Pré-requisitos
Isto pressupõe que já registou a sua chave KMS externa na OpenAI, seguindo um destes guias
Termos-chave
A rotação de chaves e a revogação de chaves têm finalidades diferentes. Certifique-se de que escolhe a ação correta para o seu caso de utilização.
Rotação de chaves: gerar novo material criptográfico para encriptar novos dados, permitindo ao mesmo tempo desencriptar dados antigos encriptados com chaves anteriores
A rotação de chaves não afeta o acesso aos dados da OpenAI
Revogação de chaves: revogar o acesso a todos os dados encriptados com chaves anteriores.
A revogação de chaves revoga o acesso aos dados da OpenAI
Como verificar se a sua chave KMS está a ser utilizada
O seu fornecedor de cloud deve ter registos:
Como rodar a sua chave
Pode configurar a rotação automática de chaves
AWS - https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html
GCP - https://cloud.google.com/kms/docs/rotate-key#automatic
Azure - https://learn.microsoft.com/en-us/azure/key-vault/keys/how-to-configure-key-rotation
Para testar: o seu acesso aos dados da OpenAI não será afetado por esta alteração
Como revogar a sua chave
Há muitas formas de revogar o acesso da OpenAI à sua chave - qualquer interrupção no fluxo de autenticação:
Se revogar o acesso da função da OpenAI à chave KMS
Se remover as permissões de encriptação/desencriptação na chave KMS
Se estiver a utilizar um alias de chave da AWS (não recomendado), caso altere o ARN KMS subjacente. Esta ação é por vezes confundida com a rotação de chaves, mas é na verdade uma revogação de chave, pelo que não é recomendada a menos que tenha a certeza de que é isso que pretende.
Se pedir à OpenAI para atualizar o ARN KMS utilizado no seu espaço de trabalho do ChatGPT Enterprise
Para validar a revogação da sua chave:
Aguarde uma hora para que todas as entradas em cache expirem do lado da OpenAI e, em seguida, teste a revogação
Se estiver a utilizar o ChatGPT Enterprise, deixará de conseguir ler conversas anteriores, a pesquisa de conversas não mostrará resultados de conversas anteriores e não conseguirá aceder a GPTs personalizados anteriores.
Se estiver a utilizar a API, deixará de conseguir transferir ficheiros em lote anteriores, usar modelos afinados anteriores ou referenciar respostas anteriores criadas com a Responses API.
Se estiver a utilizar a API, também pode testar imediatamente se a revogação da sua chave foi processada pela OpenAI e entrará em vigor dentro de uma hora
Crie uma chave da API de administrador (não uma chave de API normal):
Obtenha o ID da chave externa da OpenAI (extkey_xxx) associada ao seu espaço de trabalho ou projeto chamando curl -X GET -H "Authorization: Bearer $ADMIN_API_KEY" https://api.openai.com/v1/organization/external_keys
Agora chame curl -X POST -H "Authorization: Bearer $ADMIN_API_KEY" "https://api.openai.com/v1/organization/external_keys/extkey_xxx/validate"
Boas práticas com a revogação de chaves
Se estiver a utilizar a API
Arquive o projeto da API cujos dados tornou inacessíveis. Em seguida, configure uma nova chave KMS e crie um novo projeto de API associado à nova chave KMS.
Note que não pode trocar a chave KMS associada ao projeto de API antigo onde executou a revogação da chave - tem de arquivar o projeto antigo. Um projeto em que tenha sido emitida uma revogação de chave não deve continuar a ser utilizado. A API torna muito fácil criar novos projetos, por isso utilize essa funcionalidade.
Se estiver a utilizar o ChatGPT Enterprise
Contacte o suporte da OpenAI depois de ter executado uma revogação de chave.
Trabalharemos consigo para criar um novo espaço de trabalho. Não reutilizaremos o espaço de trabalho antigo tentando atualizá-lo para usar uma nova chave KMS. Isto acontece porque, quando a revogação de chave funciona conforme previsto, os dados anteriores encriptados com a chave revogada ficam inacessíveis.