Kompleksowe wskazówki dotyczące cyklu życia klucza KMS, od kontroli konfiguracji po czyszczenie po unieważnieniu

Wymagania wstępne

Zakłada się, że masz już zarejestrowany swój zewnętrzny klucz KMS w OpenAI, zgodnie z jednym z tych przewodników

Kluczowe pojęcia

Rotacja klucza i unieważnienie klucza służą różnym celom. Upewnij się, że wybierasz właściwe działanie dla swojego przypadku użycia.

Rotacja klucza: Wygenerowanie nowego materiału kryptograficznego do szyfrowania nowych danych, przy jednoczesnym umożliwieniu odszyfrowywania starszych danych zaszyfrowanych poprzednimi kluczami
- Rotacja klucza nie wpływa na dostęp do danych OpenAI
Unieważnienie klucza: Cofnięcie dostępu do wszystkich danych zaszyfrowanych poprzednimi kluczami.
- Unieważnienie klucza cofa dostęp do danych OpenAI

Twój dostawca chmury powinien mieć logi:

Możesz skonfigurować automatyczną rotację klucza

Aby to przetestować: Twój dostęp do danych OpenAI pozostanie bez zmian

Istnieje wiele sposobów na cofnięcie OpenAI dostępu do Twojego klucza — każde zakłócenie w przepływie uwierzytelniania:

Jeśli cofniesz roli OpenAI dostęp do klucza KMS
Jeśli usuniesz uprawnienia szyfrowania/odszyfrowywania dla klucza KMS
Jeśli używasz aliasu klucza AWS (niezalecane), jeśli przełączysz bazowy ARN KMS. To działanie bywa mylone z rotacją klucza, ale w rzeczywistości jest unieważnieniem klucza, dlatego nie jest zalecane, chyba że masz pewność, że tego chcesz.
Jeśli poprosisz OpenAI o zaktualizowanie ARN KMS używanego dla Twojej przestrzeni roboczej ChatGPT Enterprise

Aby zweryfikować unieważnienie klucza:

Odczekaj godzinę, aż wszystkie wpisy pamięci podręcznej po stronie OpenAI wygasną, a następnie przetestuj unieważnienie
- Jeśli używasz ChatGPT Enterprise, nie będziesz już mieć możliwości odczytu poprzednich rozmów, wyszukiwanie rozmów nie będzie pokazywać wyników z poprzednich rozmów i nie będziesz mieć dostępu do wcześniejszych niestandardowych GPT.
- Jeśli używasz API, nie będziesz już mieć możliwości pobierania wcześniejszych plików wsadowych, używania wcześniej dostrojonych modeli ani odwoływania się do wcześniejszych odpowiedzi utworzonych przy użyciu Responses API.
Jeśli używasz API, możesz też od razu sprawdzić, czy unieważnienie klucza zostało przetworzone przez OpenAI i zacznie obowiązywać w ciągu godziny
- Utwórz klucz Admin API (nie zwykły klucz API):
- Pobierz identyfikator zewnętrznego klucza OpenAI (extkey_xxx) powiązany z Twoją przestrzenią roboczą lub projektem, wywołując curl -X GET -H "Authorization: Bearer $ADMIN_API_KEY" https://api.openai.com/v1/organization/external_keys
- Następnie wywołaj curl -X POST -H "Authorization: Bearer $ADMIN_API_KEY" "https://api.openai.com/v1/organization/external_keys/extkey_xxx/validate"

Jeśli używasz API

Zarchiwizuj projekt API, którego dane zostały przez Ciebie uczynione niedostępnymi. Następnie skonfiguruj nowy klucz KMS i utwórz nowy projekt API powiązany z nowym kluczem KMS.
Pamiętaj, że nie możesz podmienić klucza KMS powiązanego ze starym projektem API, w którym wykonano unieważnienie klucza — musisz zarchiwizować stary projekt. Projekt, w którym wydano unieważnienie klucza, nie powinien pozostać w użyciu. API bardzo ułatwia tworzenie nowych projektów, więc korzystaj z tej funkcji.

Jeśli używasz ChatGPT Enterprise

Skontaktuj się z pomocą techniczną OpenAI po wykonaniu unieważnienia klucza.
Będziemy współpracować z Tobą, aby uruchomić nową przestrzeń roboczą. Nie będziemy ponownie używać starej przestrzeni roboczej, próbując zaktualizować ją tak, aby używała nowego klucza KMS. Dzieje się tak dlatego, że gdy unieważnienie klucza działa zgodnie z założeniami, wcześniejsze dane zaszyfrowane unieważnionym kluczem stają się niedostępne.