Forutsetninger

Dette forutsetter at du allerede har registrert den eksterne KMS-nøkkelen din hos OpenAI ved å følge en av disse veiledningene

• Integrasjonsinstruksjoner for OpenAI / AWS EKM

• Integrasjonsinstruksjoner for OpenAI / GCP EKM

• Integrasjonsinstruksjoner for OpenAI / Azure EKM

Nøkkelbegreper

Nøkkelrotasjon og tilbakekalling av nøkler tjener ulike formål. Sørg for å velge riktig handling for ditt bruksområde.

• Nøkkelrotasjon: Generer nytt kryptografisk materiale for kryptering av nye data, samtidig som dekryptering av eldre data kryptert med tidligere nøkler fortsatt er mulig

  • Nøkkelrotasjon påvirker ikke tilgangen til OpenAI-data

• Tilbakekalling av nøkkel: Tilbakekall tilgang til alle data som er kryptert med tidligere nøkler.

  • Tilbakekalling av nøkkel tilbakekaller tilgang til OpenAI-data

Slik bekrefter du at KMS-nøkkelen din er i bruk

Skyleverandøren din bør ha logger:

• AWS – https://docs.aws.amazon.com/kms/latest/developerguide/security-logging-monitoring.html

• GCP – https://cloud.google.com/kms/docs/audit-logging

• Azure – https://learn.microsoft.com/en-us/azure/key-vault/general/howto-logging

Slik roterer du nøkkelen din

Du kan konfigurere automatisk nøkkelrotasjon

• AWS – https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html

• GCP – https://cloud.google.com/kms/docs/rotate-key#automatic

• Azure – https://learn.microsoft.com/en-us/azure/key-vault/keys/how-to-configure-key-rotation

Slik tester du: Tilgangen din til OpenAI-data blir ikke påvirket av denne endringen

Slik tilbakekaller du nøkkelen din

Det finnes mange måter å tilbakekalle OpenAIs tilgang til nøkkelen din på – enhver forstyrrelse i autentiseringsflyten:

• Hvis du tilbakekaller tilgang fra OpenAIs rolle til KMS-nøkkelen

• Hvis du fjerner krypterings-/dekrypteringstillatelsene på KMS-nøkkelen

• Hvis du bruker et AWS-nøkkelalias (anbefales ikke), og du bytter underliggende KMS ARN. Denne handlingen forveksles noen ganger med nøkkelrotasjon, men er egentlig en tilbakekalling av nøkkel, så den anbefales ikke med mindre du er sikker på at du vil dette.

• Hvis du ber OpenAI om å oppdatere KMS ARN som brukes for ChatGPT Enterprise-arbeidsområdet ditt

Slik validerer du tilbakekallingen av nøkkelen:

• Vent én time til alle hurtigbufferoppføringer utløper hos OpenAI, og test deretter tilbakekallingen

  • Hvis du bruker ChatGPT Enterprise, vil du ikke lenger kunne lese tidligere samtaler, samtalesøk vil ikke vise resultater fra tidligere samtaler, og du vil ikke kunne få tilgang til tidligere egendefinerte GPT-er.

  • Hvis du bruker API-et, vil du ikke lenger kunne laste ned tidligere satsvise filer, bruke tidligere finjusterte modeller eller referere til tidligere svar opprettet med Responses API.

• Hvis du bruker API-et, kan du også teste umiddelbart at tilbakekallingen av nøkkelen er behandlet av OpenAI og vil tre i kraft innen én time

  • Opprett en Admin API-nøkkel (ikke en vanlig API-nøkkel):

  • Hent OpenAIs eksterne nøkkel-ID (extkey_xxx) som er knyttet til arbeidsområdet eller prosjektet ditt, ved å kalle curl -X GET -H "Authorization: Bearer $ADMIN_API_KEY" https://api.openai.com/v1/organization/external_keys

  • Kall nå curl -X POST -H "Authorization: Bearer $ADMIN_API_KEY" "https://api.openai.com/v1/organization/external_keys/extkey_xxx/validate"

Beste praksis ved tilbakekalling av nøkler

Hvis du bruker API-et

• Arkiver API-prosjektet der du har gjort dataene utilgjengelige. Konfigurer deretter en ny KMS-nøkkel, og opprett et nytt API-prosjekt knyttet til den nye KMS-nøkkelen.

• Merk at du ikke kan bytte ut KMS-nøkkelen som er knyttet til det gamle API-prosjektet der du har utført tilbakekallingen av nøkkelen – du må arkivere det gamle prosjektet. Et prosjekt der det er utstedt en tilbakekalling av nøkkel, bør ikke fortsatt være i bruk. API-et gjør det svært enkelt å opprette nye prosjekter, så bruk den funksjonen.

Hvis du bruker ChatGPT Enterprise

• Kontakt OpenAI-kundestøtte etter at du har utført en tilbakekalling av nøkkelen.

• Vi vil samarbeide med deg om å opprette et nytt arbeidsområde. Vi vil ikke gjenbruke det gamle arbeidsområdet ved å prøve å oppdatere det til å bruke en ny KMS-nøkkel. Dette er fordi når tilbakekalling av nøkler fungerer som tiltenkt, blir tidligere data som er kryptert med den tilbakekalte nøkkelen, utilgjengelige.