Prezentare generală
Enterprise Key Management (EKM) permite OpenAI să cripteze date folosind o cheie principală pe care o controlați. Acest document arată cum să vă configurați contul AWS pentru a acorda OpenAI permisiuni limitate pe KMS-ul dvs.

Pași
1. Creați o cheie KMS nouă
Accesați KMS -> Chei gestionate de client, apoi faceți clic pe Creați cheia.
Selectați un algoritm de criptare simetrică.
După ce cheia este creată, notați ARN-ul acesteia. Formatele acceptate includ
arn:aws:kms:<region>:<account_number>:key/<uuid>,...:key/mrk-*sau...:alias/<alias_name>.

2. Creați o politică personalizată pentru acces limitat la cheia KMS
Accesați IAM -> Politici, apoi faceți clic pe Creați politica.
În pasul Specificați permisiunile, selectați JSON și introduceți următoarele pentru a acorda politicii acțiuni de acces KMS. Asigurați-vă că înlocuiți YOUR_KMS_ARN cu ARN-ul cheii pe care ați creat-o.

{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowEncryptDecrypt",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:Encrypt"
],
"Resource": <YOUR_KMS_ARN>
}
]
}3. Creați un rol IAM pe care OpenAI să îl asume și atribuiți-l politicii cu acces limitat la KMS-ul dvs.
OpenAI va apela AssumeRole dintr-un cont AWS deținut de OpenAI. Acest pas permite principalului AWS al OpenAI să asume rolul limitat pentru accesarea KMS-ului dvs.
Accesați IAM -> Roluri, apoi faceți clic pe Creați rol.
În pasul Selectați entitatea de încredere, selectați Politică de încredere personalizată.

Apoi, introduceți următoarele în Politica de încredere personalizată pentru a permite accesul la principalul AWS al OpenAI.
Principalul este principalul AWS al OpenAI:
arn:aws:iam::790389265272:role/EnterpriseKeyManagement.Indicați ce ExternalId ar trebui să transmită OpenAI în timpul procesului
AssumeRole.Pentru ChatGPT sau API, utilizați ID-ul organizației (org-xxx) asociat cu spațiul dvs. de lucru: https://platform.api.openai.org/settings/organization/general.
Pentru API, puteți utiliza un anumit ID de proiect API pentru mai multă granularitate.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::790389265272:role/EnterpriseKeyManagement"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"sts:ExternalId": [
<ID_UL_ORGANIZAȚIEI_DVS_OPENAI>,
]
}
}
}
]
}Apoi, în pasul Adăugați permisiuni, căutați numele politicii IAM pe care ați creat-o la pasul anterior. Faceți clic pe caseta de selectare de lângă numele politicii, apoi faceți clic pe Următorul.

În cele din urmă, în secțiunea Nume, revizuire și creare, selectați orice nume de rol.
4. Aplicați orice restricții suplimentare în conformitate cu propriile practici de securitate
Mai sus se află informațiile minime necesare de care OpenAI are nevoie pentru a configura EKM. Sunteți liber să aplicați politici de chei sau restricții suplimentare în conformitate cu propriile practici interne de securitate, atât timp cât OpenAI poate apela operațiuni de criptare și decriptare pe KMS-ul dvs. Când apelați punctul final de înregistrare a cheii cu OpenAI descris mai jos, vă vom valida configurarea.
După parcurgerea pașilor de mai sus
ChatGPT Enterprise
Vă rugăm să contactați persoana dvs. de contact de la OpenAI și să partajați următoarele:
"role_arn": "arn:aws:iam::<YOUR_AWS_ACCOUNT_NUMBER>:role/<YOUR_ROLE>"ARN-ul rolului pe care OpenAI îl va asuma în cloudul dvs.
"kms_arn": "arn:aws:kms:<REGION>:<YOUR_AWS_ACCOUNT_NUMBER>:key/<UUID>"ARN-ul Key Management System pentru cheia principală pe care o gestionați.
Vom activa EKM pentru organizația/spațiul dvs. de lucru ChatGPT.
API
Înregistrați cheia externă la OpenAI
Urmați instrucțiunile din această referință API: Chei externe în API-ul de management.
Mai întâi, înregistrați cheia externă la nivelul organizației OpenAI, ceea ce va genera un ID de cheie externă.
În acest pas, vom valida că datele introduse sunt valide și că ne putem autentifica la KMS-ul dvs.
Acest lucru nu va adăuga încă EKM la proiectul dvs. OpenAI.
curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/external_keys" \
-d '{
"type": "aws",
"name": "Config AWS EKM",
"role_arn": "arn:aws:iam::<YOUR_AWS_ACCOUNT_NUMBER>:role/<YOUR_ROLE>",
"kms_arn": "arn:aws:kms:<REGION>:<YOUR_AWS_ACCOUNT_NUMBER>:key/<UUID>",
"external_id": <id-ul organizației sau id-ul proiectului>
}'Apoi, creați un proiect OpenAI asociat cu cheia externă. După aceasta, EKM este activat în proiectul dvs. Corpul răspunsului acestui apel API vă va oferi ID-ul proiectului (proj_xxx).
curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/projects" \
-d '{
"name": "Un proiect oarecare",
"external_key_id": "extkey_xxxx"
}'