설정 점검부터 키 폐기 이후 정리까지 전 과정을 아우르는 KMS 키 수명 주기 가이드

사전 요구 사항

다음 가이드 중 하나를 따라 외부 KMS 키를 이미 OpenAI에 등록한 상태를 전제로 합니다.

주요 용어

키 교체와 키 폐기는 서로 다른 목적을 가집니다. 사용 사례에 맞는 적절한 작업을 선택해야 합니다.

키 교체: 새로운 데이터를 암호화하기 위한 새로운 암호화 키(암호화 재료)를 생성하고, 이전 키로 암호화된 기존 데이터의 복호화는 계속 허용합니다.
- 키 교체는 OpenAI 데이터에 대한 액세스에 영향을 주지 않습니다.
키 폐기: 이전 키로 암호화된 모든 데이터에 대한 액세스를 차단합니다.
- 키 폐기는 OpenAI 데이터에 대한 액세스를 차단합니다.

클라우드 제공업체에서 로그를 확인할 수 있습니다.

자동 키 교체를 설정할 수 있습니다.

테스트: 이 변경은 OpenAI 데이터에 대한 액세스에 영향을 주지 않습니다.

OpenAI의 키 액세스를 폐기하는 방법에는 여러 가지가 있으며, 인증 흐름에서 발생하는 모든 중단이 여기에 해당합니다.

OpenAI 역할에 대한 KMS 키 액세스를 제거하는 경우
KMS 키에서 암호화/복호화 권한을 제거하는 경우
AWS 키 별칭을 사용하는 경우(권장되지 않음), 기본 KMS ARN을 변경하는 경우 이 작업은 종종 키 교체와 혼동되는 경우가 있지만 실제로는 키 폐기에 해당하므로, 의도가 확실한 경우가 아니라면 권장되지 않습니다.
ChatGPT Enterprise 워크스페이스에서 사용하는 KMS ARN 업데이트를 OpenAI에 요청하는 경우

키 폐기 검증 방법:

OpenAI 측의 모든 캐시가 만료될 때까지 1시간 기다린 후 폐기 상태를 테스트합니다.
- ChatGPT Enterprise를 사용하는 경우 이전 대화를 읽을 수 없으며, 대화 검색에서도 이전 대화 결과가 표시되지 않고, 기존 사용자 지정 GPT에도 액세스할 수 없습니다.
- API를 사용하는 경우 이전 배치 파일을 다운로드할 수 없으며, 이전에 파인튜닝한 모델을 사용할 수 없고, Responses API로 생성된 이전 응답을 참조할 수 없습니다.
API를 사용하는 경우 키 폐기가 OpenAI에서 처리되었으며 1시간 이내에 적용될 예정인지 즉시 테스트할 수 있습니다.
- 관리자 API 키를 생성합니다(일반 API 키가 아님).
- curl -X GET -H "Authorization: Bearer $ADMIN_API_KEY" https://api.openai.com/v1/organization/external_keys를 호출하여 워크스페이스 또는 프로젝트와 연결된 OpenAI 외부 키 ID(extkey_xxx)를 확인합니다.
- 이제 curl -X POST -H "Authorization: Bearer $ADMIN_API_KEY" "https://api.openai.com/v1/organization/external_keys/extkey_xxx/validate"를 호출합니다.

API를 사용하는 경우

데이터에 더 이상 액세스할 수 없게 된 API 프로젝트를 아카이브합니다. 그런 다음 새로운 KMS 키를 설정하고, 해당 키와 연결된 새로운 API 프로젝트를 생성합니다.
키 폐기를 수행한 기존 API 프로젝트에 연결된 KMS 키는 교체할 수 없으므로 기존 프로젝트를 아카이브해야 합니다. 키 폐기가 수행된 프로젝트는 계속 사용해서는 안 됩니다. API를 통해 새로운 프로젝트를 쉽게 생성할 수 있으므로 해당 기능을 활용하세요.

ChatGPT Enterprise를 사용하는 경우

키 폐기를 실행한 후 OpenAI 지원팀에 문의해 주세요.
함께 새 워크스페이스를 구축해 드리겠습니다. 기존 워크스페이스를 새로운 KMS 키로 업데이트하여 재사용하지 않습니다. 이는 키 폐기가 정상적으로 작동할 경우, 폐기된 키로 암호화된 기존 데이터에 접근할 수 없게 되기 때문입니다.