OpenAI
Denne siden ble maskinoversatt. Se den opprinnelige engelske artikkelen.

OpenAI / AWS EKM-integrasjonsinstruksjoner

Trinnvise instruksjoner for å klargjøre AWS og aktivere EKM

Oppdatert: 2 days ago

Oversikt

Enterprise Key Management (EKM) lar OpenAI kryptere data med en hovednøkkel som du kontrollerer. Dette dokumentet viser hvordan du konfigurerer AWS-kontoen din for å gi OpenAI begrensede tillatelser på KMS-en din.

AWS EKM integration flow between OpenAI EKM Service, your STS, your KMS, and your master KEK

Trinn

1. Opprett en ny KMS-nøkkel

  1. Gå til KMS -> Kundeadministrerte nøkler, og klikk deretter på Opprett nøkkel.

  2. Velg en symmetrisk krypteringsalgoritme.

  3. Når nøkkelen er opprettet, noterer du ARN-en. Støttede formater omfatter arn:aws:kms:<region>:<account_number>:key/<uuid>, ...:key/mrk-* eller ...:alias/<alias_name>.

AWS KMS customer managed key details page with key ID and ARN for test-kms

2. Opprett en egendefinert policy for begrenset tilgang til KMS-nøkkelen

  1. Gå til IAM -> Policyer, og klikk deretter på Opprett policy.

  2. I trinnet Angi tillatelser velger du JSON og skriver inn følgende for å gi policyen tilgangshandlinger for KMS. Sørg for å erstatte YOUR_KMS_ARN med ARN-en til nøkkelen du opprettet.

AWS IAM Create policy page with Specify permissions open and the JSON policy editor selected
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowEncryptDecrypt",
            "Effect": "Allow",
            "Action": [

                "kms:Decrypt",
                "kms:Encrypt"

            ],
            "Resource": <YOUR_KMS_ARN>
        }
    ]
}

3. Opprett en IAM-rolle som OpenAI kan anta, og tilordne den policyen med begrenset tilgang til KMS-en din

OpenAI kaller AssumeRole fra en OpenAI-eid AWS-konto. Dette trinnet lar OpenAIs AWS-prinsipal anta den begrensede rollen for tilgang til KMS-en din.

  1. Gå til IAM -> Roller, og klikk deretter på Opprett rolle.

  2. I trinnet Velg klarert enhet velger du Egendefinert klareringspolicy.

AWS IAM Select trusted entity screen with Custom trust policy selected

Deretter skriver du inn følgende i Egendefinert klareringspolicy for å gi tilgang til OpenAIs AWS-prinsipal.

  • Prinsipalen er OpenAIs AWS-prinsipal: arn:aws:iam::790389265272:role/EnterpriseKeyManagement.

  • Angi hvilken ExternalId OpenAI skal sende under AssumeRole-prosessen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::790389265272:role/EnterpriseKeyManagement"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "sts:ExternalId": [
                         <YOUR_OPENAI_ORGANIZATION_ID>,
                     ]
                }
            }
        }
    ]
}

Deretter, i trinnet Legg til tillatelser, søker du etter policynavnet til IAM-policyen du opprettet i forrige trinn. Klikk i avmerkingsboksen ved siden av policynavnet, og klikk deretter på Neste.

AWS IAM Add permissions page filtered to customer managed KMS policies with test-allow-kms-access selected

Til slutt, i delen Navngi, gjennomgå og opprett, velger du et valgfritt rollenavn.

4. Bruk eventuelle ytterligere begrensninger i tråd med din egen sikkerhetspraksis

Ovenfor finner du minimumsinformasjonen som kreves for at OpenAI skal konfigurere EKM. Du står fritt til å bruke ytterligere nøkkelpolicyer eller begrensninger i tråd med din egen interne sikkerhetspraksis, så lenge OpenAI kan kalle krypterings- og dekrypteringsoperasjoner på KMS-en din. Når du kaller endepunktet for nøkkelregistrering hos OpenAI som er beskrevet nedenfor, validerer vi oppsettet ditt.

Etter at du har fullført trinnene ovenfor

ChatGPT Enterprise

Ta kontakt med OpenAI-kontakten din og del følgende:

  • "role_arn": "arn:aws:iam::<YOUR_AWS_ACCOUNT_NUMBER>:role/<YOUR_ROLE>"

    • Rolle-ARN-en som OpenAI skal anta i skyen din.

  • "kms_arn": "arn:aws:kms:<REGION>:<YOUR_AWS_ACCOUNT_NUMBER>:key/<UUID>"

    • Key Management System-ARN-en for hovednøkkelen du administrerer.

Vi aktiverer EKM for ChatGPT-organisasjonen/-arbeidsområdet ditt.

API

Registrer den eksterne nøkkelen din hos OpenAI

Følg instruksjonene i denne API-referansen: Eksterne nøkler i Management API.

  1. Registrer først den eksterne nøkkelen din på OpenAI-organisasjonsnivå, noe som genererer en ekstern nøkkel-ID.

  2. I dette trinnet validerer vi at inndataene dine er gyldige, og at vi kan autentisere mot KMS-en din.

  3. Dette legger ikke EKM til i OpenAI-prosjektet ditt ennå.

curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \

"https://api.openai.com/v1/organization/external_keys" \
-d '{
  "type": "aws",
  "name": "AWS EKM-konfigurasjon",
  "role_arn": "arn:aws:iam::<YOUR_AWS_ACCOUNT_NUMBER>:role/<YOUR_ROLE>",
  "kms_arn": "arn:aws:kms:<REGION>:<YOUR_AWS_ACCOUNT_NUMBER>:key/<UUID>",
  "external_id": <organisasjons-ID-en eller prosjekt-ID-en din>
}'

Deretter oppretter du et OpenAI-prosjekt som er knyttet til den eksterne nøkkelen. Etter dette er EKM aktivert i prosjektet ditt. Svarteksten fra dette API-kallet gir deg prosjekt-ID-en (proj_xxx).

curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/projects" \
-d '{
   "name": "Et prosjekt",

   "external_key_id": "extkey_xxxx"
}'

Var denne artikkelen nyttig?