Guida completa al ciclo di vita delle chiavi KMS, dai controlli di configurazione alla pulizia dopo la revoca

Prerequisiti

Questo presuppone che tu abbia già registrato la tua chiave KMS esterna con OpenAI, seguendo una delle seguenti guide

Termini chiave

La rotazione delle chiavi e la revoca delle chiavi hanno scopi diversi. Assicurati di scegliere l'azione giusta per il tuo caso d'uso.

Rotazione delle chiavi: genera nuovo materiale crittografico per la cifratura dei nuovi dati, consentendo al contempo la decifratura dei dati più vecchi che sono stati crittografati con chiavi precedenti
- La rotazione delle chiavi non influisce sull'accesso ai dati di OpenAI
Revoca delle chiavi: revoca l'accesso a tutti i dati crittografati con chiavi precedenti.
- La revoca delle chiavi revoca l'accesso ai dati di OpenAI

Il tuo provider cloud dovrebbe avere dei log:

Puoi configurare la rotazione automatica delle chiavi

Per verificare: il tuo accesso ai dati di OpenAI non sarà influenzato da questa modifica

Esistono molti modi per revocare l’accesso di OpenAI alla tua chiave. Qualsiasi interruzione nel flusso di autenticazione:

Se revochi l'accesso al ruolo di OpenAI alla chiave KMS
Se rimuovi i permessi di crittografia/decrittografia sulla chiave KMS
Se utilizzi un alias di chiave AWS (non consigliato), se cambi l’ARN KMS sottostante. Questa azione viene talvolta confusa con la rotazione delle chiavi, ma in realtà è una revoca della chiave, quindi non è consigliata a meno che non si sia certi di voler procedere in questo modo.
Se chiedi a OpenAI di aggiornare il KMS ARN utilizzato per la tua area di lavoro ChatGPT Enterprise

Per convalidare la revoca della chiave:

Attendi un'ora per consentire a tutte le voci di cache di scadere sul lato OpenAI, quindi verifica la revoca
- Se utilizzi ChatGPT Enterprise, non avrai più accesso alle conversazioni precedenti, la ricerca nelle conversazioni non mostrerà risultati delle conversazioni passate e non potrai accedere ai GPT personalizzati creati in precedenza.
- Se utilizzi l'API, non potrai più scaricare file batch precedenti, usare modelli fine-tuned precedenti o fare riferimento a risposte create in precedenza tramite la Responses API.
Se utilizzi l'API, puoi anche verificare subito che la revoca della chiave sia stata elaborata da OpenAI e che diventerà effettiva entro un’ora
- Crea una chiave API admin (non una normale chiave API):
- Ottieni l'ID della chiave esterna OpenAI (extkey_xxx) associata alla tua area di lavoro o al tuo progetto eseguendo curl -X GET -H "Authorization: Bearer $ADMIN_API_KEY" https://api.openai.com/v1/organization/external_keys
- Ora esegui curl -X POST -H "Authorization: Bearer $ADMIN_API_KEY" "https://api.openai.com/v1/organization/external_keys/extkey_xxx/validate"

Se utilizzi l'API

Archivia il progetto API i cui dati hai reso inaccessibili. Configura quindi una nuova chiave KMS e crea un nuovo progetto API associato alla nuova chiave KMS.
Nota: non è possibile sostituire la chiave KMS associata al vecchio progetto API in cui è stata eseguita la revoca della chiave ed è necessario archiviare il vecchio progetto. Un progetto per il quale è stata emessa la revoca di una chiave non dovrebbe rimanere in uso. Poiché l’API semplifica la creazione di nuovi progetti, approfitta di questa funzionalità.

Se utilizzi ChatGPT Enterprise

Contatta il supporto OpenAI dopo avere eseguito la revoca di una chiave.
Ti aiuteremo a creare una nuova area di lavoro. Non riutilizzeremo la vecchia area di lavoro cercando di aggiornarla per utilizzare una nuova chiave KMS. Questo perché, quando la revoca di una chiave funziona come previsto, i dati precedenti crittografati con la chiave revocata diventano inaccessibili.