Előfeltételek
Ez feltételezi, hogy már regisztrálta a külső KMS-kulcsát az OpenAI-nál az alábbi útmutatók egyikét követve
Kulcsfogalmak
A kulcs rotációja és a kulcs visszavonása eltérő célokat szolgál. Ügyeljen arra, hogy a használati esetének megfelelő műveletet válassza.
Kulcsrotáció: Új kriptográfiai anyag létrehozása új adatok titkosításához, miközben továbbra is lehetővé teszi a korábbi kulcsokkal titkosított régebbi adatok visszafejtését
Kulcsrotáció nem érinti az OpenAI-adatokhoz való hozzáférést
Kulcs visszavonása: A korábbi kulcsokkal titkosított összes adathoz való hozzáférés visszavonása.
Kulcs visszavonása visszavonja az OpenAI-adatokhoz való hozzáférést
Hogyan ellenőrizhető, hogy a KMS-kulcs használatban van-e
A felhőszolgáltatójának rendelkeznie kell naplókkal:
AWS - https://docs.aws.amazon.com/kms/latest/developerguide/security-logging-monitoring.html
Azure - https://learn.microsoft.com/en-us/azure/key-vault/general/howto-logging
A kulcs rotációja
Beállíthat automatikus kulcsrotációt
AWS - https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html
GCP - https://cloud.google.com/kms/docs/rotate-key#automatic
Azure - https://learn.microsoft.com/en-us/azure/key-vault/keys/how-to-configure-key-rotation
Teszteléshez: az OpenAI-adatokhoz való hozzáférését ez a változás nem érinti
A kulcs visszavonása
Számos módon visszavonhatja az OpenAI hozzáférését a kulcsához – bármilyen zavar a hitelesítési folyamatban:
Ha visszavonja az OpenAI szerepkörének hozzáférését a KMS-kulcshoz
Ha eltávolítja a titkosítási/visszafejtési jogosultságokat a KMS-kulcsról
Ha AWS-kulcsálnevet használ (nem ajánlott), és átváltja a mögöttes KMS ARN-t. Ezt a műveletet néha összekeverik a kulcsrotációval, de valójában kulcsvisszavonásról van szó, ezért nem ajánlott, hacsak nem biztos benne, hogy ezt szeretné.
Ha azt kéri az OpenAI-tól, hogy frissítse a ChatGPT Enterprise munkaterületéhez használt KMS ARN-t
A kulcsvisszavonás ellenőrzéséhez:
Várjon egy órát, hogy az OpenAI oldalán minden gyorsítótár-bejegyzés lejárjon, majd tesztelje a visszavonást
Ha ChatGPT Enterprise-t használ, többé nem fogja tudni olvasni a korábbi beszélgetéseket, a beszélgetéskeresés nem jelenít meg találatokat a korábbi beszélgetésekből, és nem fog hozzáférni a korábbi egyéni GPT-khez.
Ha az API-t használja, többé nem fogja tudni letölteni a korábbi batchfájlokat, használni a korábbi finomhangolt modelleket, illetve hivatkozni a Responses API használatával korábban létrehozott válaszokra.
Ha a API-t használja, azt is azonnal tesztelheti, hogy a kulcsvisszavonását az OpenAI feldolgozta, és egy órán belül érvénybe fog lépni
Hozzon létre egy Admin API-kulcsot (nem normál API-kulcsot):
Szerezze meg a munkaterületéhez vagy projektjéhez társított OpenAI külső kulcsazonosítót (extkey_xxx) a következő hívással: curl -X GET -H "Authorization: Bearer $ADMIN_API_KEY" https://api.openai.com/v1/organization/external_keys
Ezután hívja meg a következőt: curl -X POST -H "Authorization: Bearer $ADMIN_API_KEY" "https://api.openai.com/v1/organization/external_keys/extkey_xxx/validate"
Bevált gyakorlatok kulcsvisszavonás esetén
Ha az API-t használja
Archiválja azt az API-projektet, amelynek adatait elérhetetlenné tette. Ezután állítson be egy új KMS-kulcsot, és hozzon létre egy új, az új KMS-kulcshoz társított API-projektet.
Vegye figyelembe, hogy nem cserélheti le a régi API-projekthez társított KMS-kulcsot, ahol végrehajtotta a kulcsvisszavonást – a régi projektet archiválnia kell. Egy olyan projektet, amelynél kulcsvisszavonást hajtottak végre, nem szabad tovább használni. Az API-ban nagyon egyszerű új projekteket létrehozni, ezért használja ezt a lehetőséget.
Ha ChatGPT Enterprise-t használ
Lépjen kapcsolatba az OpenAI ügyfélszolgálatával, miután végrehajtotta a kulcsvisszavonást.
Segítünk egy új munkaterület létrehozásában. Nem fogjuk a régi munkaterületet újra felhasználni úgy, hogy megpróbáljuk frissíteni egy új KMS-kulcs használatára. Ennek oka, hogy ha a kulcsvisszavonás a tervezett módon működik, a visszavont kulccsal titkosított korábbi adatok elérhetetlenné válnak.