End-to-end richtlijnen voor de KMS-sleutellevenscyclus, van installatiecontroles tot opschoning na intrekking

Vereisten

Hierbij wordt ervan uitgegaan dat u uw externe KMS-sleutel al bij OpenAI hebt geregistreerd, volgens een van deze handleidingen

Belangrijke termen

Sleutelrotatie en sleutelintrekking dienen verschillende doelen. Zorg ervoor dat u de juiste actie voor uw use case kiest.

Sleutelrotatie: Genereer nieuw cryptografisch materiaal voor de versleuteling van nieuwe gegevens, terwijl ontsleuteling van oudere gegevens die met eerdere sleutels zijn versleuteld mogelijk blijft
- Sleutelrotatie heeft geen invloed op de toegang tot OpenAI-gegevens
Sleutelintrekking: Trek de toegang in tot alle gegevens die met eerdere sleutels zijn versleuteld.
- Sleutelintrekking trekt de toegang tot OpenAI-gegevens in

Uw cloudprovider zou logboeken moeten hebben:

U kunt automatische sleutelrotatie instellen

Om te testen: uw toegang tot OpenAI-gegevens blijft door deze wijziging onaangetast

Er zijn veel manieren om OpenAI's toegang tot uw sleutel in te trekken - elke verstoring in de auth-flow:

Als u de toegang van de rol van OpenAI tot de KMS-sleutel intrekt
Als u de machtigingen voor versleutelen/ontsleutelen op de KMS-sleutel verwijdert
Als u een AWS-sleutelalias gebruikt (niet aanbevolen) en u de onderliggende KMS-ARN wijzigt. Deze actie wordt soms verward met sleutelrotatie, maar is in werkelijkheid een sleutelintrekking, dus wordt deze niet aanbevolen tenzij u zeker weet dat u dit wilt.
Als u OpenAI verzoekt om de KMS-ARN bij te werken die voor uw ChatGPT Enterprise-werkruimte wordt gebruikt

Uw sleutelintrekking valideren:

Wacht één uur totdat alle cache-items aan de kant van OpenAI zijn verlopen en test daarna de intrekking
- Als u ChatGPT Enterprise gebruikt, kunt u eerdere gesprekken niet meer lezen, levert zoeken in gesprekken geen resultaten uit eerdere gesprekken meer op en hebt u geen toegang meer tot eerdere aangepaste GPT's.
- Als u de API gebruikt, kunt u eerdere batchbestanden niet meer downloaden, eerdere fijnafgestelde modellen niet meer gebruiken en niet meer verwijzen naar eerdere responses die met de Responses API zijn gemaakt.
Als u de API gebruikt, kunt u ook direct testen dat uw sleutelintrekking door OpenAI is verwerkt en binnen één uur van kracht wordt
- Maak een Admin API-sleutel (geen normale API-sleutel):
- Haal de OpenAI external key id (extkey_xxx) op die aan uw werkruimte of project is gekoppeld door curl -X GET -H "Authorization: Bearer $ADMIN_API_KEY" https://api.openai.com/v1/organization/external_keys aan te roepen
- Roep nu curl -X POST -H "Authorization: Bearer $ADMIN_API_KEY" "https://api.openai.com/v1/organization/external_keys/extkey_xxx/validate" aan

Als u de API gebruikt

Archiveer het API-project waarvan u de gegevens ontoegankelijk hebt gemaakt. Stel daarna een nieuwe KMS-sleutel in en maak een nieuw API-project dat aan de nieuwe KMS-sleutel is gekoppeld.
Houd er rekening mee dat u de KMS-sleutel die is gekoppeld aan het oude API-project waar u de sleutelintrekking hebt uitgevoerd, niet kunt omwisselen - u moet het oude project archiveren. Een project waarvoor een sleutelintrekking is uitgegeven, mag niet in gebruik blijven. De API maakt het heel eenvoudig om nieuwe projecten te maken, dus gebruik die functie.

Als u ChatGPT Enterprise gebruikt

Neem contact op met OpenAI support nadat u een sleutelintrekking hebt uitgevoerd.
We werken met u samen om een nieuwe werkruimte op te zetten. We hergebruiken de oude werkruimte niet door die te proberen bij te werken zodat deze een nieuwe KMS-sleutel gebruikt. Dit komt doordat, wanneer sleutelintrekking werkt zoals ontworpen, eerdere gegevens die met de ingetrokken sleutel zijn versleuteld ontoegankelijk worden.