Podsumowanie

Dostęp

EKM endpoints są dostępne w Management API za pomocą Admin API Key. https://platform.openai.com/settings/organization/admin-keys (nie używaj zwykłego klucza API). Klucze Admin API są dostępne dla właścicieli organizacji.
Użyj api.external_keys.write, aby tworzyć lub usuwać klucze zewnętrzne, oraz api.external_keys.read, aby wyświetlać listę lub weryfikować klucze zewnętrzne. Jeden klucz potrzebuje obu zakresów tylko wtedy, gdy ma wykonywać zarówno operacje odczytu, jak i zapisu.
Obecnie musimy objąć Twoją organizację flagą funkcji dla tych endpoints. Wiesz, że masz flagę funkcji, jeśli widzisz external_key_id zwracane przez istniejący endpoint List Projects: https://api.openai.com/v1/organization/projects

Użycie

Konfiguracja EKM jest rejestrowana na poziomie organizacji przez nowy endpoint https://api.openai.com/v1/organization/external_keys
Rejestracja konfiguracji EKM zwraca external_key_id w formacie extkey_xxxx
Konfiguracje EKM są aktywowane na poziomie projektu przez przekazanie external_key_id w treści żądania do istniejącego endpoint Create Project https://api.openai.com/v1/organization/projects

Ograniczenia

Najpierw musisz przetestować EKM w nowym projekcie za pomocą Management API.
Zalecamy tworzenie nowych projektów dla obciążeń EKM. Jeśli jednak chcesz używać EKM w istniejącym projekcie, możemy dodać Cię do flagi funkcji. Przed wdrożeniem EKM w istniejących projektach produkcyjnych zapoznaj się z poniższymi dobrymi praktykami.
- Najpierw przetestuj wszystkie funkcje API używane w produkcji w testowym projekcie API EKM
- Wdrażaj stopniowo zamiast wypełniać EKM we wszystkich produkcyjnych projektach API naraz

Endpoints na poziomie organizacji

Zarejestruj klucz zewnętrzny w organizacji

AWS

Przykładowe żądanie

type: string - zawsze „aws”
name: string - przyjazna nazwa konfiguracji
role_arn: string - ARN roli, którą OpenAI przyjmie w Twojej chmurze
kms_arn: string - ARN systemu zarządzania kluczami dla zarządzanego przez Ciebie klucza głównego
external_id: string - identyfikator organizacji lub projektu API

curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/external_keys" \
-d '{
  "type": "aws",
  "name": "AWS EKM Config",
  "role_arn": "arn:aws:iam::<12_DIGIT_ACCOUNT_NUMBER>:role/<ROLE>",
  "kms_arn": "arn:aws:kms:<REGION>:<ACCOUNT_NUMBER>:key/<UUID>",
  "external_id": <your org id or project id>
}'

Przykładowa odpowiedź

{
  "id": "extkey_xxxx",
  "object": "organization.external_key",
  "created_at": 1746175499,
  "api_project_ids": [],
  "type": "aws",
  "name": "AWS EKM Config",
  "role_arn": "arn:aws:iam::<ACCOUNT_NUMBER>:role/<ROLE>",
  "kms_arn": "arn:aws:kms:<REGION>:<ACCOUNT_NUMBER>:key/<UUID>",
  "external_id": <your org id or project id>
}

GCP

Przykładowe żądanie

type: string - zawsze „gcp”,
name: string - przyjazna nazwa konfiguracji
workload_identity_project_number: string - 12-cyfrowy numer projektu GCP, w którym zarejestrowano tożsamość obciążenia OpenAI
workload_identity_pool_id: string - pula zawierająca dostawcę Workload Identity zarejestrowanego dla OpenAI
workload_identity_provider_id: string - dostawca Workload Identity zarejestrowany dla OpenAI
audience: string - odbiorca, którego OpenAI powinno przekazać w tokenie, gdy przyjmujemy rolę przez Twoje GCP STS
kms_project_id: string - nazwa projektu GCP, w którym znajduje się Twój KMS
kms_key_ring_name: string - pierścień kluczy systemu zarządzania kluczami zawierający zarządzany przez Ciebie klucz główny
kms_key_name: string - nazwa klucza głównego systemu zarządzania kluczami
kms_key_location: string - region, w którym znajduje się klucz główny systemu zarządzania kluczami

