OpenAI
Kaca iki diterjemahake nganggo mesin. Deleng artikel asli basa Inggris.

Pandhuan Integrasi OpenAI / GCP EKM

Pandhuan langkah demi langkah kanggo nyiyapake GCP lan ngaktifake EKM

Pembaruan: 15 days ago

Ringkesan

Enterprise Key Management (EKM) ngidini OpenAI ngenkripsi data nganggo kunci master sing sampeyan kendhalèkaké. Dokumen iki nuduhaké carane nyiyapaké akun GCP sampeyan supaya bisa menehi idin winates marang OpenAI ing KMS sampeyan.

Diagram of OpenAI GCP EKM integration flow using STS token exchange and KMS encrypt or decrypt requests

Langkah-langkah

1. Gawe identitas federasi kanggo OpenAI

OpenAI bakal nerbitaké token identitas saka akun GCP duwèké OpenAI sing wujudé kira-kira kaya iki.

  • azp lan sub iku ID akun layanan OpenAI ing GCP

  • aud iku ID organisasi OpenAI sampeyan. Sampeyan uga bisa milih audiens liya kayata ID proyek OpenAI sampeyan - delengen pandhuan ing ngisor iki

{
  "aud": "org-xxxx",
  "azp": "105900137572174660365",
  "exp": 1747876928,
  "iat": 1747873328,
  "iss": "https://accounts.google.com",
  "sub": "105900137572174660365"
}

Langkah iki ngenali klaim sing digawe déning token identitas kasebut lan ngidini GCP STS sampeyan nerbitaké token akses nalika token identitas kasebut diwènèhaké.

  1. Pindhah menyang IAM & Admin -> Workload Identity Federation lan klik Create Pool

GCP IAM & Admin with Workload Identity Federation selected
  1. Ing langkah Create an identity pool, lebokna apa wae kanggo pool name.

  1. Ing langkah Add a provider to pool:

  1. Ing Select a provider, pilih OpenID Connect (OIDC)

  2. Lebokna apa wae kanggo provider name.

  3. Ing bagean Issuer (URL), lebokna https://accounts.google.com

  4. Ing bagean Audiences

  1. Pilih Allowed audiences

  2. Lebokna audiens sing kudu dituduhaké OpenAI nalika kita ngirim token marang sampeyan.

  1. Kanggo ChatGPT utawa API: Sampeyan bisa nglebokaké ID organisasi OpenAI API (org-xxx)

  2. Kanggo API: sampeyan bisa nglebokaké API project id tartamtu supaya luwih rinci.

GCP Workload Identity Provider edit page with Allowed audiences selected and Audience 1 entered
  1. Ing bagean Attribute mapping

  1. kanggo google.subject, lebokna assertion.sub

Google Cloud attribute mapping with Google 1 google.subject mapped to OIDC 1 assertion.sub
  1. Ing bagean Attribute conditions

  1. Saiki sampeyan kudu ndeleng workload identity pool lan workload identity provider sampeyan kacathet ing kaca https://console.cloud.google.com/iam-admin/workload-identity-pools

  1. Workload identity pool id

GCP Workload Identity Pools page highlighting the provider ID value needed for OpenAI EKM setup
  1. Workload identity provider ID

GCP Workload Identity Provider edit page with the provider ID field highlighted

2. Priksa manawa KMS wis diaktifaké

Pindhah menyang https://console.developers.google.com/apis/api/cloudkms.googleapis.com/overview kanggo ngaktifaké KMS. Sampeyan ora diwajibaké nggawe KMS ing proyek GCP sing padha karo papan sampeyan ngenali identitas federasi OpenAI; nanging, yen proyeke béda, produk KMS paling ora kudu diaktifaké ing loro proyek kasebut.

3. Gawe Kunci KMS anyar

  1. Pindhah menyang Security -> Data Protection > Key Management

  2. Ing tab Overview, klik Create key ring

  1. Pilih jeneng apa wae kanggo key ring sampeyan

  2. Kanggo Tujuan lan algoritma, pilih Symmetric encrypt/decrypt

GCP Key Management Overview page with the Create Key Ring button highlighted
  1. Sawisé sampeyan nggawe key ring, key ring kasebut kudu katon ing tab Key Rings. Klik key ring kasebut.

