Oversikt

Enterprise Key Management (EKM) gjør det mulig for OpenAI å kryptere data med en hovednøkkel som du kontrollerer. For at OpenAI skal kunne kalle krypterings- og dekrypteringsoperasjoner i Key Vault, må vi få tilgang. Dette dokumentet viser hvordan du konfigurerer Azure-kontoen din slik at OpenAI kan anta en rolle med Key Vault-tillatelser.

Azure EKM flow where OpenAI EKM uses Microsoft Entra ID to access your Key Vault and master KEK

Trinn

1. Opprett en tjenesteprinsipal for OpenAI i kontoen din

Hent et tilgangstoken

az account get-access-token --resource https://graph.microsoft.com
--tenant YOUR_TENANT_ID

Opprett tjenesteprinsipalen – appId i forespørselen nedenfor er klient-ID-en til OpenAI-applikasjonen. Dette oppretter en prinsipal med visningsnavnet «EKM - OpenAI Azure» – husk dette til senere trinn.

Instruksjoner for OpenAI / Azure EKM-integrasjon – opprett tjenesteprinsipal

curl -X POST https://graph.microsoft.com/v1.0/servicePrincipals \
-H "Authorization: Bearer $TOKEN_FROM_ABOVE" \
-H "Content-Type: application/json" \
–d '{"appId": "20a14814-5ab7-4612-a671-1382b412bf93"}'

2. Opprett en egendefinert rolle for begrenset KMS-tilgang

Gå til Abonnementer -> Tilgangskontroll (IAM)
Under rullegardinmenyen + Legg til velger du Legg til egendefinert rolle
Gå til fanen JSON, klikk på Rediger, og legg til følgende:
1. Et valgfritt rollenavn – husk navnet du valgte
2. Følgende tillatelser i dataActions:
  1. Microsoft.KeyVault/vaults/keys/encrypt/action
  2. Microsoft.KeyVault/vaults/keys/decrypt/action
  3. Microsoft.KeyVault/vaults/keys/read

OpenAI / Azure EKM Integration Instructions Custom Role

3. Opprett et Key Vault + en nøkkel

Hvis du ikke allerede har et, oppretter du et nytt Key Vault i samme abonnement der du nettopp opprettet den egendefinerte rollen.

Opprett en ny nøkkel i dette Key Vault:

Gå til Key Vault -> Objekter -> Nøkler, og klikk deretter på Generer/importer
Under Alternativer velger du Generer

Azure Key Vault Keys page with Generate/Import highlighted to add a key

Velg RSA som krypteringsalgoritme.
Du kan velge en hvilken som helst RSA-nøkkelstørrelse
Angi et nøkkelnavn med følgende format: <org-xxx>--<any_name>, der org-xxx er OpenAI-organisasjons-ID-en din, som du finner på https://platform.openai.com/settings/organization/general

Azure Key Vault key generation form with RSA selected and key name org-abcdefg--test-keyvault-key

Hvis du ikke kan vise eller opprette en nøkkel, må du kontrollere at du har rollen Key Vault-administrator. Dette er nødvendig selv om du har Eier-rollen. Slik blir du tildelt rollen:

Gå til Key Vault -> Tilgangskontroll (IAM)
Klikk på Legg til -> Legg til rolletildeling

Azure Key Vault Access control (IAM) page with Add menu open to Add role assignment

4. Opprett en rolletildeling for OpenAI-tjenesteprinsipalen + ny egendefinert KMS + ny nøkkel

Gå til Key Vault -> Objekter -> Nøkler, og klikk deretter på raden for nøkkelen du opprettet
Gå til Tilgangskontroll (IAM) for nøkkelen du nettopp klikket på (ikke nøkkelhvelvet ditt).
Under rullegardinmenyen + Legg til velger du Legg til rolletildeling

I fanen Rolle velger du navnet på den egendefinerte rollen du nettopp opprettet.

Azure role list filtered for openai- with the openai-azure-kms-role entry

I fanen Medlemmer:
1. Klikk på «+ Velg medlemmer»
2. Skriv inn «ekm -» i søkefeltet. Da skal OpenAI-tjenesteprinsipalen du opprettet i trinn 1, lastes inn

Azure role assignment Members step with EKM - OpenAI Azure Application selected as a member

5. Bruk eventuelle ytterligere begrensninger i tråd med din egen sikkerhetspraksis

Ovenfor finner du minimumsinformasjonen OpenAI trenger for å konfigurere EKM. Du står fritt til å bruke ytterligere nøkkelpolicyer eller begrensninger i tråd med din egen interne sikkerhetspraksis, så lenge OpenAI kan kalle krypterings- og dekrypteringsoperasjoner i KMS-et ditt. Når du kaller endepunktet for nøkkelregistrering hos OpenAI som er beskrevet nedenfor, validerer vi oppsettet ditt.

Etter at du har fullført trinnene ovenfor

ChatGPT Enterprise

Ta kontakt med OpenAI-kontakten din og del følgende:

"tenant_id": "<YOUR_AZURE_TENANT_UUID>"

"vault_uri": "https://<YOUR_KEYVAULT_NAME>.vault.azure.net/"

"key_name": "<YOUR_KEY_NAME>"

Navnet på hovednøkkelen i Azure Key Vault som du administrerer
Nøkkelnavnet må ha formen <org-xxx>--<any_name>, der org-xxx er OpenAI-organisasjons-ID-en din, som du finner på https://platform.openai.com/settings/organization/general

Vi aktiverer EKM for ChatGPT-organisasjonen/-arbeidsområdet ditt.

API

Registrer den eksterne nøkkelen din hos OpenAI

Følg instruksjonene i denne API-referansen: Eksterne nøkler i Management API

Registrer først den eksterne nøkkelen på OpenAI-organisasjonsnivå. Dette genererer en ekstern nøkkel-ID på formen extkey_xxx
I dette trinnet validerer vi at inndataene dine er gyldige, og at vi kan autentisere mot KMS-et ditt.
Dette legger ikke EKM til i OpenAI-prosjektet ditt ennå.

# This generates an external key ID of the form extkey_xxx
curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/external_keys" \
-d '{
  "type": "azure",
  "name": "<ANY_FRIENDLY_NAME>",
  "tenant_id": "<YOUR_AZURE_TENANT_UUID>",
  "vault_uri": "https://<YOUR_KEYVAULT_NAME>.vault.azure.net/",
  "key_name": "<YOUR_KEY_NAME>"
}'

Opprett deretter et OpenAI-prosjekt som er knyttet til den eksterne nøkkelen. Etter dette er EKM aktivert for prosjektet ditt.
Svarinnholdet fra dette API-kallet gir deg prosjekt-ID-en (proj_xxx)

curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/projects" \
-d '{
   "name": "Some Project",
   "external_key_id": "extkey_xxxx"
}'

Instruksjoner for OpenAI / Azure EKM-integrasjon