OpenAI
Šis puslapis buvo išverstas mašininiu būdu. Peržiūrėti originalų straipsnį anglų kalba.

OpenAI Enterprise Key Management (EKM) apžvalga

Sužinokite, kaip veikia EKM, kokie teikėjai palaikomi ir nuo ko pradėti

Atnaujinta: 11 days ago

Apžvalga

Enterprise Key Management (EKM) leidžia šifruoti jūsų klientų turinį OpenAI naudojant raktus, valdomus jūsų pačių išorinėje raktų valdymo sistemoje (KMS); tai prieinama tiek ChatGPT Enterprise, tiek API.

OpenAI palaiko Bring Your Own Key (BYOK) šifravimą su išorinėmis paskyromis AWS KMS, Google Cloud (GCP) ir Azure Key Vault.

Šiuo metu EKM diegimas ribojamas Enterprise ir Edu darbo erdvėmis, kurios turi paskirtą OpenAI paskyros atstovą.

Kaip veikia OpenAI EKM šifravimas

Aukšto lygio eiga

  1. Jūsų debesijos paslaugų teikėjui sugeneruojame Data Encryption Key (DEK).

  2. Jūsų debesijos KMS valdo pagrindinį Key Encryption Key (KEK), saugomą jūsų debesijoje arba išoriškai. Įgyvendinimas priklauso nuo jūsų.

  3. Prašome jūsų debesijos užšifruoti DEK, kad gautume užšifruotą DEK (eDEK). Jei jūsų KEK saugomas išoriškai, jūsų debesija tiesiog atlieka papildomą perdavimą į jūsų išorinę saugyklą; šis etapas OpenAI yra nepermatomas.

Šifravimas

Šifruojant jūsų duomenys užšifruojami naudojant DEK, o eDEK išsaugomas kaip failo metaduomenys.

EKM encryption flow where OpenAI requests a DEK from your KMS, encrypts data, and stores encrypted data with eDEK

Iššifravimas

Iššifruojant prašome, kad jūsų debesijos KMS iššifruotų eDEK į DEK, o tada duomenis iššifruojame naudodami DEK.

EKM decryption flow where OpenAI requests a DEK from your KMS to decrypt encrypted data for download

Pagrindinės sąvokos

  • Data Encryption Key (DEK) – raktas, kuriuo šifruojami jūsų duomenys.

  • Encrypted Data Encryption Key (eDEK) – užšifruotas DEK, sugeneruotas jūsų KMS

  • Key Encryption Key (KEK) – jūsų valdomas pagrindinis raktas, kuriuo DEK paverčiamas į eDEK ir eDEK iššifruojamas į DEK. Šis raktas visada lieka už OpenAI sistemų ribų.

Aukšto lygio diegimo reikalavimai

Jūsų debesijos paslaugų teikėjo aplinkoje

  1. Sukurkite naują raktą savo debesijos KMS sistemoje (Azure, AWS arba GCP)

  2. Sukurkite pasirinktinę, ribotą strategiją su Encrypt/Decrypt leidimais KMS sistemai

  3. Sukurkite OpenAI skirtą pasitikėjimo strategiją (AWS), darbo krūvio tapatybę (GCP) arba paslaugos pagrindinį subjektą (Azure)

  4. Priskirkite OpenAI vaidmenį su ribota strategija prieigai prie jūsų KMS

OpenAI platformose

ChatGPT Enterprise

Testavimo tikslais sukurkite smėliadėžės ChatGPT darbo erdvę.

API

Savo OpenAI valdymo skydelyje sukurkite naują projektą, kuriam bus taikomas šifravimas.

Tiekėjui būdingos funkcijos

AWS atveju OpenAI:

  • Iškvies AssumeRole su ExternalID

GCP atveju OpenAI:

  • Iš OpenAI GCP paskyros iškvies jūsų STS prieigos tašką

  • Naudos GCP prieigos žetoną, kad jūsų KMS sistemoje iškviestų encrypt/decrypt.

Azure atveju OpenAI:

  • Paprašys prieigos žetono jūsų Azure nuomotojo saugyklai

  • Naudos tą prieigos žetoną, kad jūsų Key Vault sistemoje iškviestų encrypt/decrypt.

