Pré-requisitos
Este processo pressupõe que a chave KMS externa já foi registrada na OpenAI, conforme descrito em um dos guias correspondentes
Termos-chave
A rotação de chaves e a revogação de chaves atendem a propósitos diferentes. Escolha a ação adequada para seu caso de uso.
Rotação de chaves: gera novo material criptográfico para criptografar novos dados e mantém a capacidade de descriptografar dados antigos criptografados com chaves anteriores
A rotação de chaves não afeta o acesso aos dados da OpenAI.
Revogação de chaves: remove o acesso a todos os dados criptografados com chaves anteriores.
A revogação da chave revoga o acesso aos dados da OpenAI.
Como verificar se sua chave do KMS está sendo usada
Seu provedor de nuvem deve disponibilizar logs:
Como trocar sua chave
Você pode configurar a rotação automática de chaves
AWS - https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html
GCP - https://cloud.google.com/kms/docs/rotate-key#automatic
Azure - https://learn.microsoft.com/en-us/azure/key-vault/keys/how-to-configure-key-rotation
Para testar: o seu acesso aos dados da OpenAI não será afetado por essa mudança
Como revogar sua chave
Existem diferentes formas de revogar o acesso da OpenAI à sua chave. Em geral, qualquer alteração no fluxo de autenticação que remova permissões terá esse efeito, por exemplo:
Se você revogar o acesso da função da OpenAI à chave do KMS
Se você remover as permissões de criptografia e descriptografia da chave do KMS
Se você estiver usando um alias de chave da AWS (não recomendado) e alterar o ARN do KMS subjacente, isso pode causar problemas. Essa ação pode ser confundida com rotação de chaves, mas na prática é uma revogação de chave. Por isso, não é recomendada, a menos que haja certeza da necessidade
Se você solicitar à OpenAI a atualização do ARN do KMS usado no seu workspace do ChatGPT Enterprise
Para confirmar a revogação da sua chave:
Aguarde cerca de uma hora para que todas as entradas de cache do lado da OpenAI expirem e, em seguida, teste a revogação
Se você estiver usando o ChatGPT Enterprise, não poderá mais ler conversas anteriores, a busca por conversas não exibirá resultados de conversas anteriores e você não poderá acessar GPTs personalizados anteriores.
Se você estiver usando a API, não poderá mais baixar arquivos em lote anteriores, usar modelos previamente ajustados ou referenciar respostas anteriores criadas usando a API de Respostas.
Ainda na API, é possível testar imediatamente se a revogação foi processada pela OpenAI. A mudança deve entrar em vigor em até uma hora
Crie uma chave de API de administrador (não uma chave de API normal):
Obtenha o ID da chave externa da OpenAI (extkey_xxx) associada ao seu workspace ou projeto executando o comando curl -X GET -H "Authorization: Bearer $ADMIN_API_KEY" https://api.openai.com/v1/organization/external_keys
Em seguida, execute curl -X POST -H "Authorization: Bearer $ADMIN_API_KEY" "https://api.openai.com/v1/organization/external_keys/extkey_xxx/validate"
Melhores práticas para revogação de chaves
Se você estiver usando a API
Arquive o projeto da API cujos dados foram tornados inacessíveis. Em seguida, configure uma nova chave KMS e crie um novo projeto de API associado a essa nova chave.
Lembre-se de que não é possível substituir a chave KMS associada a um projeto de API antigo no qual a revogação já foi aplicada. Nesse caso, o projeto antigo deve ser arquivado. Um projeto com chave revogada não deve continuar em uso. A criação de novos projetos pela API é simples, então esse é o fluxo recomendado.
Se você estiver usando o ChatGPT Enterprise
Entre em contato com o suporte da OpenAI após revogar uma chave.
A equipe ajudará na configuração de um novo workspace. O workspace antigo não será reutilizado nem atualizado para usar uma nova chave KMS, pois a revogação implica que os dados previamente criptografados com a chave revogada se tornem inacessíveis.