OpenAI
Kaca iki diterjemahake nganggo mesin. Deleng artikel asli basa Inggris.

Pandhuan Integrasi EKM OpenAI / Azure

Pandhuan langkah demi langkah kanggo nyiyapake Azure lan ngaktifake EKM

Pembaruan: 15 days ago

Ringkesan

Enterprise Key Management (EKM) ngidini OpenAI ngenkripsi data nganggo kunci master sing panjenengan kontrol. Supaya OpenAI bisa nelpon operasi enkripsi/dekripsi ing Key Vault panjenengan, kita kudu diwènèhi akses. Dokumen iki nuduhaké cara nyiyapaké akun Azure panjenengan supaya OpenAI bisa nganggo peran kanthi idin Key Vault.

Azure EKM flow where OpenAI EKM uses Microsoft Entra ID to access your Key Vault and master KEK

Langkah-langkah

1. Gawe prinsipal layanan kanggo OpenAI ing akun panjenengan

  1. Entuk token akses

az account get-access-token --resource https://graph.microsoft.com
--tenant YOUR_TENANT_ID
  1. Gawe prinsipal layanan - appId ing panyuwunan ing ngisor iki yaiku id klien aplikasi OpenAI. Iki bakal nggawe prinsipal kanthi jeneng tampilan “EKM - OpenAI Azure” - elinga iki kanggo langkah sabanjure.

Instruksi Integrasi OpenAI / Azure EKM - Gawe prinsipal layanan

curl -X POST https://graph.microsoft.com/v1.0/servicePrincipals \
-H "Authorization: Bearer $TOKEN_FROM_ABOVE" \
-H "Content-Type: application/json" \
–d '{"appId": "20a14814-5ab7-4612-a671-1382b412bf93"}'

2. Gawe peran kustom kanggo akses KMS winates

  1. Menyang Langganan -> Kontrol Akses (IAM)

  2. Ing dropdown + Tambah, pilih Tambah peran kustom

  3. Menyang tab JSON, klik Owahi, lan tambahaké iki:

    1. Jeneng peran apa wae - elingana jeneng sing panjenengan pilih

    2. Idin ing ngisor iki ing dataActions:

      1. Microsoft.KeyVault/vaults/keys/encrypt/action

      2. Microsoft.KeyVault/vaults/keys/decrypt/action

      3. Microsoft.KeyVault/vaults/keys/read

OpenAI / Azure EKM Integration Instructions Custom Role

3. Gawe Key Vault + Kunci

Yèn durung duwe, gawé Key Vault anyar ing langganan sing padha panggonan panjenengan lagi wae nggawe peran kustom.

Ing Key Vault kuwi, gawe Kunci anyar:

  1. Menyang Key Vault -> Objek -> Kunci, banjur klik Generate/Import

  2. Ing Options pilih Generate

Azure Key Vault Keys page with Generate/Import highlighted to add a key
  1. Pilih RSA kanggo algoritma enkripsi.

  2. Panjenengan bisa milih ukuran kunci RSA apa wae

  3. Wènèhana jeneng kunci nganggo format iki: <org-xxx>--<any_name> ing ngendi org-xxx yaiku ID organisasi OpenAI panjenengan sing bisa ditemokake ing https://platform.openai.com/settings/organization/general

Azure Key Vault key generation form with RSA selected and key name org-abcdefg--test-keyvault-key

Yèn panjenengan ora bisa ndeleng utawa nggawe kunci, pesthekaké panjenengan nduwé peran Administrator Key Vault. Iki dibutuhaké sanajan panjenengan nduwé peran Owner. Kanggo diwènèhi peran kasebut:

  1. Menyang Key Vault -> Kontrol Akses (IAM)

  2. Klik Tambah -> Tambah penetapan peran

Azure Key Vault Access control (IAM) page with Add menu open to Add role assignment

4. Gawe penetapan peran kanggo prinsipal layanan OpenAI + KMS kustom anyar + kunci anyar

  1. Menyang Key Vault -> Objek -> Kunci banjur klik baris kanggo kunci sing wis digawe

  2. Menyang Kontrol akses (IAM) kanggo kunci sing lagi wae panjenengan klik (dudu key vault panjenengan).

  3. Ing dropdown + Tambah, pilih Tambah penetapan peran

Azure Key Vault Access control (IAM) page with Add menu open to Add role assignment
  1. Ing tab Peran, pilih jeneng peran kustom sing lagi wae panjenengan gawe.

