Lépésről lépésre útmutató az AWS üzembe helyezéséhez és az EKM aktiválásához

Áttekintés

Az Enterprise Key Management (EKM) lehetővé teszi, hogy az OpenAI az Ön által felügyelt főkulccsal titkosítsa az adatokat. Ez a dokumentum bemutatja, hogyan állítsa be AWS-fiókját úgy, hogy az OpenAI korlátozott jogosultságokat kapjon a KMS-éhez.

AWS EKM integration flow between OpenAI EKM Service, your STS, your KMS, and your master KEK

Lépések

1. Hozzon létre egy új KMS-kulcsot

Lépjen a KMS -> Customer managed keys részhez, majd kattintson a Create Key lehetőségre
Válasszon szimmetrikus titkosítási algoritmust
Miután létrejött a kulcs, jegyezze fel az ARN-jét. A támogatott formátumok például: arn:aws:kms:<region>:<account_number>:key/<uuid>, ...:key/mrk-*, vagy ...:alias/<alias_name>

2. Hozzon létre egy egyéni szabályzatot a KMS-kulcshoz való korlátozott hozzáféréshez

Lépjen az IAM -> Policies részhez, majd kattintson a Create Policy lehetőségre

A Specify permissions lépésben válassza a JSON lehetőséget, és írja be az alábbit, hogy a szabályzat KMS-hozzáférési műveleteket kapjon. Ügyeljen arra, hogy a YOUR_KMS_ARN helyére az Ön által létrehozott kulcs ARN-je kerüljön.

AWS IAM Create policy page with Specify permissions open and the JSON policy editor selected

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowEncryptDecrypt",
            "Effect": "Allow",
            "Action": [

                "kms:Decrypt",
                "kms:Encrypt"

            ],
            "Resource": <AZ_ÖN_KMS_ARN_JE>
        }
    ]
}

3. Hozzon létre egy IAM-szerepkört, amelyet az OpenAI átvehet, és rendelje hozzá a KMS-éhez korlátozott hozzáférést adó szabályzathoz

Az OpenAI egy OpenAI tulajdonában lévő AWS-fiókból fogja meghívni az AssumeRole műveletet. Ez a lépés rögzíti, hogy az OpenAI AWS-principalja átveheti a korlátozott szerepkört a KMS-éhez való hozzáféréshez.

Lépjen az IAM -> Roles részhez, majd kattintson a Create Role lehetőségre
A Select trusted entity lépésben válassza a Custom trust policy

lehetőséget

Adja meg az alábbit a Custom trust policy mezőben, hogy engedélyezze a hozzáférést az OpenAI AWS-principalja számára.

A principal az OpenAI AWS-principalja: arn:aws:iam::790389265272:role/EnterpriseKeyManagement

Adja meg, hogy az OpenAI melyik ExternalId-t adja át az AssumeRole folyamat során.

ChatGPT vagy API esetén használhatja a munkaterületéhez társított szervezetazonosítót (org-xxx) - https://platform.api.openai.org/settings/organization/general

API esetén a nagyobb részletezettség érdekében megadhat egy konkrét API-projektazonosítót

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::790389265272:role/EnterpriseKeyManagement"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "sts:ExternalId": [
                         <AZ_OPENAI_SZERvezetAZONOSÍTÓD>,
                     ]
                }
            }
        }
    ]
}

Az Add permissions lépésben keressen rá az előző lépésben létrehozott IAM-szabályzat nevére. Kattintson a szabályzat neve melletti jelölőnégyzetre, majd kattintson a Next gombra.
A Name, review, and create részben válasszon tetszőleges szerepkörnevet.

4. Alkalmazzon minden további korlátozást a saját biztonsági gyakorlataival összhangban

A fenti az az minimálisan szükséges információ, amelyre az OpenAI-nak az EKM beállításához szüksége van. Szabadon alkalmazhat további kulcsszabályzatokat vagy korlátozásokat a saját belső biztonsági gyakorlataival összhangban, amíg az OpenAI képes titkosítási és visszafejtési műveleteket hívni a KMS-én. Amikor meghívja az alább ismertetett kulcsregisztrációs végpontot az OpenAI-jal, ellenőrizni fogjuk a beállítást.

A fenti lépések elvégzése után

ChatGPT Enterprise

Kérjük, lépjen kapcsolatba OpenAI-kapcsolattartójával, és ossza meg az alábbiakat:

"role_arn": "arn:aws:iam::<YOUR_AWS_ACCOUNT_NUMBER>:role/<YOUR_ROLE>",
- Az a Role ARN, amelyet az OpenAI átvesz az Ön felhőjében
"kms_arn": "arn:aws:kms:<REGION>:<YOUR_AWS_ACCOUNT_NUMBER>:key/<UUID>"
- A felügyelt főkulcs Key Management System ARN-je

Engedélyezni fogjuk az EKM-et az Ön ChatGPT-szervezetéhez/munkaterületéhez.

API

Regisztrálja a külső kulcsát az OpenAI-nál

Kövesse az ebben az API-referenciában szereplő utasításokat: External Keys in the Management API

Először regisztrálja a külső kulcsát az OpenAI-szervezet szintjén, ami létrehoz egy külsőkulcs-azonosítót.
Ebben a lépésben ellenőrizzük, hogy a megadott adatok érvényesek-e, és hogy tudunk-e hitelesíteni az Ön KMS-éhez.

Ez még nem adja hozzá az EKM-et az OpenAI-projektjéhez.

curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \

"https://api.openai.com/v1/organization/external_keys" \
-d '{
  "type": "aws",
  "name": "AWS EKM-konfig.",
  "role_arn": "arn:aws:iam::<YOUR_AWS_ACCOUNT_NUMBER>:role/<YOUR_ROLE>",
  "kms_arn": "arn:aws:kms:<REGION>:<YOUR_AWS_ACCOUNT_NUMBER>:key/<UUID>",
  "external_id": <az orgazonosítód vagy projektazonosítód>
}'

Ezután hozzon létre egy, a külső kulcshoz társított OpenAI-projektet. Ezt követően az EKM aktiválódik a projektjén.

Ennek az API-hívásnak a válasz törzse megadja Önnek a projektazonosítót (proj_xxx)

curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/projects" \
-d '{
   "name": "Valamilyen projekt",

   "external_key_id": "extkey_xxxx"
}'

OpenAI / AWS EKM integrációs útmutató