Ringkesan
Enterprise Key Management (EKM) ngidini sampeyan ndhelik konten pelanggan sampeyan ing OpenAI nganggo kunci sing dikelola dening Key Management System (KMS) eksternal sampeyan dhewe, kasedhiya kanggo ChatGPT Enterprise lan API.
OpenAI ndhukung enkripsi Bring Your Own Key (BYOK) nganggo akun eksternal ing AWS KMS, Google Cloud (GCP), lan Azure Key Vault.
Saiki, implementasi EKM mung winates kanggo papan kerja Enterprise lan Edu sing nduwèni perwakilan akun OpenAI sing ditunjuk.
Cara kerja enkripsi EKM OpenAI
Alur Tingkat Dhuwur
Kita nggawe Data Encryption Key (DEK) kanggo panyedhiya cloud sampeyan.
KMS cloud sampeyan ngelola Key Encryption Key (KEK) utama, sing disimpen ing cloud sampeyan utawa sacara eksternal. Implementasine terserah sampeyan.
Kita njaluk enkripsi DEK saka cloud sampeyan, kanggo entuk encrypted DEK (eDEK). Yen KEK sampeyan disimpen sacara eksternal, cloud sampeyan mung nambah lompatan ekstra menyang panyimpenan eksternal sampeyan, ing langkah sing ora katon kanggo OpenAI.
Enkripsi
Nalika enkripsi, data sampeyan dienkripsi nganggo DEK lan eDEK disimpen dadi metadata ing file.

Dekripsi
Nalika dekripsi, kita njaluk supaya eDEK didekripsi dening KMS cloud sampeyan dadi DEK, banjur kita ndhekipsi data nganggo DEK.

Istilah Penting
Data Encryption Key (DEK) - kunci sing ndhelik data sampeyan.
Encrypted Data Encryption Key (eDEK) - DEK sing wis dienkripsi, digawe dening KMS sampeyan
Key Encryption Key (KEK) - kunci utama sing sampeyan kelola kanggo ndhelik DEK -> eDEK lan mbukak enkripsi eDEK -> DEK. Kunci iki tansah tetep ana ing njaba sistem OpenAI.
Syarat implementasi tingkat dhuwur
Ing panyedhiya cloud sampeyan
Gawe kunci anyar ing KMS cloud sampeyan (Azure, AWS, utawa GCP)
Gawe policy khusus sing winates kanthi idin Encrypt/Decrypt ing KMS
Gawe trust policy (AWS), workload identity (GCP), utawa service principal (kanggo Azure) kanggo OpenAI
Wènèhaké peran marang OpenAI nganggo policy winates kanggo ngakses KMS sampeyan
Ing platform OpenAI
ChatGPT Enterprise
Gawe papan kerja sandbox ChatGPT kanggo tujuan uji coba.
API
Ing dashboard OpenAI sampeyan, gawe proyek anyar sing bakal ditrapaké enkripsi.
Fungsi khusus panyedhiya
Kanggo AWS, OpenAI bakal:
Nelpon AssumeRole nganggo ExternalID
Kanggo GCP, OpenAI bakal:
Nelpon titik pungkasan STS sampeyan saka akun GCP OpenAI
Nggunakake token akses GCP kanggo nelpon encrypt/decrypt ing KMS sampeyan.
Kanggo Azure, OpenAI bakal:
Nyuwun token akses kanggo vault ing tenant Azure sampeyan
Nggunakake token akses kasebut kanggo nelpon encrypt/decrypt ing Key Vault sampeyan.
Informasi sing sampeyan butuhake saka OpenAI
Autentikasi
Sampeyan kudu ngenali token identitas federasi OpenAI kanggo AWS lan GCP. Kanggo Azure, sampeyan kudu ngenali ID aplikasi OpenAI kanggo registrasi app-né.
Ringkesan paramèter autentikasi
| Principal AWS OpenAI | arn:aws:iam::790389265272:role/EnterpriseKeyManagement |
| ID service account GCP OpenAI | 105900137572174660365 |
| ID aplikasi Azure OpenAI | 20a14814-5ab7-4612-a671-1382b412bf93 |
Informasi sing dibutuhake sajrone implementasi adhedhasar panyedhiya cloud sampeyan
Kanggo AWS, sampeyan kudu nyiyapake kabijakan kapercayan sing ngenali:
Principal OpenAI (nomer akun + peran)
ExternalID sing dadi ID proyek OpenAI sampeyan
Kanggo GCP, sampeyan kudu nyiyapake identitas workload sing ngenali:
ID akun layanan OpenAI
Audiens sing dadi ID proyek OpenAI sampeyan
Kanggo Azure, sampeyan kudu nggawe principal layanan ing tenant Azure sampeyan kanggo registrasi app OpenAI
Gawe siji kanggo ID klien aplikasi OpenAI: 20a14814-5ab7-4612-a671-1382b412bf9
Sampeyan bisa nindakake iki kanthi ngirim menyang titik pungkasan https://graph.microsoft.com/v1.0/servicePrincipals.
Otorisasi
Sampeyan kudu nggawe policy sing ngidini identitas OpenAI entuk akses winates menyang KMS sampeyan.
| AWS | GCP | Azure |
| kms:Decryptkms:Encrypt | cloudkms.cryptoKeyVersions.useToDecryptcloudkms.cryptoKeyVersions.useToEncrypt | Microsoft.KeyVault/vaults/keys/encrypt/actionMicrosoft.KeyVault/vaults/keys/decrypt/action |
Liyane
Ing Azure, kanggo jinis Key (algoritma enkripsi kunci) pilih RSA, dudu EC.
Informasi sing dibutuhake OpenAI saka sampeyan
Tindakake pandhuan ing dokumen iki kanggo ndhaptar KMS sampeyan karo OpenAI. Iki ringkesan parameter sing kudu sampeyan wenehake.
Gegandhengan karo autentikasi
AWS
IAM Role ARN - peran sing bakal digunakake OpenAI (conto: arn:aws:iam::123456789:role/role-name)
ExternalID - ID organisasi OpenAI sampeyan
GCP
Workload Identity Project Number (conto: 123456789)
Workload Identity Pool ID
Workload Identity Provider ID
Audiens sing diidini: ID organisasi OpenAI sampeyan
Azure
Tenant ID
| AWS | GCP | Azure | |
| Gegandhengan karo autentikasi | Tenant ID | ||
| Gegandhengan karo KMS | KMS ARN - (conto: arn:aws:kms:REGION:ACCOUNT_NUMBER:key:KEY_UUID) | KMS Project ID (conto: adjective-noun-12345)jeneng key ring KMSjeneng key KMSlokasi key KMS (conto: us-east1) | Vault URI (conto: https://your-vault-name.vault.azure.net/)Jeneng Key |
Sawise sampeyan ndhaptar KMS karo OpenAI, terus tindakake pandhuan ing dokumen kanggo ngaktifake konfigurasi EKM ing proyek API. Gawe proyek API OpenAI sing anyar kanggo tujuan pangujian.
Pandhuan implementasi khusus panyedhiya
Kanggo pandhuan langkah demi langkah, delengen pranala sing cocog ing ngisor iki. Elinga yen iki fokus marang syarat integrasi karo OpenAI, lan ora dimaksudake minangka pandhuan lengkap kanggo kabèh lingkungan sampeyan
Fitur sing ora didhukung yen EKM diaktifaké
Ing rilis awal iki, fitur ing ngisor iki ora kasedhiya yen EKM diaktifaké:
Aplikasi nganggo sinkronisasi
Fitur sing durung Generally Available (yaiku apa wae sing isih beta/alpha)
