Ringkesan
Enterprise Key Management (EKM) ngidini OpenAI ngenkripsi data nganggo kunci master sing sampeyan kendhalèkaké. Dokumen iki nuduhaké carane nyiyapaké akun GCP sampeyan supaya bisa menehi idin winates marang OpenAI ing KMS sampeyan.

Langkah-langkah
1. Gawe identitas federasi kanggo OpenAI
OpenAI bakal nerbitaké token identitas saka akun GCP duwèké OpenAI sing wujudé kira-kira kaya iki.
azp lan sub iku ID akun layanan OpenAI ing GCP
aud iku ID organisasi OpenAI sampeyan. Sampeyan uga bisa milih audiens liya kayata ID proyek OpenAI sampeyan - delengen pandhuan ing ngisor iki
{
"aud": "org-xxxx",
"azp": "105900137572174660365",
"exp": 1747876928,
"iat": 1747873328,
"iss": "https://accounts.google.com",
"sub": "105900137572174660365"
}Langkah iki ngenali klaim sing digawe déning token identitas kasebut lan ngidini GCP STS sampeyan nerbitaké token akses nalika token identitas kasebut diwènèhaké.
Pindhah menyang IAM & Admin -> Workload Identity Federation lan klik Create Pool

Ing langkah Create an identity pool, lebokna apa wae kanggo pool name.
Ing langkah Add a provider to pool:
Ing Select a provider, pilih OpenID Connect (OIDC)
Lebokna apa wae kanggo provider name.
Ing bagean Issuer (URL), lebokna https://accounts.google.com
Ing bagean Audiences
Pilih Allowed audiences
Lebokna audiens sing kudu dituduhaké OpenAI nalika kita ngirim token marang sampeyan.
Kanggo ChatGPT utawa API: Sampeyan bisa nglebokaké ID organisasi OpenAI API (org-xxx)
Kanggo API: sampeyan bisa nglebokaké API project id tartamtu supaya luwih rinci.

Ing bagean Attribute mapping
kanggo google.subject, lebokna assertion.sub

Ing bagean Attribute conditions
Saiki sampeyan kudu ndeleng workload identity pool lan workload identity provider sampeyan kacathet ing kaca https://console.cloud.google.com/iam-admin/workload-identity-pools
Workload identity pool id

Workload identity provider ID

2. Priksa manawa KMS wis diaktifaké
Pindhah menyang https://console.developers.google.com/apis/api/cloudkms.googleapis.com/overview kanggo ngaktifaké KMS. Sampeyan ora diwajibaké nggawe KMS ing proyek GCP sing padha karo papan sampeyan ngenali identitas federasi OpenAI; nanging, yen proyeke béda, produk KMS paling ora kudu diaktifaké ing loro proyek kasebut.
3. Gawe Kunci KMS anyar
Pindhah menyang Security -> Data Protection > Key Management
Ing tab Overview, klik Create key ring
Pilih jeneng apa wae kanggo key ring sampeyan
Kanggo Tujuan lan algoritma, pilih Symmetric encrypt/decrypt

Sawisé sampeyan nggawe key ring, key ring kasebut kudu katon ing tab Key Rings. Klik key ring kasebut.
Ing rincian key ring, klik Create Key
Pilih jeneng apa wae kanggo kunci sampeyan
4. Gawe peran winates kanggo operasi enkripsi/dekripsi ing KMS
Pindhah menyang IAM & Admin -> Roles -> Create role
Lebokna apa wae kanggo judhul peran lan ID
Klik Add Permissions, banjur tambahaké ing ngisor iki
cloudkms.cryptoKeyVersions.useToDecrypt
cloudkms.cryptoKeyVersions.useToEncrypt
5. Wènèhaké identitas federasi OpenAI menyang peran KMS winates kanggo operasi enkripsi/dekripsi
Pindhah menyang Security -> Data Protection > Key Management
Klik jeneng key ring sampeyan, banjur klik key name kanggo mlebu menyang kaca rincian kunci sampeyan.
Klik tab Permissions, banjur klik tombol Grant Access

Wènèhaké identitas federasi OpenAI menyang peran kustom sing wis sampeyan gawe sadurungé
Kanggo bagean Add principals, lebokna principal://iam.googleapis.com/projects/<YOUR_GCP_PROJECT_NUMBER>/locations/global/workloadIdentityPools/<YOUR_GCP_WORKLOAD_IDENTITY_POOL>/subject/105900137572174660365
Ing bagean Assign roles, pilih peran kustom sing sampeyan gawe ing langkah sadurungé kanggo idin EKM winates
6. Terapaké watesan tambahan apa wae sing selaras karo praktik keamanan sampeyan dhéwé
Ing ndhuwur iku informasi minimal sing dibutuhaké OpenAI kanggo nyiyapaké EKM. Sampeyan bebas ngetrapaké kabijakan kunci utawa watesan tambahan sing selaras karo praktik keamanan internal sampeyan dhéwé, anggere OpenAI bisa nelpon operasi enkripsi lan dekripsi ing KMS sampeyan. Nalika sampeyan nelpon titik pungkasan pendaftaran kunci karo OpenAI sing diterangaké ing ngisor iki, kita bakal ngesahaké persiyapan sampeyan.
Sawisé ngrampungaké langkah-langkah ing ndhuwur
ChatGPT Enterprise
Mangga hubungi kontak OpenAI sampeyan lan bagèkaké ing ngisor iki:
"workload_identity_project_number": "123456789012",
"workload_identity_pool_id": "openai-azure",
"workload_identity_provider_id": "openai-ekm-service-role",
"kms_project_id": "adjective-noun-12345",
"kms_key_name": "openai-kms-key",
"kms_key_ring_name": "openai-kms-key-ring",
"kms_key_location": "us-east1"
Wilayah papan kunci master Key Management System sampeyan dumunung
Kita bakal ngaktifaké EKM kanggo organisasi/papan kerja ChatGPT sampeyan.
API
Daftaraké kunci eksternal sampeyan karo OpenAI
Tindakake pandhuan ing referensi API iki Kunci Eksternal ing Management API
Pisanan, daftaraké kunci eksternal sampeyan ing tingkat organisasi OpenAI, sing bakal ngasilaké id kunci eksternal.
Ing langkah iki, kita bakal ngesahaké persiyapan sampeyan ing GCP kanthi mriksa manawa kita bisa auth menyang KMS sampeyan.
Iki durung bakal nambah EKM menyang proyek OpenAI sampeyan.
curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/external_keys" \
-d '{
"type": "gcp",
"name": "GCP EKM Config",
"workload_identity_project_number": "123456789012",
"workload_identity_pool_id": "openai-azure",
"workload_identity_provider_id": "openai-ekm-service-role",
"audience": <ID org utawa ID project sampeyan>,
"kms_project_id": "adjective-noun-12345",
"kms_key_name": "openai-kms-key",
"kms_key_ring_name": "openai-kms-key-ring",
"kms_key_location": "us-east1"
}'Banjur, gawe proyek OpenAI sing digandhengake karo kunci eksternal kasebut. Sawisé iki, EKM diaktifaké ing proyek sampeyan.
curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/projects" \
-d '{
"name": "Some Project",
"external_key_id": "extkey_xxxx"
}'