Jeśli Twój KMS znajduje się w innym projekcie GCP niż ten, w którym zarejestrowano Workload Identity OpenAI, upewnij się, że w projekcie zawierającym Workload Identity OpenAI włączono przynajmniej KMS, przechodząc do https://console.developers.google.com/apis/api/cloudkms.googleapis.com/overview

curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/external_keys" \
-d '{
   "type": "gcp",
   "name": "GCP EKM Config",
   "workload_identity_project_number": "123456789012",
   "workload_identity_pool_id": "openai-azure",
   "workload_identity_provider_id": "openai-ekm-service-role",
   "audience": <your org id or project id>,
   "kms_project_id": "adjective-noun-12345",
   "kms_key_name": "openai-kms-key",
   "kms_key_ring_name": "openai-kms-key-ring",
   "kms_key_location": "us-east1"
}'

Przykładowa odpowiedź

{
  "id": "extkey_xxxxxx",
  "object": "organization.external_key",
  "created_at": 1746174349,
  "api_project_ids": [],
  "type": "gcp",
  "name": "GCP EKM Config",
  "workload_identity_project_number": "123456789012",
  "kms_key_ring_name": "openai-kms-key-ring",
  "kms_key_name": "openai-kms-key",
  "kms_key_location": "us-east1",
  "audience": <your org id or project id>,
  "kms_project_id": "adjective-noun-12345",
  "workload_identity_pool_id": "openai-azure",
  "workload_identity_provider_id": "openai-ekm-service-role"
}

Azure

Przykładowe żądanie

type: string - zawsze „azure”,
name: string - przyjazna nazwa konfiguracji
tenant_id: string - UUID Twojej dzierżawy Azure
vault_uri: string - identyfikator URI magazynu Azure zawierającego zarządzany przez Ciebie klucz główny
key_name: string - nazwa klucza głównego Azure Key Vault, którym zarządzasz.
- Musi mieć postać <org-xxx>--<any_name>
- gdzie org-xxx to identyfikator organizacji OpenAI, który znajdziesz pod adresem https://platform.openai.com/settings/organization/general

curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/external_keys" \
-d '{
  "type": "azure",
  "name": "Azure EKM Config",
  "tenant_id": "<UUID>",
  "vault_uri": "https://<VAULT_NAME>.vault.azure.net/",
  "key_name": "org-xxx--some-key"
}'

Przykładowa odpowiedź

{
  "id": "extkey_xxxx",
  "object": "organization.external_key",
  "created_at": 1746174377,
  "api_project_ids": [],
  "type": "azure",
  "name": "Azure EKM Config",
  "tenant_id": "<UUID>",
  "vault_uri": "https://<VAULT_NAME>.vault.azure.net/",
  "key_name": "org-xxx--some-key"
}

Usuń klucz zewnętrzny zarejestrowany w organizacji

Uwaga: Klucz zewnętrzny możesz usunąć tylko wtedy, gdy nie jest powiązany z żadnym aktywnym projektem API ani przestrzenią roboczą. Jeśli jest powiązany z aktywnym projektem API, najpierw zarchiwizuj ten projekt. Jeśli jest powiązany z przestrzenią roboczą, klucza nie można usunąć.

Przykładowe żądanie

curl -X DELETE \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/external_keys/extkey_xxxx"

Przykładowa odpowiedź

{
  "id": "extkey_xxxxx",
  "object": "organization.external_key.deleted",
  "created_at": 1746127808,
  "api_project_ids": [],
  "type": "aws",
  "account_number": "123456789012",
  "kms_arn": "arn:aws:kms:<REGION>:<ACCOUNT_NUMBER>:key/<UUID>",
  "name": "AWS EKM Config",
  "role_arn": "arn:aws:iam::<ACCOUNT_NUMBER>:role/<ROLE>"
}

Pobierz klucze zewnętrzne zarejestrowane w organizacji

Przykładowe żądanie

curl -X GET \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/external_keys"

Przykładowa odpowiedź

{
  "object": "list",
  "data": [
    {
      "id": "extkey_xxxx",
      "object": "organization.external_key",
      "created_at": 1746127808,
      "api_project_ids": [],
      "type": "aws",
      "name": "AWS EKM Config",
      "account_number": "123456789012",
      "kms_arn": "arn:aws:kms:<REGION>:<ACCOUNT_NUMBER>:key/<UUID>",
  	role_arn": "arn:aws:iam::<ACCOUNT_NUMBER>:role/<ROLE>"
    }
  ],
  "first_id": "extkey_xxxx",
  "has_more": false,
  "last_id": "extkey_xxxx"
}

