Apžvalga
Įmonės raktų valdymas (EKM) leidžia OpenAI šifruoti duomenis naudojant jūsų valdomą pagrindinį raktą. Šiame dokumente parodyta, kaip nustatyti AWS paskyrą, kad OpenAI būtų suteikti riboti leidimai jūsų KMS.

Veiksmai
1. Sukurkite naują KMS raktą
Eikite į KMS -> Kliento valdomi raktai, tada spustelėkite Sukurti raktą.
Pasirinkite simetrinio šifravimo algoritmą.
Sukūrę raktą, pasižymėkite jo ARN. Palaikomi formatai:
arn:aws:kms:<region>:<account_number>:key/<uuid>,...:key/mrk-*arba...:alias/<alias_name>.

2. Sukurkite pasirinktinę politiką ribotai prieigai prie KMS rakto
Eikite į IAM -> Politikos, tada spustelėkite „Sukurti politiką“.
Veiksme Nurodyti leidimus pasirinkite JSON ir įveskite toliau pateiktą informaciją, kad politikai suteiktumėte KMS prieigos veiksmus. Būtinai pakeiskite YOUR_KMS_ARN sukurto rakto ARN.

{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowEncryptDecrypt",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:Encrypt"
],
"Resource": <YOUR_KMS_ARN>
}
]
}3. Sukurkite IAM vaidmenį, kurį OpenAI galėtų prisiimti, ir priskirkite jį politikai su ribota prieiga prie jūsų KMS
OpenAI iš OpenAI priklausančios AWS paskyros iškvies AssumeRole. Šis veiksmas leidžia OpenAI AWS pagrindiniam subjektui prisiimti ribotą vaidmenį, skirtą prieigai prie jūsų KMS.
Eikite į IAM -> Vaidmenys, tada spustelėkite Sukurti vaidmenį.
Veiksme Pasirinkti patikimą subjektą pasirinkite Pasirinktinė pasitikėjimo politika.

Tada Pasirinktinėje pasitikėjimo politikoje įveskite toliau pateiktą informaciją, kad suteiktumėte prieigą OpenAI AWS pagrindiniam subjektui.
Pagrindinis subjektas yra OpenAI AWS pagrindinis subjektas:
arn:aws:iam::790389265272:role/EnterpriseKeyManagement.Nurodykite, kurį ExternalId OpenAI turėtų perduoti vykdant
AssumeRoleprocesą.Naudodami ChatGPT arba API, naudokite su jūsų darbo erdve susietą organizacijos ID (org-xxx): https://platform.api.openai.org/settings/organization/general.
API atveju galite naudoti konkretų API projekto ID, kad būtų daugiau detalumo.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::790389265272:role/EnterpriseKeyManagement"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"sts:ExternalId": [
<YOUR_OPENAI_ORGANIZATION_ID>,
]
}
}
}
]
}Tada veiksme Pridėti leidimus ieškokite ankstesniame veiksme sukurtos IAM politikos pavadinimo. Spustelėkite žymimąjį langelį šalia politikos pavadinimo, tada spustelėkite Toliau.

Galiausiai skiltyje Pavadinti, peržiūrėti ir sukurti pasirinkite bet kokį vaidmens pavadinimą.
4. Taikykite visus papildomus apribojimus pagal savo saugos praktiką
Aukščiau pateikta minimali būtina informacija, kurios OpenAI reikia EKM nustatyti. Galite taikyti papildomas raktų politikas arba apribojimus pagal savo vidinę saugos praktiką, jei OpenAI gali iškviesti šifravimo ir iššifravimo operacijas jūsų KMS. Kai iškviesite toliau aprašytą rakto registracijos prieigos tašką su OpenAI, patikrinsime jūsų sąranką.
Atlikę pirmiau nurodytus veiksmus
ChatGPT Enterprise
Susisiekite su savo OpenAI kontaktiniu asmeniu ir pasidalykite šia informacija:
"role_arn": "arn:aws:iam::<YOUR_AWS_ACCOUNT_NUMBER>:role/<YOUR_ROLE>"Vaidmens ARN, kurį OpenAI prisiims jūsų debesyje.
"kms_arn": "arn:aws:kms:<REGION>:<YOUR_AWS_ACCOUNT_NUMBER>:key/<UUID>"Jūsų valdomo pagrindinio rakto raktų valdymo sistemos ARN.
Įjungsime EKM jūsų ChatGPT organizacijai / darbo erdvei.
API
Užregistruokite savo išorinį raktą OpenAI
Vadovaukitės šios API nuorodos instrukcijomis: Išoriniai raktai valdymo API.
Pirmiausia užregistruokite savo išorinį raktą OpenAI organizacijos lygmeniu; taip bus sugeneruotas išorinio rakto ID.
Šiame veiksme patikrinsime, ar jūsų įvestis galiojanti ir ar galime autentifikuotis jūsų KMS.
Tai dar nepridės EKM prie jūsų OpenAI projekto.
curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/external_keys" \
-d '{
"type": "aws",
"name": "AWS EKM Config",
"role_arn": "arn:aws:iam::<YOUR_AWS_ACCOUNT_NUMBER>:role/<YOUR_ROLE>",
"kms_arn": "arn:aws:kms:<REGION>:<YOUR_AWS_ACCOUNT_NUMBER>:key/<UUID>",
"external_id": <your org id or project id>
}'Tada sukurkite OpenAI projektą, susietą su išoriniu raktu. Po to jūsų projekte bus suaktyvintas EKM. Šio API iškvietimo atsakymo tekstas pateiks projekto ID (proj_xxx).
curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/projects" \
-d '{
"name": "Some Project",
"external_key_id": "extkey_xxxx"
}'