Apžvalga
Enterprise Key Management (EKM) leidžia šifruoti jūsų klientų turinį OpenAI naudojant raktus, valdomus jūsų pačių išorinėje raktų valdymo sistemoje (KMS); tai prieinama tiek ChatGPT Enterprise, tiek API.
OpenAI palaiko Bring Your Own Key (BYOK) šifravimą su išorinėmis paskyromis AWS KMS, Google Cloud (GCP) ir Azure Key Vault.
Šiuo metu EKM diegimas ribojamas Enterprise ir Edu darbo erdvėmis, kurios turi paskirtą OpenAI paskyros atstovą.
Kaip veikia OpenAI EKM šifravimas
Aukšto lygio eiga
Jūsų debesijos paslaugų teikėjui sugeneruojame Data Encryption Key (DEK).
Jūsų debesijos KMS valdo pagrindinį Key Encryption Key (KEK), saugomą jūsų debesijoje arba išoriškai. Įgyvendinimas priklauso nuo jūsų.
Prašome jūsų debesijos užšifruoti DEK, kad gautume užšifruotą DEK (eDEK). Jei jūsų KEK saugomas išoriškai, jūsų debesija tiesiog atlieka papildomą perdavimą į jūsų išorinę saugyklą; šis etapas OpenAI yra nepermatomas.
Šifravimas
Šifruojant jūsų duomenys užšifruojami naudojant DEK, o eDEK išsaugomas kaip failo metaduomenys.

Iššifravimas
Iššifruojant prašome, kad jūsų debesijos KMS iššifruotų eDEK į DEK, o tada duomenis iššifruojame naudodami DEK.

Pagrindinės sąvokos
Data Encryption Key (DEK) – raktas, kuriuo šifruojami jūsų duomenys.
Encrypted Data Encryption Key (eDEK) – užšifruotas DEK, sugeneruotas jūsų KMS
Key Encryption Key (KEK) – jūsų valdomas pagrindinis raktas, kuriuo DEK paverčiamas į eDEK ir eDEK iššifruojamas į DEK. Šis raktas visada lieka už OpenAI sistemų ribų.
Aukšto lygio diegimo reikalavimai
Jūsų debesijos paslaugų teikėjo aplinkoje
Sukurkite naują raktą savo debesijos KMS sistemoje (Azure, AWS arba GCP)
Sukurkite pasirinktinę, ribotą strategiją su Encrypt/Decrypt leidimais KMS sistemai
Sukurkite OpenAI skirtą pasitikėjimo strategiją (AWS), darbo krūvio tapatybę (GCP) arba paslaugos pagrindinį subjektą (Azure)
Priskirkite OpenAI vaidmenį su ribota strategija prieigai prie jūsų KMS
OpenAI platformose
ChatGPT Enterprise
Testavimo tikslais sukurkite smėliadėžės ChatGPT darbo erdvę.
API
Savo OpenAI valdymo skydelyje sukurkite naują projektą, kuriam bus taikomas šifravimas.
Tiekėjui būdingos funkcijos
AWS atveju OpenAI:
Iškvies AssumeRole su ExternalID
GCP atveju OpenAI:
Iš OpenAI GCP paskyros iškvies jūsų STS prieigos tašką
Naudos GCP prieigos žetoną, kad jūsų KMS sistemoje iškviestų encrypt/decrypt.
Azure atveju OpenAI:
Paprašys prieigos žetono jūsų Azure nuomotojo saugyklai
Naudos tą prieigos žetoną, kad jūsų Key Vault sistemoje iškviestų encrypt/decrypt.
Informacija, kurios jums reikia iš OpenAI
Autentifikavimas
Turėsite atpažinti OpenAI federuotosios tapatybės žetonus, skirtus AWS ir GCP. Azure atveju turėsite atpažinti OpenAI programos ID jos programos registracijai.
