Forutsetninger
Dette forutsetter at du allerede har registrert den eksterne KMS-nøkkelen din hos OpenAI ved å følge en av disse veiledningene
Nøkkelbegreper
Nøkkel-rotasjon og tilbakekalling av nøkkel har ulike formål. Sørg for å velge riktig handling for ditt brukstilfelle.
Nøkkelrotasjon: Generer nytt kryptografisk materiale for kryptering av nye data, samtidig som dekryptering av eldre data kryptert med tidligere nøkler fortsatt er mulig
Nøkkelrotasjon påvirker ikke tilgangen til OpenAI-data
Tilbakekalling av nøkkel: Tilbakekall tilgang til alle data som er kryptert med tidligere nøkler.
Tilbakekalling av nøkkel tilbakekaller tilgang til OpenAI-data
Slik bekrefter du at KMS-nøkkelen din brukes
Skyleverandøren din bør ha logger:
AWS - https://docs.aws.amazon.com/kms/latest/developerguide/security-logging-monitoring.html
Azure - https://learn.microsoft.com/en-us/azure/key-vault/general/howto-logging
Slik roterer du nøkkelen din
Du kan konfigurere automatisk nøkkelrotasjon
AWS - https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html
GCP - https://cloud.google.com/kms/docs/rotate-key#automatic
Azure - https://learn.microsoft.com/en-us/azure/key-vault/keys/how-to-configure-key-rotation
For å teste: Tilgangen din til OpenAI-data påvirkes ikke av denne endringen
Slik tilbakekaller du nøkkelen din
Det finnes mange måter å tilbakekalle OpenAIs tilgang til nøkkelen din på – enhver forstyrrelse i autentiseringsflyten:
Hvis du tilbakekaller OpenAIs rolletilgang til KMS-nøkkelen
Hvis du fjerner krypterings-/dekrypteringstillatelsene på KMS-nøkkelen
Hvis du bruker et AWS-nøkkelalias (anbefales ikke), hvis du bytter den underliggende KMS-ARN-en. Denne handlingen forveksles noen ganger med nøkkelrotasjon, men er egentlig en tilbakekalling av nøkkel, så den anbefales ikke med mindre du er sikker på at du vil dette.
Hvis du ber OpenAI om å oppdatere KMS-ARN-en som brukes for ChatGPT Enterprise-arbeidsområdet ditt
Slik validerer du tilbakekallingen av nøkkelen din:
Vent én time til alle hurtigbufferoppføringer på OpenAIs side er utløpt, og test deretter tilbakekallingen
Hvis du bruker ChatGPT Enterprise, vil du ikke lenger kunne lese tidligere samtaler, samtalesøk vil ikke vise resultater fra tidligere samtaler, og du vil ikke kunne få tilgang til tidligere tilpassede GPT-er.
Hvis du bruker API-en, vil du ikke lenger kunne laste ned tidligere batchfiler, bruke tidligere finjusterte modeller eller referere til tidligere svar opprettet med Responses API.
Hvis du bruker API-en, kan du også teste umiddelbart at tilbakekallingen av nøkkelen din er behandlet av OpenAI og vil tre i kraft innen én time
Opprett en Admin API-nøkkel (ikke en vanlig API-nøkkel):
Hent OpenAI eksternnøkkel-ID-en (extkey_xxx) som er knyttet til arbeidsområdet eller prosjektet ditt ved å kjøre curl -X GET -H "Authorization: Bearer $ADMIN_API_KEY" https://api.openai.com/v1/organization/external_keys
Kjør deretter curl -X POST -H "Authorization: Bearer $ADMIN_API_KEY" "https://api.openai.com/v1/organization/external_keys/extkey_xxx/validate"
Beste praksis ved tilbakekalling av nøkkel
Hvis du bruker API-et
Arkiver API-prosjektet hvis data du har gjort utilgjengelige. Deretter konfigurerer du en ny KMS-nøkkel og oppretter et nytt API-prosjekt som er knyttet til den nye KMS-nøkkelen.
Merk at du ikke kan bytte KMS-nøkkelen som er knyttet til det gamle API-prosjektet der du har utført tilbakekallingen av nøkkelen – du må arkivere det gamle prosjektet. Et prosjekt der en tilbakekalling av nøkkel er utstedt, bør ikke fortsette å være i bruk. API-et gjør det svært enkelt å opprette nye prosjekter, så bruk den funksjonen.
Hvis du bruker ChatGPT Enterprise
Ta kontakt med OpenAI-støtte etter at du har utført en tilbakekalling av nøkkel.
Vi vil samarbeide med deg for å sette opp et nytt arbeidsområde. Vi vil ikke gjenbruke det gamle arbeidsområdet ved å prøve å oppdatere det til å bruke en ny KMS-nøkkel. Dette er fordi når tilbakekalling av nøkkel fungerer som tiltenkt, blir tidligere data kryptert med den tilbakekalte nøkkelen utilgjengelige.