Apžvalga
Enterprise Key Management (EKM) leidžia OpenAI šifruoti duomenis naudojant jūsų valdomą pagrindinį raktą. Kad OpenAI galėtų iškviesti šifravimo / iššifravimo operacijas jūsų Key Vault, mums reikės suteikti prieigą. Šiame dokumente parodoma, kaip nustatyti „Azure“ paskyrą, kad OpenAI galėtų prisiimti vaidmenį su Key Vault leidimais.

Veiksmai
1. Sukurkite OpenAI paslaugos pagrindinį objektą savo paskyroje
Gaukite prieigos žetoną
az account get-access-token --resource https://graph.microsoft.com
--tenant YOUR_TENANT_IDSukurkite paslaugos pagrindinį objektą – toliau pateiktoje užklausoje appId yra OpenAI programos kliento ID. Taip bus sukurtas pagrindinis objektas, kurio rodomas pavadinimas „EKM - OpenAI Azure“ – prisiminkite jį vėlesniems veiksmams.
OpenAI / Azure EKM integravimo instrukcijos – sukurkite paslaugos pagrindinį objektą
curl -X POST https://graph.microsoft.com/v1.0/servicePrincipals \
-H "Authorization: Bearer $TOKEN_FROM_ABOVE" \
-H "Content-Type: application/json" \
–d '{"appId": "20a14814-5ab7-4612-a671-1382b412bf93"}'2. Sukurkite pasirinktinį vaidmenį ribotai KMS prieigai
Eikite į Subscriptions -> Access Control (IAM)
Išskleidžiamajame meniu + Add pasirinkite Add custom role
Eikite į skirtuką JSON, spustelėkite „Edit“ ir pridėkite:
Bet koks vaidmens pavadinimas – prisiminkite pasirinktą pavadinimą
Toliau nurodyti leidimai skiltyje dataActions:
Microsoft.KeyVault/vaults/keys/encrypt/actionMicrosoft.KeyVault/vaults/keys/decrypt/actionMicrosoft.KeyVault/vaults/keys/read

3. Sukurkite „Key Vault“ ir raktą
Jei jos dar neturite, sukurkite naują Key Vault toje pačioje prenumeratoje, kurioje ką tik sukūrėte pasirinktinį vaidmenį.
Tame Key Vault sukurkite naują raktą:
Eikite į Key Vault -> Objects -> Keys, tada spustelėkite Generate/Import
Skiltyje Options pasirinkite Generate

Šifravimo algoritmui pasirinkite RSA.
Galite pasirinkti bet kokį RSA rakto dydį
Pateikite rakto pavadinimą tokiu formatu:
<org-xxx>--<any_name>, kurorg-xxxyra jūsų OpenAI organizacijos ID, kurį galite rasti adresu https://platform.openai.com/settings/organization/general

Jei negalite peržiūrėti ar sukurti rakto, įsitikinkite, kad turite vaidmenį Key Vault Administrator. To reikia net jei turite Owner vaidmenį. Kad vaidmuo būtų priskirtas:
Eikite į Key Vault -> Access Control (IAM)
Spustelėkite Add -> Add role assignment

4. Sukurkite vaidmens priskyrimą OpenAI paslaugos pagrindiniam objektui + naujam pasirinktiniam KMS + naujam raktui
Eikite į Key Vault -> Objects -> Keys, tada spustelėkite sukurto rakto eilutę
Eikite į ką tik spustelėto rakto skiltį Access control (IAM) (ne savo raktų saugyklos).
Išskleidžiamajame meniu + Add pasirinkite Add role assignment

Skirtuke Role pasirinkite ką tik sukurto pasirinktinio vaidmens pavadinimą.

Skirtuke Members:
Spustelėkite „+ Select members“
Paieškos juostoje įveskite „ekm -“, tada turėtų būti įkeltas 1 veiksme sukurtas OpenAI paslaugos pagrindinis objektas

5. Taikykite bet kokius papildomus apribojimus pagal savo saugos praktiką
Aukščiau pateikta minimali būtina informacija, kurios OpenAI reikia EKM nustatyti. Galite laisvai taikyti papildomas raktų politikas ar apribojimus pagal savo vidinę saugos praktiką, jei OpenAI gali iškviesti šifravimo ir iššifravimo operacijas jūsų KMS. Kai iškviesite toliau aprašytą OpenAI rakto registravimo prieigos tašką, patikrinsime jūsų sąranką.
Atlikę pirmiau nurodytus veiksmus
ChatGPT Enterprise
Susisiekite su savo OpenAI kontaktiniu asmeniu ir pasidalykite šia informacija:
"tenant_id": "<YOUR_AZURE_TENANT_UUID>"
"vault_uri": "https://<YOUR_KEYVAULT_NAME>.vault.azure.net/"
"key_name": "<YOUR_KEY_NAME>"
Jūsų valdomo „Azure Key Vault“ pagrindinio rakto pavadinimas
Rakto pavadinimas turi būti formos <org-xxx>--<any_name>, kur org-xxx yra jūsų OpenAI organizacijos ID, kurį galite rasti adresu https://platform.openai.com/settings/organization/general
Įjungsime EKM jūsų ChatGPT organizacijoje / darbo erdvėje.
API
Užregistruokite savo išorinį raktą OpenAI
Vadovaukitės šios API nuorodos instrukcijomis Išoriniai raktai valdymo API
Pirmiausia užregistruokite savo išorinį raktą OpenAI organizacijos lygiu; bus sugeneruotas išorinio rakto ID formos extkey_xxx
Šiame veiksme patikrinsime, ar jūsų įvestis galioja ir ar galime autentifikuotis jūsų KMS.
Tai dar nepridės EKM prie jūsų OpenAI projekto.
# This generates an external key ID of the form extkey_xxx
curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/external_keys" \
-d '{
"type": "azure",
"name": "<ANY_FRIENDLY_NAME>",
"tenant_id": "<YOUR_AZURE_TENANT_UUID>",
"vault_uri": "https://<YOUR_KEYVAULT_NAME>.vault.azure.net/",
"key_name": "<YOUR_KEY_NAME>"
}'Tada sukurkite OpenAI projektą, susietą su išoriniu raktu. Po to EKM bus aktyvinta jūsų projekte.
Šio API iškvietimo atsakymo tekstas pateiks projekto ID (proj_xxx)
curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/projects" \
-d '{
"name": "Some Project",
"external_key_id": "extkey_xxxx"
}'