OpenAI
Ez az oldal gépi fordítással készült. Tekintsd meg az eredeti angol nyelvű cikket.

OpenAI / GCP EKM integrációs útmutató

Lépésről lépésre útmutató a GCP üzembe helyezéséhez és az EKM aktiválásához

Frissítve: 20 hours ago

Áttekintés

Az Enterprise Key Management (EKM) lehetővé teszi az OpenAI számára, hogy az Ön által felügyelt mesterkulccsal titkosítsa az adatokat. Ez a dokumentum bemutatja, hogyan állíthatja be GCP-fiókját úgy, hogy korlátozott jogosultságokat adjon az OpenAI-nak a KMS-en.

Diagram of OpenAI GCP EKM integration flow using STS token exchange and KMS encrypt or decrypt requests

Lépések

1. Hozzon létre összevont identitást az OpenAI számára

Az OpenAI egy OpenAI-tulajdonú GCP-fiókból fog identitástokent kiállítani, amely nagyjából így néz ki.

  • Az azp és a sub az OpenAI szolgáltatásfiók-azonosítója a GCP-ben

  • Az aud az Ön OpenAI-szervezetének azonosítója. Más célközönséget is választhat, például az OpenAI-projektazonosítóját – lásd az alábbi utasításokat

{
  "aud": "org-xxxx",
  "azp": "105900137572174660365",
  "exp": 1747876928,
  "iat": 1747873328,
  "iss": "https://accounts.google.com",
  "sub": "105900137572174660365"
}

Ez a lépés felismeri az identitástokenben szereplő állításokat, és lehetővé teszi, hogy a GCP STS hozzáférési tokent állítson ki, amikor megkapja ezt az identitástokent.

  1. Lépjen ide: IAM & Admin -> Workload Identity Federation , és kattintson a Create Pool lehetőségre

GCP IAM & Admin with Workload Identity Federation selected

  1. A Create an identity pool, lépésben adjon meg bármit a pool name mezőben.

  1. A Add a provider to pool lépésben:

  1. A Select a provider résznél válassza az OpenID Connect (OIDC) lehetőséget

  2. Adjon meg bármit a provider name mezőben.

  3. Az Issuer (URL) szakaszban adja meg: https://accounts.google.com

  4. Az Audiences szakaszban

  1. Válassza az Allowed audiences lehetőséget

  2. Adja meg azt a célközönséget, amelyet az OpenAI-nak jeleznie kell, amikor tokent adunk át Önnek.

  1. ChatGPT vagy API esetén: megadhatja az OpenAI API-szervezet azonosítóját (org-xxx)

  2. API esetén: a nagyobb részletesség érdekében megadhat egy adott API-projektazonosítót.

GCP Workload Identity Provider edit page with Allowed audiences selected and Audience 1 entered

  1. Az Attribute mapping szakaszban

  1. a google.subject értékéhez adja meg: assertion.sub

Google Cloud attribute mapping with Google 1 google.subject mapped to OIDC 1 assertion.sub

  1. Az Attribute conditions szakaszban

  1. Most már látnia kell a workload identity pool és a workload identity provider bejegyzéseket a https://console.cloud.google.com/iam-admin/workload-identity-pools oldalon

  1. Workload identity pool id

GCP Workload Identity Pools page highlighting the provider ID value needed for OpenAI EKM setup

  1. Workload identity provider ID

GCP Workload Identity Provider edit page with the provider ID field highlighted

2. Győződjön meg arról, hogy a KMS engedélyezve van

A KMS engedélyezéséhez lépjen ide: https://console.developers.google.com/apis/api/cloudkms.googleapis.com/overview. Nem kötelező a KMS-t ugyanabban a GCP-projektben létrehoznia, ahol felismerte az OpenAI összevont identitását; ha azonban a projektek eltérnek, a KMS-terméknek legalább mindkét projektben engedélyezve kell lennie.