Autentifikavimo parametrų santrauka
| OpenAI AWS principalas | arn:aws:iam::790389265272:role/EnterpriseKeyManagement |
| OpenAI GCP paslaugos paskyros ID | 105900137572174660365 |
| OpenAI Azure programos ID | 20a14814-5ab7-4612-a671-1382b412bf93 |
Įgyvendinimo metu reikalinga informacija pagal jūsų debesijos paslaugų teikėją
Naudojant AWS, turite nustatyti pasitikėjimo politiką, kuri atpažįsta:
OpenAI principalą (paskyros numerį + vaidmenį)
ExternalID, kuris yra jūsų OpenAI projekto ID
Naudojant GCP, turite nustatyti darbo krūvio tapatybę, kuri atpažįsta:
OpenAI paslaugos paskyros ID
Auditoriją, kuri yra jūsų OpenAI projekto ID
Naudojant Azure, turite sukurti paslaugos principalą savo Azure nuomotojuje, skirtą OpenAI programos registracijai
Sukurkite jį OpenAI programos kliento ID: 20a14814-5ab7-4612-a671-1382b412bf9
Tai galite padaryti siųsdami POST užklausą į https://graph.microsoft.com/v1.0/servicePrincipals prieigos tašką.
Autorizavimas
Turėsite sukurti strategiją, kuri leistų OpenAI tapatybei gauti ribotą prieigą prie jūsų KMS.
| AWS | GCP | Azure |
| kms:Decryptkms:Encrypt | cloudkms.cryptoKeyVersions.useToDecryptcloudkms.cryptoKeyVersions.useToEncrypt | Microsoft.KeyVault/vaults/keys/encrypt/actionMicrosoft.KeyVault/vaults/keys/decrypt/action |
Kita
Azure aplinkoje, laukui Key type (rakto šifravimo algoritmas) pasirinkite RSA, o ne EC.
Informacija, kurios OpenAI reikia iš jūsų
Vadovaukitės šiame dokumente pateiktomis instrukcijomis, kad užregistruotumėte savo KMS sistemoje OpenAI. Toliau pateikiama parametrų, kuriuos turėsite nurodyti, santrauka.
Susiję su autentifikavimu
AWS
IAM vaidmens ARN – vaidmuo, kurį OpenAI perims (pavyzdys: arn:aws:iam::123456789:role/role-name)
ExternalID – jūsų OpenAI organizacijos ID
GCP
Darbo krūvio tapatybės projekto numeris (pavyzdys: 123456789)
Darbo krūvio tapatybės telkinio ID
Darbo krūvio tapatybės teikėjo ID
Leidžiama auditorija: jūsų OpenAI organizacijos ID
Azure
Nuomotojo ID
| AWS | GCP | Azure | |
| Susiję su autentifikavimu | Nuomotojo ID | ||
| Susiję su KMS | KMS ARN – (pavyzdys: arn:aws:kms:REGION:ACCOUNT_NUMBER:key:KEY_UUID) | KMS projekto ID (pavyzdys: adjective-noun-12345)KMS raktų žiedo pavadinimasKMS rakto pavadinimasKMS rakto vieta (pavyzdys: us-east1) | Saugyklos URI (pavyzdys: https://your-vault-name.vault.azure.net/)Rakto pavadinimas |
Užregistravę savo KMS sistemoje OpenAI, toliau vadovaukitės dokumente pateiktomis instrukcijomis, kad suaktyvintumėte EKM konfigūraciją API projekte. Testavimo tikslais sukurkite naują OpenAI API projektą.
Teikėjams skirti įgyvendinimo vadovai
Nuoseklias gaires rasite atitinkamose nuorodose toliau. Atminkite, kad jose daugiausia dėmesio skiriama integravimo su OpenAI reikalavimams ir jos nėra skirtos būti išsamiu visos jūsų aplinkos vadovu
Nepalaikomos funkcijos, kai EKM įjungtas
Šiame pradiniame leidime šios funkcijos nepasiekiamos, jei EKM yra įjungtas:
Programėlės su sinchronizavimu
Funkcijos, kurios nėra visuotinai prieinamos (t. y. viskas, kas vis dar beta / alfa stadijoje)
