghívja az AssumeRole-t egy ExternalID-val

GCP esetén az OpenAI a következőt teszi:

• Meghívja az Ön STS-végpontját egy OpenAI GCP-fiókból

• A GCP hozzáférési tokent használja a titkosítás/visszafejtés meghívására az Ön KMS-én.

Azure esetén az OpenAI a következőt teszi:

• Hozzáférési tokent kér az Azure-bérlője tárolójához

• Ezt a hozzáférési tokent használja a titkosítás/visszafejtés meghívására az Ön Key Vaultján.

Az OpenAI-tól szükséges információk

Hitelesítés

Fel kell ismernie az OpenAI összevont identitástokenjeit AWS és GCP esetén. Azure esetén fel kell ismernie az OpenAI alkalmazásazonosítóját az alkalmazásregisztrációjához.

A hitelesítési paraméterek összefoglalása

A megvalósítás során szükséges információk a felhőszolgáltató alapján

• AWS esetén be kell állítania egy megbízhatósági szabályzatot, amely felismeri a következőket:

  • Az OpenAI principalját (fiókszám + szerepkör)

  • Egy ExternalID-t, amely az Ön OpenAI-projektazonosítója

• GCP esetén be kell állítania egy workload identityt, amely felismeri a következőket:

  • Az OpenAI szolgáltatásfiók-azonosítója

  • Egy célközönséget, amely az Ön OpenAI-projektazonosítója

• Azure esetén létre kell hoznia egy szolgáltatásnevet az Azure-bérlőjében az OpenAI alkalmazásregisztrációjához

  • Hozzon létre egyet az OpenAI alkalmazásügyfél-azonosítójához: 20a14814-5ab7-4612-a671-1382b412bf9

  • Ezt a https://graph.microsoft.com/v1.0/servicePrincipals végpontra küldött POST-kéréssel teheti meg.

Jogosultságkezelés

Létre kell hoznia egy szabályzatot, amely lehetővé teszi, hogy az OpenAI identitása korlátozott hozzáférést kapjon az Ön KMS-éhez.

Egyéb

Az Azure-ban a Key type (kulcstitkosítási algoritmus) mezőnél az RSA-t válassza, ne az EC-t.

Az OpenAI által Öntől igényelt információk

A KMS OpenAI-nál való regisztrálásához kövesse az ebben a dokumentumban található utasításokat. Az alábbiakban összefoglaljuk a megadandó paramétereket.

1. Hitelesítéssel kapcsolatos

   1. AWS

      1. IAM Role ARN - az OpenAI által felveendő szerepkör (példa: arn:aws:iam::123456789:role/role-name)

      2. ExternalID – az Ön OpenAI-szervezetének azonosítója

   2. GCP

      1. Workload Identity-projekt száma (példa: 123456789)

      2. Workload Identity Pool azonosítója

      3. Workload Identity Provider azonosítója

      4. Engedélyezett célközönség: az Ön OpenAI-szervezetének azonosítója

   3. Azure

      1. Bérlőazonosító

Miután regisztrálta KMS-ét az OpenAI-nál, továbbra is kövesse a dokumentumban található utasításokat az EKM-konfiguráció API-projekten való aktiválásához. Tesztelési célokra hozzon létre egy új OpenAI API-projektet.

Szolgáltatóspecifikus megvalósítási útmutatók

A lépésről lépésre követhető útmutatásért tekintse meg az alábbi megfelelő hivatkozásokat. Kérjük, vegye figyelembe, hogy ezek az OpenAI-val való integráció követelményeire összpontosítanak, és nem céljuk, hogy átfogó útmutatóként szolgáljanak a teljes környezetéhez

• OpenAI / AWS EKM integrációs utasítások

• OpenAI / GCP EKM integrációs utasítások

• OpenAI / Azure EKM integrációs utasítások

Nem támogatott funkciók, ha az EKM engedélyezve van

Ebben az első kiadásban az alábbi funkciók nem érhetők el, ha az EKM engedélyezve van:

• Szinkronizálással rendelkező alkalmazások

• Nem általánosan elérhető funkciók (azaz minden, ami még béta/alfa állapotú)