Prasyarat
Ini mengasumsikan bahwa Anda telah mendaftarkan kunci KMS eksternal Anda ke OpenAI, dengan mengikuti salah satu panduan yang tersedia
Istilah Utama
Rotasi kunci dan pencabutan kunci memiliki tujuan yang berbeda. Pastikan untuk memilih tindakan yang tepat untuk kasus penggunaan Anda.
Rotasi Kunci: Menghasilkan materi kriptografis baru untuk mengenkripsi data baru, sekaligus memungkinkan dekripsi data lama yang dienkripsi dengan kunci sebelumnya
Rotasi Kunci tidak memengaruhi akses terhadap data OpenAI
Pencabutan Kunci: Mencabut akses ke semua data yang dienkripsi dengan kunci sebelumnya.
Pencabutan Kunci mencabut akses ke data OpenAI
Cara memverifikasi bahwa kunci KMS Anda sedang digunakan
Penyedia cloud Anda seharusnya memiliki log:
AWS - https://docs.aws.amazon.com/kms/latest/developerguide/security-logging-monitoring.html
Azure - https://learn.microsoft.com/en-us/azure/key-vault/general/howto-logging
Cara memutar kunci Anda
Anda dapat mengatur rotasi kunci otomatis
AWS - https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html
GCP - https://cloud.google.com/kms/docs/rotate-key#automatic
Azure - https://learn.microsoft.com/en-us/azure/key-vault/keys/how-to-configure-key-rotation
Sebagai pengujian: akses Anda ke data OpenAI tidak akan terpengaruh oleh perubahan ini
Cara mencabut kunci Anda
Ada banyak cara untuk mencabut akses OpenAI ke kunci Anda—termasuk gangguan apa pun pada alur autentikasi:
Jika Anda mencabut akses peran OpenAI ke kunci KMS
Jika Anda menghapus izin enkripsi/dekripsi pada kunci KMS
Jika Anda menggunakan alias kunci AWS (tidak disarankan), jika Anda mengganti ARN KMS yang mendasarinya. Tindakan ini terkadang disalahartikan sebagai rotasi kunci, tetapi sebenarnya merupakan pencabutan kunci, jadi tindakan ini tidak disarankan kecuali Anda yakin ingin melakukannya.
Jika Anda meminta OpenAI untuk memperbarui KMS ARN yang digunakan untuk workspace ChatGPT Enterprise Anda
Untuk memvalidasi pencabutan kunci Anda:
Tunggu satu jam hingga semua entri cache kedaluwarsa di sisi OpenAI, lalu uji pencabutan
Jika Anda menggunakan ChatGPT Enterprise, Anda tidak akan lagi dapat membaca percakapan sebelumnya, penelusuran percakapan tidak akan menampilkan hasil dari percakapan sebelumnya, dan Anda tidak akan dapat mengakses GPT kustom sebelumnya.
Jika Anda menggunakan API, Anda tidak akan lagi dapat mengunduh file batch sebelumnya, menggunakan model yang disetel sebelumnya, atau merujuk respons sebelumnya yang dibuat menggunakan API Respons.
Jika Anda menggunakan API, Anda juga dapat langsung menguji bahwa pencabutan kunci Anda telah diproses oleh OpenAI dan akan berlaku dalam waktu satu jam
Buat kunci API Admin (bukan kunci API biasa):
Dapatkan ID kunci eksternal OpenAI (extkey_xxx) yang terkait dengan workspace atau proyek Anda dengan memanggil curl -X GET -H "Authorization: Bearer $ADMIN_API_KEY" https://api.openai.com/v1/organization/external_keys
Sekarang panggil curl -X POST -H "Authorization: Bearer $ADMIN_API_KEY" "https://api.openai.com/v1/organization/external_keys/extkey_xxx/validate"
Praktik terbaik untuk pencabutan kunci
Jika Anda menggunakan API
Arsipkan proyek API yang datanya telah Anda jadikan tidak dapat diakses. Kemudian, siapkan kunci KMS baru dan buat proyek API baru yang terkait dengan kunci KMS tersebut.
Harap diingat bahwa Anda tidak dapat menukar kunci KMS yang terkait dengan proyek API lama tempat Anda telah melakukan pencabutan kunci - Anda harus mengarsipkan proyek lama. Proyek yang pencabutan kuncinya telah dilakukan tidak boleh tetap digunakan. API sangat memudahkan pembuatan proyek baru, jadi gunakan fitur tersebut.
Jika Anda menggunakan ChatGPT Enterprise
Hubungi dukungan OpenAI setelah Anda melakukan pencabutan kunci.
Kami akan bekerja sama dengan Anda untuk menyiapkan workspace baru. Kami tidak akan menggunakan kembali workspace lama dengan memperbaruinya agar menggunakan kunci KMS baru. Ini karena ketika pencabutan kunci berfungsi sebagaimana mestinya, data sebelumnya yang dienkripsi dengan kunci yang dicabut menjadi tidak dapat diakses.