Pré-requisitos

Este processo pressupõe que a chave KMS externa já foi registrada na OpenAI, conforme descrito em um dos guias correspondentes

• Instruções de integração da OpenAI com AWS EKM

• Instruções de integração da OpenAI com GCP EKM

• Instruções de integração da OpenAI com Azure EKM

Termos-chave

A rotação de chaves e a revogação de chaves atendem a propósitos diferentes. Escolha a ação adequada para seu caso de uso.

• Rotação de chaves: gera novo material criptográfico para criptografar novos dados e mantém a capacidade de descriptografar dados antigos criptografados com chaves anteriores

  • A rotação de chaves não afeta o acesso aos dados na OpenAI

• Revogação de chaves: remove o acesso a todos os dados criptografados com chaves anteriores.

  • A revogação de chaves interrompe o acesso aos dados na OpenAI

Como verificar se sua chave do KMS está sendo usada

Seu provedor de nuvem deve disponibilizar logs:

• AWS - https://docs.aws.amazon.com/pt_br/kms/latest/developerguide/security-logging-monitoring.html

• GCP - https://docs.cloud.google.com/kms/docs/audit-logging?hl=pt-br

• Azure - https://learn.microsoft.com/pt-br/azure/key-vault/general/howto-logging

Como trocar sua chave

Você pode configurar a rotação automática de chaves 

• AWS - https://docs.aws.amazon.com/pt_br/kms/latest/developerguide/rotate-keys.html

• GCP - https://docs.cloud.google.com/kms/docs/rotate-key?hl=pt-br#automatic

• Azure - https://learn.microsoft.com/pt-br/azure/key-vault/keys/how-to-configure-key-rotation

Para testar: o seu acesso aos dados da OpenAI não será afetado por essa mudança

Como revogar sua chave

Existem diferentes formas de revogar o acesso da OpenAI à sua chave. Em geral, qualquer alteração no fluxo de autenticação que remova permissões terá esse efeito, por exemplo:

• Se você revogar o acesso da função da OpenAI à chave do KMS

• Se você remover as permissões de criptografia e descriptografia da chave do KMS

• Se você estiver usando um alias de chave da AWS (não recomendado) e alterar o ARN do KMS subjacente, isso pode causar problemas. Essa ação pode ser confundida com rotação de chaves, mas na prática é uma revogação de chave. Por isso, não é recomendada, a menos que haja certeza da necessidade

• Se você solicitar à OpenAI a atualização do ARN do KMS usado no seu workspace do ChatGPT Enterprise

Para confirmar a revogação da sua chave:

• Aguarde cerca de uma hora para que todas as entradas de cache do lado da OpenAI expirem e, em seguida, teste a revogação

  • Se você estiver usando o ChatGPT Enterprise, após a revogação você não conseguirá mais ler conversas anteriores. A busca por conversas não retornará resultados antigos e você não terá acesso a GPTs personalizados criados anteriormente. 

  • Se você estiver usando a API, não será possível baixar arquivos de lotes anteriores, usar modelos ajustados anteriormente nem fazer referência a respostas anteriores criadas com a Responses API.

• Ainda na API, é possível testar imediatamente se a revogação foi processada pela OpenAI. A mudança deve entrar em vigor em até uma hora

  • Para isso, crie uma chave de API de administrador (não uma chave de API comum): 

  • Obtenha o ID da chave externa da OpenAI (extkey_xxx) associado ao seu workspace ou projeto com curl -X GET -H "Authorization: Bearer $ADMIN_API_KEY" https://api.openai.com/v1/organization/external_keys

  • Em seguida, execute curl -X POST -H "Authorization: Bearer $ADMIN_API_KEY" "https://api.openai.com/v1/organization/external_keys/extkey_xxx/validate"

Melhores práticas para revogação de chaves

Se você estiver usando a API

• Arquive o projeto da API cujos dados foram tornados inacessíveis. Em seguida, configure uma nova chave KMS e crie um novo projeto de API associado a essa nova chave.

• Lembre-se de que não é possível substituir a chave KMS associada a um projeto de API antigo no qual a revogação já foi aplicada. Nesse caso, o projeto antigo deve ser arquivado. Um projeto com chave revogada não deve continuar em uso. A criação de novos projetos pela API é simples, então esse é o fluxo recomendado.

Se você estiver usando o ChatGPT Enterprise

• Entre em contato com o suporte da OpenAI após revogar uma chave.

• A equipe ajudará na configuração de um novo workspace. O workspace antigo não será reutilizado nem atualizado para usar uma nova chave KMS, pois a revogação implica que os dados previamente criptografados com a chave revogada se tornem inacessíveis.