OpenAI
Ez az oldal gépi fordítással készült. Tekintsd meg az eredeti angol nyelvű cikket.

OpenAI / Azure EKM integrációs útmutató

Lépésről lépésre útmutató az Azure beüzemeléséhez és az EKM aktiválásához

Frissítve: 15 hours ago

Áttekintés

Az Enterprise Key Management (EKM) lehetővé teszi az OpenAI számára, hogy az Ön által felügyelt főkulccsal titkosítsa az adatokat. Ahhoz, hogy az OpenAI titkosítási/visszafejtési műveleteket hívhasson meg a Key Vaulton, hozzáférést kell kapnunk. Ez a dokumentum bemutatja, hogyan állíthatja be Azure-fiókját úgy, hogy az OpenAI Key Vault-engedélyekkel rendelkező szerepkört vehessen fel.

Azure EKM flow where OpenAI EKM uses Microsoft Entra ID to access your Key Vault and master KEK

Lépések

1. Hozzon létre szolgáltatásnevet az OpenAI számára a fiókjában

  1. Szerezzen be hozzáférési tokent

az account get-access-token --resource https://graph.microsoft.com
--tenant YOUR_TENANT_ID

  1. Hozza létre a szolgáltatásnevet – az alábbi kérésben szereplő appId az OpenAI alkalmazásügyfél-azonosítója. Ez létrehoz egy szolgáltatásnevet „EKM - OpenAI Azure” megjelenítési névvel – jegyezze meg ezt a későbbi lépésekhez.

OpenAI / Azure EKM integrációs utasítások – szolgáltatásnév létrehozása

curl -X POST https://graph.microsoft.com/v1.0/servicePrincipals \
-H "Authorization: Bearer $TOKEN_FROM_ABOVE" \
-H "Content-Type: application/json" \
–d '{"appId": "20a14814-5ab7-4612-a671-1382b412bf93"}'

2. Hozzon létre egyéni szerepkört a korlátozott KMS-hozzáféréshez

  1. Lépjen a Subscriptions -> Access Control (IAM) részhez

  2. A + Add legördülő menüben válassza az Add custom role lehetőséget

  3. Lépjen a JSON lapra, kattintson az Edit lehetőségre, és adja hozzá a következőket:

    1. Bármilyen szerepkörnév megfelel – jegyezze meg a kiválasztott nevet

    2. A következő engedélyek a dataActions mezőben:

      1. Microsoft.KeyVault/vaults/keys/encrypt/action

      2. Microsoft.KeyVault/vaults/keys/decrypt/action

      3. Microsoft.KeyVault/vaults/keys/read

OpenAI / Azure EKM Integration Instructions Custom Role

3. Hozzon létre egy Key Vaultot és egy kulcsot

Ha még nincs ilyenje, hozzon létre egy új Key Vaultot ugyanabban az előfizetésben, ahol az imént létrehozta az egyéni szerepkört.

Ebben a Key Vaultban hozzon létre egy új kulcsot:

  1. Lépjen a Key Vault -> Objects -> Keys részhez, majd kattintson a Generate/Import lehetőségre

  2. Az Options alatt válassza a Generate lehetőséget

Azure Key Vault Keys page with Generate/Import highlighted to add a key

  1. Titkosítási algoritmusként válassza az RSA lehetőséget.

  2. Bármilyen RSA-kulcsméretet választhat

  3. Adjon meg egy kulcsnevet a következő formátumban: <org-xxx>--<any_name>, ahol az org-xxx az OpenAI-szervezet azonosítója, amelyet itt talál: https://platform.openai.com/settings/organization/general

Azure Key Vault key generation form with RSA selected and key name org-abcdefg--test-keyvault-key

Ha nem tud megtekinteni vagy létrehozni kulcsot, győződjön meg arról, hogy rendelkezik a Key Vault Administrator szerepkörrel. Erre akkor is szükség van, ha rendelkezik az Owner szerepkörrel. A szerepkör hozzárendeléséhez:

