OpenAI
Šis puslapis buvo išverstas mašininiu būdu. Peržiūrėti originalų straipsnį anglų kalba.

OpenAI / AWS EKM integravimo instrukcijos

Nuoseklios AWS parengimo ir EKM aktyvinimo instrukcijos

Atnaujinta: 11 days ago

Apžvalga

Įmonės raktų valdymas (EKM) leidžia OpenAI šifruoti duomenis naudojant jūsų valdomą pagrindinį raktą. Šiame dokumente parodyta, kaip nustatyti AWS paskyrą, kad OpenAI būtų suteikti riboti leidimai jūsų KMS.

AWS EKM integration flow between OpenAI EKM Service, your STS, your KMS, and your master KEK

Veiksmai

1. Sukurkite naują KMS raktą

  1. Eikite į KMS -> Kliento valdomi raktai, tada spustelėkite Sukurti raktą.

  2. Pasirinkite simetrinio šifravimo algoritmą.

  3. Sukūrę raktą, pasižymėkite jo ARN. Palaikomi formatai: arn:aws:kms:<region>:<account_number>:key/<uuid>, ...:key/mrk-* arba ...:alias/<alias_name>.

AWS KMS customer managed key details page with key ID and ARN for test-kms

2. Sukurkite pasirinktinę politiką ribotai prieigai prie KMS rakto

  1. Eikite į IAM -> Politikos, tada spustelėkite „Sukurti politiką“.

  2. Veiksme Nurodyti leidimus pasirinkite JSON ir įveskite toliau pateiktą informaciją, kad politikai suteiktumėte KMS prieigos veiksmus. Būtinai pakeiskite YOUR_KMS_ARN sukurto rakto ARN.

AWS IAM Create policy page with Specify permissions open and the JSON policy editor selected
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowEncryptDecrypt",
            "Effect": "Allow",
            "Action": [

                "kms:Decrypt",
                "kms:Encrypt"

            ],
            "Resource": <YOUR_KMS_ARN>
        }
    ]
}

3. Sukurkite IAM vaidmenį, kurį OpenAI galėtų prisiimti, ir priskirkite jį politikai su ribota prieiga prie jūsų KMS

OpenAI iš OpenAI priklausančios AWS paskyros iškvies AssumeRole. Šis veiksmas leidžia OpenAI AWS pagrindiniam subjektui prisiimti ribotą vaidmenį, skirtą prieigai prie jūsų KMS.

  1. Eikite į IAM -> Vaidmenys, tada spustelėkite Sukurti vaidmenį.

  2. Veiksme Pasirinkti patikimą subjektą pasirinkite Pasirinktinė pasitikėjimo politika.

AWS IAM Select trusted entity screen with Custom trust policy selected

Tada Pasirinktinėje pasitikėjimo politikoje įveskite toliau pateiktą informaciją, kad suteiktumėte prieigą OpenAI AWS pagrindiniam subjektui.

  • Pagrindinis subjektas yra OpenAI AWS pagrindinis subjektas: arn:aws:iam::790389265272:role/EnterpriseKeyManagement.

  • Nurodykite, kurį ExternalId OpenAI turėtų perduoti vykdant AssumeRole procesą.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::790389265272:role/EnterpriseKeyManagement"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "sts:ExternalId": [
                         <YOUR_OPENAI_ORGANIZATION_ID>,
                     ]
                }
            }
        }
    ]
}

Tada veiksme Pridėti leidimus ieškokite ankstesniame veiksme sukurtos IAM politikos pavadinimo. Spustelėkite žymimąjį langelį šalia politikos pavadinimo, tada spustelėkite Toliau.

AWS IAM Add permissions page filtered to customer managed KMS policies with test-allow-kms-access selected

Galiausiai skiltyje Pavadinti, peržiūrėti ir sukurti pasirinkite bet kokį vaidmens pavadinimą.

4. Taikykite visus papildomus apribojimus pagal savo saugos praktiką

Aukščiau pateikta minimali būtina informacija, kurios OpenAI reikia EKM nustatyti. Galite taikyti papildomas raktų politikas arba apribojimus pagal savo vidinę saugos praktiką, jei OpenAI gali iškviesti šifravimo ir iššifravimo operacijas jūsų KMS. Kai iškviesite toliau aprašytą rakto registracijos prieigos tašką su OpenAI, patikrinsime jūsų sąranką.

Atlikę pirmiau nurodytus veiksmus

ChatGPT Enterprise

Susisiekite su savo OpenAI kontaktiniu asmeniu ir pasidalykite šia informacija:

  • "role_arn": "arn:aws:iam::<YOUR_AWS_ACCOUNT_NUMBER>:role/<YOUR_ROLE>"

    • Vaidmens ARN, kurį OpenAI prisiims jūsų debesyje.

  • "kms_arn": "arn:aws:kms:<REGION>:<YOUR_AWS_ACCOUNT_NUMBER>:key/<UUID>"

    • Jūsų valdomo pagrindinio rakto raktų valdymo sistemos ARN.

Įjungsime EKM jūsų ChatGPT organizacijai / darbo erdvei.

API

Užregistruokite savo išorinį raktą OpenAI

Vadovaukitės šios API nuorodos instrukcijomis: Išoriniai raktai valdymo API.

  1. Pirmiausia užregistruokite savo išorinį raktą OpenAI organizacijos lygmeniu; taip bus sugeneruotas išorinio rakto ID.

  2. Šiame veiksme patikrinsime, ar jūsų įvestis galiojanti ir ar galime autentifikuotis jūsų KMS.

  3. Tai dar nepridės EKM prie jūsų OpenAI projekto.

curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \

"https://api.openai.com/v1/organization/external_keys" \
-d '{
  "type": "aws",
  "name": "AWS EKM Config",
  "role_arn": "arn:aws:iam::<YOUR_AWS_ACCOUNT_NUMBER>:role/<YOUR_ROLE>",
  "kms_arn": "arn:aws:kms:<REGION>:<YOUR_AWS_ACCOUNT_NUMBER>:key/<UUID>",
  "external_id": <your org id or project id>
}'

Tada sukurkite OpenAI projektą, susietą su išoriniu raktu. Po to jūsų projekte bus suaktyvintas EKM. Šio API iškvietimo atsakymo tekstas pateiks projekto ID (proj_xxx).

curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/projects" \
-d '{
   "name": "Some Project",

   "external_key_id": "extkey_xxxx"
}'

Ar šis straipsnis buvo naudingas?