セットアップチェックから取り消し後のクリーンアップまで、エンドツーエンドの KMS キーライフサイクルガイダンス

前提条件

これは、以下のいずれかのガイドに従って、外部 KMS キーをすでに OpenAI に登録済みであることを前提としています

キーワード

キーローテーションとキー取り消しは、それぞれ異なる目的を持ちます。ユースケースに応じて適切なアクションを選択してください。

キーローテーション：新しいデータを暗号化するための新しい暗号化マテリアルを生成します。また、以前のキーで暗号化されたデータの復号を可能にします
- キーローテーションは OpenAI データへのアクセスに影響を与えません
キー取り消し：以前のキーで暗号化されたすべてのデータへのアクセス権を取り消します。
- キー取り消しは OpenAI データへのアクセス権を取り消します

クラウドプロバイダーに以下のログがあるはずです。

自動キーローテーションを設定できます

テスト用：OpenAI データへのアクセス権は、この変更による影響を受けません

OpenAI のキーへのアクセス権を取り消す方法は数多くありますが、以下のような認証フローの中断がこれに該当します。

OpenAI のロールから KMS キーへのアクセスを取り消した場合
KMS キーの暗号化/復号化の許可を削除した場合
AWS キーエイリアス（非推奨）を使用している場合、基になる KMS ARN を切り替えることはキーローテーションと混同されることがありますが、実際にはキー取り消しとなります。その操作を確実に意図している場合を除き、実行しないことをおすすめします。
OpenAI に ChatGPT Enterprise ワークスペースで使用される KMS ARN の更新を依頼する場合

キーの失効を検証するには、以下を行います。

OpenAI 側ですべてのキャッシュエントリの有効期限が切れるまで1時間待ってから、取り消しをテストします
- ChatGPT Enterprise を使用している場合、過去の会話を読めなくなり、会話検索にも過去の会話の結果が表示されなくなり、以前のカスタム GPT にアクセスできなくなります。
- API を使用している場合、以前のバッチファイルをダウンロードしたり、以前のファインチューニング済みのモデルを使用したり、Responses API を使用して以前に作成されたレスポンスを参照したりできなくなります。
API を使用している場合、キー取り消しが OpenAI によって処理され、1時間以内に有効になることを早急に確認することもできます
- 管理者 API キーを次のように作成します（通常の API キーではありません）。
- curl -X GET -H "Authorization: Bearer $ADMIN_API_KEY" https://api.openai.com/v1/organization/external_keys を呼び出し、ワークスペースまたはプロジェクトに関連付けられた OpenAI 外部キー ID（extkey_xxx）を取得します
- 次に、curl -X POST -H "Authorization: Bearer $ADMIN_API_KEY" "https://api.openai.com/v1/organization/external_keys/extkey_xxx/validate" を呼び出します

API を使用している場合

データをアクセス不可にした API プロジェクトをアーカイブします。次に、新しい KMS キーを設定し、それに関連付けられた新しい API プロジェクトを作成します。
キー取り消しを実行した古い API プロジェクトに関連付けられている KMS キーは入れ替えできないことにご注意ください。古いプロジェクトをアーカイブする必要があるのはそのためです。キー取り消しが行われたプロジェクトは、使用し続けるべきではありません。API を使用すれば新しいプロジェクトを簡単に作成できるので、その機能を活用してください。

ChatGPT Enterprise を使用している場合

キーを取り消した後、OpenAI サポートへご連絡ください。
新しいワークスペースの立ち上げをお手伝いいたします。古いワークスペースを新しい KMS キーを使用するように更新して再利用することはありません。これは、キー取り消しが設計どおりに機能すると、取り消したキーで以前に暗号化されたデータにアクセスできなくなるためです。