OpenAI
Această pagină a fost tradusă automat. Vezi articolul original în limba engleză.

Instrucțiuni de integrare OpenAI / AWS EKM

Instrucțiuni pas cu pas pentru configurarea AWS și activarea EKM

Actualizat: 15 days ago

Prezentare generală

Enterprise Key Management (EKM) permite OpenAI să cripteze date folosind o cheie principală pe care o controlați. Acest document arată cum să vă configurați contul AWS pentru a acorda OpenAI permisiuni limitate pe KMS-ul dvs.

AWS EKM integration flow between OpenAI EKM Service, your STS, your KMS, and your master KEK

Pași

1. Creați o cheie KMS nouă

  1. Accesați KMS -> Chei gestionate de client, apoi faceți clic pe Creați cheia.

  2. Selectați un algoritm de criptare simetrică.

  3. După ce cheia este creată, notați ARN-ul acesteia. Formatele acceptate includ arn:aws:kms:<region>:<account_number>:key/<uuid>, ...:key/mrk-* sau ...:alias/<alias_name>.

AWS KMS customer managed key details page with key ID and ARN for test-kms

2. Creați o politică personalizată pentru acces limitat la cheia KMS

  1. Accesați IAM -> Politici, apoi faceți clic pe Creați politica.

  2. În pasul Specificați permisiunile, selectați JSON și introduceți următoarele pentru a acorda politicii acțiuni de acces KMS. Asigurați-vă că înlocuiți YOUR_KMS_ARN cu ARN-ul cheii pe care ați creat-o.

AWS IAM Create policy page with Specify permissions open and the JSON policy editor selected
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowEncryptDecrypt",
            "Effect": "Allow",
            "Action": [

                "kms:Decrypt",
                "kms:Encrypt"

            ],
            "Resource": <YOUR_KMS_ARN>
        }
    ]
}

3. Creați un rol IAM pe care OpenAI să îl asume și atribuiți-l politicii cu acces limitat la KMS-ul dvs.

OpenAI va apela AssumeRole dintr-un cont AWS deținut de OpenAI. Acest pas permite principalului AWS al OpenAI să asume rolul limitat pentru accesarea KMS-ului dvs.

  1. Accesați IAM -> Roluri, apoi faceți clic pe Creați rol.

  2. În pasul Selectați entitatea de încredere, selectați Politică de încredere personalizată.

AWS IAM Select trusted entity screen with Custom trust policy selected

Apoi, introduceți următoarele în Politica de încredere personalizată pentru a permite accesul la principalul AWS al OpenAI.

  • Principalul este principalul AWS al OpenAI: arn:aws:iam::790389265272:role/EnterpriseKeyManagement.

  • Indicați ce ExternalId ar trebui să transmită OpenAI în timpul procesului AssumeRole.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::790389265272:role/EnterpriseKeyManagement"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "sts:ExternalId": [
                         <ID_UL_ORGANIZAȚIEI_DVS_OPENAI>,
                     ]
                }
            }
        }
    ]
}

Apoi, în pasul Adăugați permisiuni, căutați numele politicii IAM pe care ați creat-o la pasul anterior. Faceți clic pe caseta de selectare de lângă numele politicii, apoi faceți clic pe Următorul.

AWS IAM Add permissions page filtered to customer managed KMS policies with test-allow-kms-access selected

În cele din urmă, în secțiunea Nume, revizuire și creare, selectați orice nume de rol.

4. Aplicați orice restricții suplimentare în conformitate cu propriile practici de securitate

Mai sus se află informațiile minime necesare de care OpenAI are nevoie pentru a configura EKM. Sunteți liber să aplicați politici de chei sau restricții suplimentare în conformitate cu propriile practici interne de securitate, atât timp cât OpenAI poate apela operațiuni de criptare și decriptare pe KMS-ul dvs. Când apelați punctul final de înregistrare a cheii cu OpenAI descris mai jos, vă vom valida configurarea.

După parcurgerea pașilor de mai sus

ChatGPT Enterprise

Vă rugăm să contactați persoana dvs. de contact de la OpenAI și să partajați următoarele:

  • "role_arn": "arn:aws:iam::<YOUR_AWS_ACCOUNT_NUMBER>:role/<YOUR_ROLE>"

    • ARN-ul rolului pe care OpenAI îl va asuma în cloudul dvs.

  • "kms_arn": "arn:aws:kms:<REGION>:<YOUR_AWS_ACCOUNT_NUMBER>:key/<UUID>"

    • ARN-ul Key Management System pentru cheia principală pe care o gestionați.

Vom activa EKM pentru organizația/spațiul dvs. de lucru ChatGPT.

API

Înregistrați cheia externă la OpenAI

Urmați instrucțiunile din această referință API: Chei externe în API-ul de management.

  1. Mai întâi, înregistrați cheia externă la nivelul organizației OpenAI, ceea ce va genera un ID de cheie externă.

  2. În acest pas, vom valida că datele introduse sunt valide și că ne putem autentifica la KMS-ul dvs.

  3. Acest lucru nu va adăuga încă EKM la proiectul dvs. OpenAI.

curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \

"https://api.openai.com/v1/organization/external_keys" \
-d '{
  "type": "aws",
  "name": "Config AWS EKM",
  "role_arn": "arn:aws:iam::<YOUR_AWS_ACCOUNT_NUMBER>:role/<YOUR_ROLE>",
  "kms_arn": "arn:aws:kms:<REGION>:<YOUR_AWS_ACCOUNT_NUMBER>:key/<UUID>",
  "external_id": <id-ul organizației sau id-ul proiectului>
}'

Apoi, creați un proiect OpenAI asociat cu cheia externă. După aceasta, EKM este activat în proiectul dvs. Corpul răspunsului acestui apel API vă va oferi ID-ul proiectului (proj_xxx).

curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/projects" \
-d '{
   "name": "Un proiect oarecare",

   "external_key_id": "extkey_xxxx"
}'

A fost util acest articol?