Būtinosios sąlygos
Daroma prielaida, kad jau užregistravote savo išorinį KMS raktą OpenAI, vadovaudamiesi vienu iš šių vadovų
Pagrindiniai terminai
Rakto rotacija ir rakto atšaukimas skirti skirtingiems tikslams. Įsitikinkite, kad savo naudojimo atvejui pasirenkate tinkamą veiksmą.
Rakto rotacija: generuojama nauja kriptografinė medžiaga naujų duomenų šifravimui, kartu leidžiant iššifruoti senesnius duomenis, užšifruotus ankstesniais raktais
Rakto rotacija neturi įtakos prieigai prie OpenAI duomenų
Rakto atšaukimas: atšaukiama prieiga prie visų duomenų, užšifruotų ankstesniais raktais.
Rakto atšaukimas atšaukia prieigą prie OpenAI duomenų
Kaip patikrinti, ar naudojamas jūsų KMS raktas
Jūsų debesijos paslaugų teikėjas turėtų turėti žurnalus:
Kaip atlikti rakto rotaciją
Galite nustatyti automatinę rakto rotaciją
AWS - https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html
GCP - https://cloud.google.com/kms/docs/rotate-key#automatic
Azure - https://learn.microsoft.com/en-us/azure/key-vault/keys/how-to-configure-key-rotation
Bandymui: šis pakeitimas neturės įtakos jūsų prieigai prie OpenAI duomenų
Kaip atšaukti raktą
Yra daug būdų atšaukti OpenAI prieigą prie jūsų rakto - bet koks autentifikavimo srauto sutrikimas:
Jei atšaukiate OpenAI vaidmens prieigą prie KMS rakto
Jei pašalinate KMS rakto šifravimo / iššifravimo leidimus
Jei naudojate AWS rakto pseudonimą (nerekomenduojama), jei pakeičiate pagrindinį KMS ARN. Šis veiksmas kartais painiojamas su rakto rotacija, bet iš tikrųjų tai yra rakto atšaukimas, todėl jis nerekomenduojamas, nebent esate tikri, kad to norite.
Jei paprašote OpenAI atnaujinti KMS ARN, naudojamą jūsų ChatGPT Enterprise darbo erdvei
Norėdami patvirtinti rakto atšaukimą:
Palaukite vieną valandą, kol OpenAI pusėje baigs galioti visi podėlio įrašai, tada išbandykite atšaukimą
Jei naudojate ChatGPT Enterprise, nebegalėsite skaityti ankstesnių pokalbių, pokalbių paieška nerodys rezultatų iš ankstesnių pokalbių ir negalėsite pasiekti ankstesnių tinkintų GPT.
Jei naudojate API, nebegalėsite atsisiųsti ankstesnių paketinių failų, naudoti ankstesnių papildomai suderintų modelių ar nurodyti ankstesnių atsakymų, sukurtų naudojant Responses API.
Jei naudojate API, taip pat galite iš karto patikrinti, ar OpenAI apdorojo jūsų rakto atšaukimą ir ar jis įsigalios per vieną valandą
Sukurkite Admin API key (ne įprastą API raktą):
Gaukite OpenAI išorinio rakto ID (extkey_xxx), susietą su jūsų darbo erdve arba projektu, iškviesdami curl -X GET -H "Authorization: Bearer $ADMIN_API_KEY" https://api.openai.com/v1/organization/external_keys
Dabar iškvieskite curl -X POST -H "Authorization: Bearer $ADMIN_API_KEY" "https://api.openai.com/v1/organization/external_keys/extkey_xxx/validate"
Geriausia rakto atšaukimo praktika
Jei naudojate API
Archyvuokite API projektą, kurio duomenis padarėte nepasiekiamus. Tada nustatykite naują KMS raktą ir sukurkite naują API projektą, susietą su naujuoju KMS raktu.
Atminkite, kad negalite pakeisti KMS rakto, susieto su senuoju API projektu, kuriame atlikote rakto atšaukimą - turite archyvuoti senąjį projektą. Projektas, kuriame buvo atliktas rakto atšaukimas, neturėtų likti naudojamas. API leidžia labai lengvai kurti naujus projektus, tad naudokite šią funkciją.
Jei naudojate ChatGPT Enterprise
Atlikę rakto atšaukimą, susisiekite su OpenAI palaikymo komanda.
Dirbsime su jumis, kad parengtume naują darbo erdvę. Nenaudosime senosios darbo erdvės bandydami ją atnaujinti, kad ji naudotų naują KMS raktą. Taip yra todėl, kad kai rakto atšaukimas veikia taip, kaip numatyta, ankstesni duomenys, užšifruoti atšauktu raktu, tampa nepasiekiami.