  1. Lépjen a Key Vault -> Access Control (IAM) részhez

  2. Kattintson az Add -> Add role assignment lehetőségre

Azure Key Vault Access control (IAM) page with Add menu open to Add role assignment

4. Hozzon létre szerepkör-hozzárendelést az OpenAI szolgáltatásnévhez + az új egyéni KMS-hez + az új kulcshoz

  1. Lépjen a Key Vault -> Objects -> Keys menüpontra, majd kattintson a létrehozott kulcs sorára

  2. Lépjen az imént kiválasztott kulcs Access control (IAM) részéhez (ne a Key Vault-példányához).

  3. A + Add legördülő menüben válassza az Add role assignment lehetőséget

Azure Key Vault Access control (IAM) page with Add menu open to Add role assignment

  1. A Role lapon válassza ki az imént létrehozott egyéni szerepkör nevét.

Azure role list filtered for openai- with the openai-azure-kms-role entry

  1. A Members lapon:

    1. Kattintson a „+ Select members” lehetőségre

    2. Írja be a keresősávba, hogy „ekm -”, ekkor be kell töltődnie az 1. lépésben létrehozott OpenAI szolgáltatásnévnek

Azure role assignment Members step with EKM - OpenAI Azure Application selected as a member

5. Alkalmazzon további korlátozásokat a saját biztonsági gyakorlataival összhangban

A fentiek azok a minimálisan szükséges információk, amelyekre az OpenAI-nak szüksége van az EKM beállításához. Szabadon alkalmazhat további kulcsházirendeket vagy korlátozásokat a saját belső biztonsági gyakorlataival összhangban, amennyiben az OpenAI képes titkosítási és visszafejtési műveleteket hívni a KMS-én. Amikor meghívja az alább ismertetett kulcsregisztrációs végpontot az OpenAI-nál, ellenőrizni fogjuk a beállítását.

A fenti lépések elvégzése után

ChatGPT Enterprise

Forduljon OpenAI-kapcsolattartójához, és ossza meg a következőket:

  • "tenant_id": "<YOUR_AZURE_TENANT_UUID>"

  • "vault_uri": "https://<YOUR_KEYVAULT_NAME>.vault.azure.net/"

  • "key_name": "<YOUR_KEY_NAME>"

  • Az Ön által kezelt Azure Key Vault-főkulcs neve

  • A kulcs nevének <org-xxx>--<any_name> formátumúnak kell lennie, ahol az org-xxx az OpenAI-szervezet azonosítója, amelyet itt talál: https://platform.openai.com/settings/organization/general

Engedélyezni fogjuk az EKM-et a ChatGPT-szervezetében/munkaterületén.

API

Regisztrálja külső kulcsát az OpenAI-nál

Kövesse az API-referenciában található utasításokat: Külső kulcsok a Management API-ban

  • Először regisztrálja a külső kulcsot az OpenAI-szervezet szintjén; ez egy extkey_xxx formátumú külsőkulcs-azonosítót hoz létre

  • Ebben a lépésben ellenőrizzük, hogy a bemenete érvényes-e, és hogy tudunk-e hitelesíteni a KMS-éhez.

  • Ez még nem adja hozzá az EKM-et az OpenAI-projektjéhez.

# This generates an external key ID of the form extkey_xxx
curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/external_keys" \
-d '{
  "type": "azure",
  "name": "<ANY_FRIENDLY_NAME>",
  "tenant_id": "<YOUR_AZURE_TENANT_UUID>",
  "vault_uri": "https://<YOUR_KEYVAULT_NAME>.vault.azure.net/",
  "key_name": "<YOUR_KEY_NAME>"
}'

  • Ezután hozzon létre egy OpenAI-projektet, amely a külső kulcshoz van társítva. Ezt követően az EKM aktiválódik a projektjén.

  • Ennek az API-hívásnak a válaszüzenete megadja a projektazonosítót: (proj_xxx)

curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/projects" \
-d '{
   "name": "Some Project",
   "external_key_id": "extkey_xxxx"
}'

Hasznos volt ez a cikk?