Azure role list filtered for openai- with the openai-azure-kms-role entry
  1. Ing tab Anggota:

    1. Klik “+ Pilih anggota”

    2. Ketik “ekm -” ing bilah telusur, banjur prinsipal layanan OpenAI sing panjenengan gawe ing Langkah 1 kuduné bakal dimuat

Azure role assignment Members step with EKM - OpenAI Azure Application selected as a member

5. Terapaké watesan tambahan apa wae miturut praktik keamanan panjenengan dhéwé

Ing ndhuwur yaiku informasi minimal sing dibutuhaké OpenAI kanggo nyiyapaké EKM. Panjenengan bebas nerapaké kabijakan kunci utawa watesan tambahan miturut praktik keamanan internal panjenengan dhéwé, asal OpenAI bisa nelpon operasi enkripsi lan dekripsi ing KMS panjenengan. Nalika panjenengan nelpon titik pungkasan registrasi kunci karo OpenAI sing diterangaké ing ngisor iki, kita bakal mriksa persiyapan panjenengan.

Sawisé ngrampungaké langkah-langkah ing ndhuwur

ChatGPT Enterprise

Mangga hubungi kontak OpenAI panjenengan lan wènèhana informasi ing ngisor iki:

  • "tenant_id": "<YOUR_AZURE_TENANT_UUID>"

  • "vault_uri": "https://<YOUR_KEYVAULT_NAME>.vault.azure.net/"

  • "key_name": "<YOUR_KEY_NAME>"

  • Jeneng kunci master Azure Key Vault sing panjenengan kelola

  • Jeneng kunci kudu nganggo wujud <org-xxx>--<any_name> ing ngendi org-xxx yaiku ID organisasi OpenAI panjenengan sing bisa ditemokake ing https://platform.openai.com/settings/organization/general

Kita bakal ngaktifaké EKM kanggo organisasi/papan kerja ChatGPT panjenengan.

API

Dhaptaraké kunci eksternal panjenengan karo OpenAI

Tindakake instruksi ing referensi API iki Kunci Eksternal ing Management API

  • Pisanan, dhaptaraké kunci eksternal panjenengan ing tingkat organisasi OpenAI, sing bakal ngasilaké id kunci eksternal kanthi wujud extkey_xxx

  • Ing langkah iki, kita bakal mriksa manawa input panjenengan valid lan kita bisa autentikasi menyang KMS panjenengan.

  • Iki durung bakal nambah EKM menyang proyek OpenAI panjenengan.

# This generates an external key ID of the form extkey_xxx
curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/external_keys" \
-d '{
"type": "azure",
"name": "<ANY_FRIENDLY_NAME>",
"tenant_id": "<YOUR_AZURE_TENANT_UUID>",
"vault_uri": "https://<YOUR_KEYVAULT_NAME>.vault.azure.net/",
"key_name": "<YOUR_KEY_NAME>"
}'
  • Banjur, gawe proyek OpenAI sing kagandhèng karo kunci eksternal. Sawisé iki, EKM diaktifaké ing proyek panjenengan.

  • Isi respons saka panggilan API iki bakal menehi ID proyek (proj_xxx) marang panjenengan

curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/projects" \
-d '{
   "name": "Some Project",
   "external_key_id": "extkey_xxxx"
}'

Apa artikel iki migunani kanggo sampeyan?