OpenAI
Ez az oldal gépi fordítással készült. Tekintsd meg az eredeti angol nyelvű cikket.

OpenAI / AWS EKM integrációs útmutató

Lépésről lépésre útmutató az AWS üzembe helyezéséhez és az EKM aktiválásához

Frissítve: 15 hours ago

Áttekintés

Az Enterprise Key Management (EKM) lehetővé teszi, hogy az OpenAI az Ön által kezelt mesterkulccsal titkosítsa az adatokat. Ez a dokumentum bemutatja, hogyan állíthatja be AWS-fiókját úgy, hogy korlátozott engedélyeket adjon az OpenAI-nak a KMS-én.

AWS EKM integration flow between OpenAI EKM Service, your STS, your KMS, and your master KEK

Lépések

1. Hozzon létre egy új KMS-kulcsot

  1. Lépjen a KMS -> Ügyfél által kezelt kulcsok részre, majd kattintson a Kulcs létrehozása elemre.

  2. Válasszon szimmetrikus titkosítási algoritmust.

  3. A kulcs létrehozása után jegyezze fel az ARN-jét. A támogatott formátumok közé tartozik az arn:aws:kms:<region>:<account_number>:key/<uuid>, a ...:key/mrk-* vagy a ...:alias/<alias_name>.

AWS KMS customer managed key details page with key ID and ARN for test-kms

2. Hozzon létre egyéni szabályzatot a KMS-kulcshoz való korlátozott hozzáféréshez

  1. Lépjen az IAM -> Szabályzatok részre, majd kattintson a Szabályzat létrehozása elemre.

  2. Az Engedélyek megadása lépésben válassza a JSON lehetőséget, és adja meg az alábbiakat, hogy KMS-hozzáférési műveleteket adjon a szabályzatnak. Ügyeljen arra, hogy a YOUR_KMS_ARN értéket lecserélje a létrehozott kulcs ARN-jére.

AWS IAM Create policy page with Specify permissions open and the JSON policy editor selected
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowEncryptDecrypt",
            "Effect": "Allow",
            "Action": [

                "kms:Decrypt",
                "kms:Encrypt"

            ],
            "Resource": <AZ_ÖN_KMS_ARN_JE>
        }
    ]
}

3. Hozzon létre egy IAM-szerepkört, amelyet az OpenAI átvehet, és rendelje hozzá a KMS-éhez korlátozott hozzáférést biztosító szabályzathoz

Az OpenAI egy OpenAI-tulajdonú AWS-fiókból fogja meghívni az AssumeRole műveletet. Ez a lépés lehetővé teszi, hogy az OpenAI AWS-principalja átvegye a korlátozott szerepkört a KMS eléréséhez.

  1. Lépjen az IAM -> Szerepkörök részre, majd kattintson a Szerepkör létrehozása elemre.

  2. A Megbízható entitás kiválasztása lépésben válassza az Egyéni megbízhatósági szabályzat lehetőséget.

AWS IAM Select trusted entity screen with Custom trust policy selected

Ezután adja meg az alábbiakat az Egyéni megbízhatósági szabályzatban, hogy hozzáférést engedélyezzen az OpenAI AWS-principaljának.

  • A principal az OpenAI AWS-principalja: arn:aws:iam::790389265272:role/EnterpriseKeyManagement.

  • Adja meg, melyik ExternalId értéket adja át az OpenAI az AssumeRole folyamat során.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::790389265272:role/EnterpriseKeyManagement"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "sts:ExternalId": [
                         <AZ_OPENAI_SZERvezetAZONOSÍTÓD>,
                     ]
                }
            }
        }
    ]
}

Ezután az Engedélyek hozzáadása lépésben keressen rá az előző lépésben létrehozott IAM-szabályzat nevére. Kattintson a szabályzat neve melletti jelölőnégyzetre, majd kattintson a Tovább gombra.

AWS IAM Add permissions page filtered to customer managed KMS policies with test-allow-kms-access selected

Végül a Név, áttekintés és létrehozás szakaszban válasszon tetszőleges szerepkörnevet.

4. Alkalmazzon további korlátozásokat a saját biztonsági gyakorlataival összhangban

Fent látható az a minimálisan szükséges információ, amelyre az OpenAI-nak szüksége van az EKM beállításához. Szabadon alkalmazhat további kulcsszabályzatokat vagy korlátozásokat a saját belső biztonsági gyakorlataival összhangban, amennyiben az OpenAI meg tudja hívni a titkosítási és visszafejtési műveleteket a KMS-én. Amikor meghívja az alább ismertetett kulcsregisztrációs végpontot az OpenAI-nál, ellenőrizni fogjuk a beállítását.

A fenti lépések elvégzése után

ChatGPT Enterprise

Kérjük, vegye fel a kapcsolatot az OpenAI-kapcsolattartójával, és ossza meg a következőket:

  • "role_arn": "arn:aws:iam::<YOUR_AWS_ACCOUNT_NUMBER>:role/<YOUR_ROLE>"

    • A szerepkör ARN-je, amelyet az OpenAI át fog venni az Ön felhőjében.

  • "kms_arn": "arn:aws:kms:<REGION>:<YOUR_AWS_ACCOUNT_NUMBER>:key/<UUID>"

    • Az Ön által kezelt mesterkulcshoz tartozó Key Management System ARN.

Engedélyezni fogjuk az EKM-et az Ön ChatGPT-szervezetében/-munkaterületén.

API

Regisztrálja külső kulcsát az OpenAI-nál

Kövesse az ebben az API-referenciában található utasításokat: Külső kulcsok a Management API-ban.

  1. Először regisztrálja külső kulcsát az OpenAI-szervezet szintjén; ez létrehoz egy külső kulcsazonosítót.

  2. Ebben a lépésben ellenőrizzük, hogy a bemenet érvényes-e, és hogy tudunk-e hitelesíteni a KMS-éhez.

  3. Ez még nem adja hozzá az EKM-et az OpenAI-projektjéhez.

curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \

"https://api.openai.com/v1/organization/external_keys" \
-d '{
  "type": "aws",
  "name": "AWS EKM-konfig.",
  "role_arn": "arn:aws:iam::<YOUR_AWS_ACCOUNT_NUMBER>:role/<YOUR_ROLE>",
  "kms_arn": "arn:aws:kms:<REGION>:<YOUR_AWS_ACCOUNT_NUMBER>:key/<UUID>",
  "external_id": <az orgazonosítód vagy projektazonosítód>
}'

Ezután hozzon létre egy OpenAI-projektet, amely a külső kulcshoz van társítva. Ezt követően az EKM aktiválódik a projektjén. Ennek az API-hívásnak a válasz törzse megadja a projektazonosítót (proj_xxx).

curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/projects" \
-d '{
   "name": "Valamilyen projekt",

   "external_key_id": "extkey_xxxx"
}'

Hasznos volt ez a cikk?