3. Hozzon létre egy új KMS-kulcsot

  1. Lépjen ide: Security -> Data Protection > Key Management

  2. Az Overview lapon kattintson a Create key ring lehetőségre

  1. Válasszon tetszőleges nevet a kulcskarikának

  2. A Cél és algoritmus mezőnél válassza a Symmetric encrypt/decrypt lehetőséget

GCP Key Management Overview page with the Create Key Ring button highlighted

  1. Miután létrehozott egy kulcskarikát, annak meg kell jelennie a Key Rings lapon. Kattintson a kulcskarikára.

  2. A kulcskarika részleteinél kattintson a Create Key lehetőségre

  1. Válasszon tetszőleges nevet a kulcsának

4. Hozzon létre egy korlátozott szerepkört a KMS-en végzett titkosítási/visszafejtési műveletekhez

  1. Lépjen ide: IAM & Admin -> Roles -> Create role

  2. Adjon meg tetszőleges szerepkörcímet és -azonosítót

  3. Kattintson az Add Permissions lehetőségre, majd adja hozzá a következőket

  1. cloudkms.cryptoKeyVersions.useToDecrypt

  2. cloudkms.cryptoKeyVersions.useToEncrypt

5. Rendelje hozzá az OpenAI összevont identitását a korlátozott KMS-szerepkörhöz a titkosítási/visszafejtési műveletekhez

  1. Lépjen ide: Security -> Data Protection > Key Management

  2. Kattintson a key ring nevére, majd a key name elemre a kulcs részleteit tartalmazó oldal megnyitásához.

  1. Kattintson a Permissions lapra, majd a Grant Access gombra

Google Cloud KMS key details page with Permissions tab open and Grant Access highlighted

  1. Rendelje hozzá az OpenAI összevont identitását a korábban létrehozott egyéni szerepkörhöz

  1. Az Add principals szakaszban adja meg: principal://iam.googleapis.com/projects/<YOUR_GCP_PROJECT_NUMBER>/locations/global/workloadIdentityPools/<YOUR_GCP_WORKLOAD_IDENTITY_POOL>/subject/105900137572174660365

  1. Az Assign roles szakaszban válassza ki az előző lépésben a korlátozott EKM-jogosultságokhoz létrehozott egyéni szerepkört

6. Alkalmazzon további korlátozásokat a saját biztonsági gyakorlataival összhangban

A fentiek jelentik az OpenAI számára az EKM beállításához minimálisan szükséges információkat. Szabadon alkalmazhat további kulcsházirendeket vagy korlátozásokat a saját belső biztonsági gyakorlataival összhangban, amennyiben az OpenAI meg tudja hívni a titkosítási és visszafejtési műveleteket a KMS-en. Amikor meghívja az alább ismertetett kulcsregisztrációs végpontot az OpenAI-nál, ellenőrizni fogjuk a beállítását.

A fenti lépések elvégzése után

ChatGPT Enterprise

Kérjük, vegye fel a kapcsolatot OpenAI-kapcsolattartójával, és ossza meg a következőket:

  • "workload_identity_project_number": "123456789012",

  • "workload_identity_pool_id": "openai-azure",

  • "workload_identity_provider_id": "openai-ekm-service-role",

  • "kms_project_id": "adjective-noun-12345",

  • "kms_key_name": "openai-kms-key",

  • "kms_key_ring_name": "openai-kms-key-ring",

  • "kms_key_location": "us-east1"

  • Az a régió, ahol a Key Management System mesterkulcsa található

Engedélyezni fogjuk az EKM-et a ChatGPT-szervezete/munkaterülete számára.

API

Regisztrálja külső kulcsát az OpenAI-nál

Kövesse az API-referenciában található utasításokat: Külső kulcsok a Management API-ban

  • Először regisztrálja a külső kulcsot az OpenAI-szervezet szintjén, ami létrehoz egy külső kulcsazonosítót.

  • Ebben a lépésben ellenőrizzük a GCP-beállítását azzal, hogy megnézzük, tudunk-e hitelesíteni a KMS-éhez.

  • Ez még nem adja hozzá az EKM-et az OpenAI-projektjéhez.

curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/external_keys" \
-d '{
   "type": "gcp",
   "name": "GCP EKM Config",
   "workload_identity_project_number": "123456789012",
   "workload_identity_pool_id": "openai-azure",
   "workload_identity_provider_id": "openai-ekm-service-role",
   "audience": <az orgazonosítód vagy projektazonosítód>,
   "kms_project_id": "adjective-noun-12345",
   "kms_key_name": "openai-kms-key",
   "kms_key_ring_name": "openai-kms-key-ring",
   "kms_key_location": "us-east1"
}'

Ezután hozzon létre egy, a külső kulcshoz társított OpenAI-projektet. Ezt követően az EKM aktiválódik a projektjén.

curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/projects" \
-d '{
   "name": "Some Project",

   "external_key_id": "extkey_xxxx"

}'

Hasznos volt ez a cikk?