Cerințe preliminare
Aceasta presupune că v-ați înregistrat deja cheia KMS externă la OpenAI, urmând unul dintre aceste ghiduri
Termeni-cheie
Rotația cheii și revocarea cheii servesc scopuri diferite. Asigurați-vă că alegeți acțiunea corectă pentru cazul dvs. de utilizare.
Rotația cheii: generați material criptografic nou pentru criptarea datelor noi, permițând în același timp decriptarea datelor mai vechi criptate cu chei anterioare
Rotația cheii nu afectează accesul la datele OpenAI
Revocarea cheii: revocați accesul la toate datele criptate cu chei anterioare.
Revocarea cheii revocă accesul la datele OpenAI
Cum să verificați dacă este utilizată cheia dvs. KMS
Furnizorul dvs. de cloud ar trebui să aibă jurnale:
Cum să vă rotiți cheia
Puteți configura rotația automată a cheii
AWS - https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html
GCP - https://cloud.google.com/kms/docs/rotate-key#automatic
Azure - https://learn.microsoft.com/en-us/azure/key-vault/keys/how-to-configure-key-rotation
Pentru testare: accesul dvs. la datele OpenAI nu va fi afectat de această modificare
Cum să vă revocați cheia
Există multe modalități de a revoca accesul OpenAI la cheia dvs. - orice întrerupere a fluxului de autentificare:
Dacă revocați accesul rolului OpenAI la cheia KMS
Dacă eliminați permisiunile de criptare/decriptare pentru cheia KMS
Dacă utilizați un alias de cheie AWS (nerecomandat), dacă schimbați ARN-ul KMS subiacent. Această acțiune este uneori confundată cu rotația cheii, dar este de fapt o revocare a cheii, deci nu este recomandată decât dacă sunteți sigur că doriți acest lucru.
Dacă solicitați ca OpenAI să actualizeze ARN-ul KMS utilizat pentru spațiul dvs. de lucru ChatGPT Enterprise
Pentru a valida revocarea cheii:
Așteptați o oră pentru ca toate intrările din cache să expire la OpenAI, apoi testați revocarea
Dacă utilizați ChatGPT Enterprise, nu veți mai putea citi conversațiile anterioare, căutarea în conversații nu va afișa rezultate din conversațiile anterioare și nu veți mai putea accesa GPT-urile personalizate anterioare.
Dacă utilizați API-ul, nu veți mai putea descărca fișiere batch anterioare, utiliza modele reglate fin anterioare sau face referire la răspunsuri anterioare create folosind Responses API.
Dacă utilizați API-ul, puteți testa și imediat că revocarea cheii dvs. a fost procesată de OpenAI și va intra în vigoare în decurs de o oră
Creați o cheie Admin API (nu o cheie API normală):
Obțineți ID-ul cheii externe OpenAI (extkey_xxx) asociate cu spațiul dvs. de lucru sau cu proiectul dvs. apelând curl -X GET -H "Authorization: Bearer $ADMIN_API_KEY" https://api.openai.com/v1/organization/external_keys
Acum apelați curl -X POST -H "Authorization: Bearer $ADMIN_API_KEY" "https://api.openai.com/v1/organization/external_keys/extkey_xxx/validate"
Cele mai bune practici privind revocarea cheilor
Dacă utilizați API-ul
Arhivați proiectul API ale cărui date le-ați făcut inaccesibile. Apoi, configurați o nouă cheie KMS și creați un nou proiect API asociat cu noua cheie KMS.
Rețineți că nu puteți schimba cheia KMS asociată cu vechiul proiect API în care ați executat revocarea cheii - trebuie să arhivați vechiul proiect. Un proiect pentru care s-a emis o revocare a cheii nu ar trebui să rămână în uz. API-ul facilitează foarte mult crearea de proiecte noi, așadar folosiți această funcție.
Dacă utilizați ChatGPT Enterprise
Contactați asistența OpenAI după ce ați executat o revocare a cheii.
Vom colabora cu dvs. pentru a lansa un nou spațiu de lucru. Nu vom reutiliza vechiul spațiu de lucru încercând să îl actualizăm pentru a folosi o nouă cheie KMS. Aceasta deoarece, atunci când revocarea cheii funcționează conform proiectării, datele anterioare criptate cu cheia revocată devin inaccesibile.