  2. Ing rincian key ring, klik Create Key

  1. Pilih jeneng apa wae kanggo kunci sampeyan

4. Gawe peran winates kanggo operasi enkripsi/dekripsi ing KMS

  1. Pindhah menyang IAM & Admin -> Roles -> Create role

  2. Lebokna apa wae kanggo judhul peran lan ID

  3. Klik Add Permissions, banjur tambahaké ing ngisor iki

  1. cloudkms.cryptoKeyVersions.useToDecrypt

  2. cloudkms.cryptoKeyVersions.useToEncrypt

5. Wènèhaké identitas federasi OpenAI menyang peran KMS winates kanggo operasi enkripsi/dekripsi

  1. Pindhah menyang Security -> Data Protection > Key Management

  2. Klik jeneng key ring sampeyan, banjur klik key name kanggo mlebu menyang kaca rincian kunci sampeyan.

  1. Klik tab Permissions, banjur klik tombol Grant Access

Google Cloud KMS key details page with Permissions tab open and Grant Access highlighted
  1. Wènèhaké identitas federasi OpenAI menyang peran kustom sing wis sampeyan gawe sadurungé

  1. Kanggo bagean Add principals, lebokna principal://iam.googleapis.com/projects/<YOUR_GCP_PROJECT_NUMBER>/locations/global/workloadIdentityPools/<YOUR_GCP_WORKLOAD_IDENTITY_POOL>/subject/105900137572174660365

  1. Ing bagean Assign roles, pilih peran kustom sing sampeyan gawe ing langkah sadurungé kanggo idin EKM winates

6. Terapaké watesan tambahan apa wae sing selaras karo praktik keamanan sampeyan dhéwé

Ing ndhuwur iku informasi minimal sing dibutuhaké OpenAI kanggo nyiyapaké EKM. Sampeyan bebas ngetrapaké kabijakan kunci utawa watesan tambahan sing selaras karo praktik keamanan internal sampeyan dhéwé, anggere OpenAI bisa nelpon operasi enkripsi lan dekripsi ing KMS sampeyan. Nalika sampeyan nelpon titik pungkasan pendaftaran kunci karo OpenAI sing diterangaké ing ngisor iki, kita bakal ngesahaké persiyapan sampeyan.

Sawisé ngrampungaké langkah-langkah ing ndhuwur

ChatGPT Enterprise

Mangga hubungi kontak OpenAI sampeyan lan bagèkaké ing ngisor iki:

  • "workload_identity_project_number": "123456789012",

  • "workload_identity_pool_id": "openai-azure",

  • "workload_identity_provider_id": "openai-ekm-service-role",

  • "kms_project_id": "adjective-noun-12345",

  • "kms_key_name": "openai-kms-key",

  • "kms_key_ring_name": "openai-kms-key-ring",

  • "kms_key_location": "us-east1"

  • Wilayah papan kunci master Key Management System sampeyan dumunung

Kita bakal ngaktifaké EKM kanggo organisasi/papan kerja ChatGPT sampeyan.

API

Daftaraké kunci eksternal sampeyan karo OpenAI

Tindakake pandhuan ing referensi API iki Kunci Eksternal ing Management API

  • Pisanan, daftaraké kunci eksternal sampeyan ing tingkat organisasi OpenAI, sing bakal ngasilaké id kunci eksternal.

  • Ing langkah iki, kita bakal ngesahaké persiyapan sampeyan ing GCP kanthi mriksa manawa kita bisa auth menyang KMS sampeyan.

  • Iki durung bakal nambah EKM menyang proyek OpenAI sampeyan.

curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/external_keys" \
-d '{
   "type": "gcp",
   "name": "GCP EKM Config",
   "workload_identity_project_number": "123456789012",
   "workload_identity_pool_id": "openai-azure",
   "workload_identity_provider_id": "openai-ekm-service-role",
   "audience": <ID org utawa ID project sampeyan>,
   "kms_project_id": "adjective-noun-12345",
   "kms_key_name": "openai-kms-key",
   "kms_key_ring_name": "openai-kms-key-ring",
   "kms_key_location": "us-east1"
}'

Banjur, gawe proyek OpenAI sing digandhengake karo kunci eksternal kasebut. Sawisé iki, EKM diaktifaké ing proyek sampeyan.

curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/projects" \
-d '{
   "name": "Some Project",

   "external_key_id": "extkey_xxxx"

}'

Apa artikel iki migunani kanggo sampeyan?