Informacija, kurios jums reikia iš OpenAI

Autentifikavimas

Turėsite atpažinti OpenAI federuotosios tapatybės žetonus, skirtus AWS ir GCP. Azure atveju turėsite atpažinti OpenAI programos ID jos programos registracijai.

Autentifikavimo parametrų santrauka

OpenAI AWS principalasarn:aws:iam::790389265272:role/EnterpriseKeyManagement
OpenAI GCP paslaugos paskyros ID105900137572174660365
OpenAI Azure programos ID20a14814-5ab7-4612-a671-1382b412bf93

Įgyvendinimo metu reikalinga informacija pagal jūsų debesijos paslaugų teikėją

  • Naudojant AWS, turite nustatyti pasitikėjimo politiką, kuri atpažįsta:

    • OpenAI principalą (paskyros numerį + vaidmenį)

    • ExternalID, kuris yra jūsų OpenAI projekto ID

  • Naudojant GCP, turite nustatyti darbo krūvio tapatybę, kuri atpažįsta:

    • OpenAI paslaugos paskyros ID

    • Auditoriją, kuri yra jūsų OpenAI projekto ID

  • Naudojant Azure, turite sukurti paslaugos principalą savo Azure nuomotojuje, skirtą OpenAI programos registracijai

Autorizavimas

Turėsite sukurti strategiją, kuri leistų OpenAI tapatybei gauti ribotą prieigą prie jūsų KMS.

AWSGCPAzure
kms:Decryptkms:Encryptcloudkms.cryptoKeyVersions.useToDecryptcloudkms.cryptoKeyVersions.useToEncryptMicrosoft.KeyVault/vaults/keys/encrypt/actionMicrosoft.KeyVault/vaults/keys/decrypt/action

Kita

Azure aplinkoje, laukui Key type (rakto šifravimo algoritmas) pasirinkite RSA, o ne EC.

Informacija, kurios OpenAI reikia iš jūsų

Vadovaukitės šiame dokumente pateiktomis instrukcijomis, kad užregistruotumėte savo KMS sistemoje OpenAI. Toliau pateikiama parametrų, kuriuos turėsite nurodyti, santrauka.

  1. Susiję su autentifikavimu

    1. AWS

      1. IAM vaidmens ARN – vaidmuo, kurį OpenAI perims (pavyzdys: arn:aws:iam::123456789:role/role-name)

      2. ExternalID – jūsų OpenAI organizacijos ID

    2. GCP

      1. Darbo krūvio tapatybės projekto numeris (pavyzdys: 123456789)

      2. Darbo krūvio tapatybės telkinio ID

      3. Darbo krūvio tapatybės teikėjo ID

      4. Leidžiama auditorija: jūsų OpenAI organizacijos ID

    3. Azure

      1. Nuomotojo ID

AWSGCPAzure
Susiję su autentifikavimu Nuomotojo ID
Susiję su KMSKMS ARN – (pavyzdys: arn:aws:kms:REGION:ACCOUNT_NUMBER:key:KEY_UUID)KMS projekto ID (pavyzdys: adjective-noun-12345)KMS raktų žiedo pavadinimasKMS rakto pavadinimasKMS rakto vieta (pavyzdys: us-east1)Saugyklos URI (pavyzdys: https://your-vault-name.vault.azure.net/)Rakto pavadinimas

Užregistravę savo KMS sistemoje OpenAI, toliau vadovaukitės dokumente pateiktomis instrukcijomis, kad suaktyvintumėte EKM konfigūraciją API projekte. Testavimo tikslais sukurkite naują OpenAI API projektą.

Teikėjams skirti įgyvendinimo vadovai

Nuoseklias gaires rasite atitinkamose nuorodose toliau. Atminkite, kad jose daugiausia dėmesio skiriama integravimo su OpenAI reikalavimams ir jos nėra skirtos būti išsamiu visos jūsų aplinkos vadovu

Nepalaikomos funkcijos, kai EKM įjungtas

Šiame pradiniame leidime šios funkcijos nepasiekiamos, jei EKM yra įjungtas:

  • Programėlės su sinchronizavimu

  • Funkcijos, kurios nėra visuotinai prieinamos (t. y. viskas, kas vis dar beta / alfa stadijoje)

Ar šis straipsnis buvo naudingas?