Zweryfikuj klucz zewnętrzny

Tego endpoint możesz użyć do sprawdzenia kilku rzeczy

Twoja zewnętrzna konfiguracja chmury pozostaje prawidłowa w OpenAI po wprowadzeniu zmian (zobaczysz odpowiedź o powodzeniu)
Odwołanie klucza zostało wykonane poprawnie, jest przetwarzane przez OpenAI i zacznie obowiązywać po wygaśnięciu 1-godzinnych czasów TTL pamięci podręcznej (zobaczysz odpowiedź z błędem)

Przykładowe żądanie

curl -X POST -H "Authorization: Bearer $TOKEN"
"https://api.openai.com/v1/organization/external_keys/extkey_xxx/validate"

Przykładowa odpowiedź

{
 "status": "success"
}

Albo błąd zgłoszony przez dostawcę chmury.

Endpoints na poziomie projektu

Utwórz nowy projekt z identyfikatorem klucza zewnętrznego

To ten sam istniejący endpoint Create Project, ale z dodanym parametrem external_key_id w żądaniu i odpowiedzi.

Przykładowe żądanie

curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/projects" \
-d '{
   "name": "Some Project",
   "external_key_id": "extkey_xxxx"
}'

Przykładowa odpowiedź

{
  "object": "project",
  "id": "proj_xxxxx",
  "title": "Some Project",
  "external_key_id": "extkey_xxxxx",
  "created": 1740012721,
  "organization_id": "org-xxxxx",
  "is_initial": false,
  "geography": null,
  "scale_tier_enabled": false,
  "disable_user_api_keys": false,
  "zdr_type": null,
}

[Ograniczone] Zaktualizuj istniejący projekt, dodając identyfikator klucza zewnętrznego

To ten sam istniejący endpoint Update Project, ale z dodanym parametrem external_key_id w żądaniu i odpowiedzi.

Zalecamy tworzenie nowych projektów API dla obciążeń EKM. Jeśli chcesz używać EKM we wszystkich istniejących projektach API, skontaktuj się z opiekunem konta, a dodamy Cię do flagi funkcji. Przed wdrożeniem EKM w istniejących projektach produkcyjnych zapoznaj się z poniższymi dobrymi praktykami.

Najpierw przetestuj wszystkie funkcje API używane w produkcji w testowym projekcie API EKM
Wdrażaj stopniowo zamiast wypełniać EKM we wszystkich produkcyjnych projektach API naraz

Przykładowe żądanie

curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/projects/proj_xxx" \
-d '{
   "external_key_id": "extkey_xxxx"
}'

Wyświetl wszystkie projekty w organizacji

To ten sam istniejący endpoint, ale z dodanym external_key_id w odpowiedzi API

Przykładowe żądanie

curl -X GET \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/projects"

Przykładowa odpowiedź

{
  "object": "list",
  "data": [
    {
      "object": "organization.project",
      "id": "proj_xxxx",
      "name": "Project Name",
      "external_key_id": "extkey_xxxx",
      "created_at": 1717798982,
      "archived_at": null,
      "status": "active"
    }
  ],
  "first_id": "proj_xxxx",
  "last_id": "proj_xxxx",
  "has_more": true
}

EKM (klucze zewnętrzne) w Management API

Podsumowanie

Dostęp

Użycie

Ograniczenia

Endpoints na poziomie organizacji

Zarejestruj klucz zewnętrzny w organizacji

AWS

Przykładowe żądanie

Przykładowa odpowiedź

GCP

Przykładowe żądanie

Przykładowa odpowiedź

Azure

Przykładowe żądanie

Przykładowa odpowiedź

Usuń klucz zewnętrzny zarejestrowany w organizacji

Przykładowe żądanie

Przykładowa odpowiedź

Pobierz klucze zewnętrzne zarejestrowane w organizacji

Przykładowe żądanie

Przykładowa odpowiedź

Zweryfikuj klucz zewnętrzny

Przykładowe żądanie

Przykładowa odpowiedź

Endpoints na poziomie projektu

Utwórz nowy projekt z identyfikatorem klucza zewnętrznego

Przykładowe żądanie

Przykładowa odpowiedź

[Ograniczone] Zaktualizuj istniejący projekt, dodając identyfikator klucza zewnętrznego

Przykładowe żądanie

Wyświetl wszystkie projekty w organizacji

Przykładowe żądanie

Przykładowa odpowiedź

Czy ten artykuł był pomocny?