Áttekintés

Az Enterprise Key Management (EKM) lehetővé teszi, hogy az OpenAI az Ön által felügyelt főkulccsal titkosítsa az adatokat. Ahhoz, hogy az OpenAI meghívhassa a Key Vault titkosítási/visszafejtési műveleteit, hozzáférést kell kapnia. Ez a dokumentum bemutatja, hogyan állítsa be Azure-fiókját úgy, hogy az OpenAI Key Vault-jogosultságokkal rendelkező szerepkört vehessen fel.

Lépések

1. Hozzon létre egy OpenAI szolgáltatásnevet a fiókjában

1. Szerezzen be egy hozzáférési tokent

az account get-access-token --resource https://graph.microsoft.com
--tenant YOUR_TENANT_ID

2. Hozza létre a szolgáltatásnevet – az alábbi kérésben szereplő appId az OpenAI alkalmazásügyfél-azonosítója. Ez létrehoz egy szolgáltatásnevet „EKM - OpenAI Azure” megjelenített névvel – ezt jegyezze meg a későbbi lépésekhez.

OpenAI / Azure EKM integrációs útmutató - Szolgáltatásnév létrehozása

curl -X POST https://graph.microsoft.com/v1.0/servicePrincipals \
-H "Authorization: Bearer $TOKEN_FROM_ABOVE" \
-H "Content-Type: application/json" \
–d '{"appId": "20a14814-5ab7-4612-a671-1382b412bf93"}'

2. Hozzon létre egy egyéni szerepkört a korlátozott KMS-hozzáféréshez

1. Nyissa meg a Subscriptions -> Access Control (IAM) menüpontot

2. A + Add legördülő menüben válassza az Add custom role lehetőséget

3. Lépjen a JSON lapra, kattintson az Edit gombra, majd adja hozzá a következőket

   1. Bármilyen szerepkörnév – jegyezze meg a kiválasztott nevet

   2. A következő engedélyek a dataActions mezőben

      1. Microsoft.KeyVault/vaults/keys/encrypt/action

      2. Microsoft.KeyVault/vaults/keys/decrypt/action

      3. Microsoft.KeyVault/vaults/keys/read

         

3. Hozzon létre egy Key Vaultot és kulcsot

Ha még nincs ilyen, hozzon létre egy új Key Vaultot abban az azonos előfizetésben, ahol az imént létrehozta az egyéni szerepkört

Ebben a Key Vaultban hozzon létre egy új kulcsot:

1. Nyissa meg a Key Vault -> Objects -> Keys menüpontot, majd kattintson a Generate/Import lehetőségre

2. Az Options alatt válassza a Generate
   
   lehetőséget

   

3. Válassza az RSA titkosítási algoritmust.

4. Bármilyen RSA-kulcsméretet választhat

5. Adjon meg egy kulcsnevet a következő formátumban: <org-xxx>--<any_name>, ahol az org-xxx az Ön OpenAI szervezetazonosítója, amelyet itt talál: https://platform.openai.com/settings/organization/general

   

Ha nem tud megtekinteni vagy létrehozni kulcsot, ellenőrizze, hogy rendelkezik-e a Key Vault Administrator szerepkörrel. Erre akkor is szükség van, ha Önnek Owner szerepköre van. A szerepkör hozzárendeléséhez:

1. Lépjen a Key Vault->Access Control (IAM) menübe

2. Kattintson a Add-> Add role assignment
   
   lehetőségre

   

4. Hozzon létre egy szerepkör-hozzárendelést az OpenAI szolgáltatásnévhez + az új egyéni KMS-hez + az új kulcshoz

1. Nyissa meg a Key Vault -> Objects -> Keys menüpontot, majd kattintson a létrehozott kulcs sorára

2. Nyissa meg az Access control (IAM) részt az imént kiválasztott kulcshoz (nem a Key Vaulthoz).

3. A + Add legördülő menüben válassza az Add role assignment
   
   lehetőséget

   

4. A Role lapon válassza ki az imént létrehozott egyéni szerepkör nevét.

   

5. A Members lapon:

   1. Kattintson a „+ Select members” elemre

   2. Írja be a keresősávba ezt: „ekm -” , majd be kell töltődnie az 1. lépésben létrehozott OpenAI szolgáltatásnévnek

      

5. Alkalmazzon minden további korlátozást a saját biztonsági gyakorlata szerint

A fentiek jelentik azt a minimálisan szükséges információt, amelyre az OpenAI-nak az EKM beállításához szüksége van. Szabadon alkalmazhat további kulcsszabályzatokat vagy korlátozásokat a saját belső biztonsági gyakorlatával összhangban, amennyiben az OpenAI képes meghívni a KMS titkosítási és visszafejtési műveleteit. Amikor meghívja az alább ismertetett kulcsregisztrációs végpontot az OpenAI-jal, ellenőrizni fogjuk a beállítást.

A fenti lépések elvégzése után

ChatGPT Enterprise

Kérjük, vegye fel a kapcsolatot OpenAI kapcsolattartójával, és ossza meg vele a következőket:

• "tenant_id": "<YOUR_AZURE_TENANT_UUID>"

  • Az Ön Azure-bérlőjének UUID-ja

• "vault_uri": "https://<YOUR_KEYVAULT_NAME>.vault.azure.net/"

  • Az Ön által kezelt főkulcsot tartalmazó Azure-vault URI-ja

• "key_name": "<YOUR_KEY_NAME>"

  • Az Ön által kezelt Azure Key Vault-főkulcs neve

  • A kulcsnévnek a következő formájúnak kell lennie: <org-xxx>--<any_name>, ahol az org-xxx az Ön OpenAI szervezetazonosítója, amelyet itt talál: https://platform.openai.com/settings/organization/general

Engedélyezni fogjuk az EKM-et az Ön ChatGPT szervezeténél/munkaterületén.

API

Regisztrálja külső kulcsát az OpenAI-nál

Kövesse az ebben az API-referenciában található utasításokat: Külső kulcsok a Management API-ban

• Először regisztrálja a külső kulcsát OpenAI szervezeti szinten, ami egy extkey_xxx formájú külsőkulcs-azonosítót hoz létre

• Ebben a lépésben ellenőrizni fogjuk, hogy a megadott adatok érvényesek-e, és hogy tudunk-e hitelesíteni az Ön KMS-éhez.

• Ezzel még nem adja hozzá az EKM-et az OpenAI projektjéhez. 

# Ez egy extkey_xxx

 formájú külsőkulcs-azonosítót hoz létre
curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/external_keys" \
-d '{
  "type": "azure",
  "name": "<ANY_FRIENDLY_NAME>",
  "tenant_id": "<YOUR_AZURE_TENANT_UUID>",
  "vault_uri": "https://<YOUR_KEYVAULT_NAME>.vault.azure.net/",
  "key_name": "<YOUR_KEY_NAME>"
}'

• Ezután hozzon létre egy, a külső kulcshoz társított OpenAI projektet. Ezt követően az EKM aktiválódik a projektjén.

• Ennek az API-hívásnak a válasz törzse megadja a projektazonosítót (proj_xxx)
  
  OpenAI / Azure EKM integrációs útmutató - Projekt létrehozása

curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/projects" \
-d '{
   "name": "Some Project",
   "external_key_id": "extkey_xxxx"
}'