Cerințe preliminare
Aceasta presupune că ți-ai înregistrat deja cheia KMS externă la OpenAI, urmând unul dintre aceste ghiduri
Termeni-cheie
Rotația cheii și revocarea cheii au scopuri diferite. Asigură-te că alegi acțiunea corectă pentru cazul tău de utilizare.
Rotația cheii: Generează material criptografic nou pentru criptarea datelor noi, permițând în același timp decriptarea datelor mai vechi criptate cu chei anterioare
Rotația cheii nu afectează accesul la datele OpenAI
Revocarea cheii: Revocă accesul la toate datele criptate cu chei anterioare.
Revocarea cheii revocă accesul la datele OpenAI
Cum să verifici că este utilizată cheia ta KMS
Furnizorul tău de cloud ar trebui să aibă jurnale:
AWS - https://docs.aws.amazon.com/kms/latest/developerguide/security-logging-monitoring.html
Azure - https://learn.microsoft.com/en-us/azure/key-vault/general/howto-logging
Cum să îți rotești cheia
Poți configura rotația automată a cheii
AWS - https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html
GCP - https://cloud.google.com/kms/docs/rotate-key#automatic
Azure - https://learn.microsoft.com/en-us/azure/key-vault/keys/how-to-configure-key-rotation
Pentru a testa: accesul tău la datele OpenAI nu va fi afectat de această modificare
Cum să îți revoci cheia
Există multe moduri de a revoca accesul OpenAI la cheia ta - orice întrerupere în fluxul de autentificare:
Dacă revoci accesul rolului OpenAI la cheia KMS
Dacă elimini permisiunile de criptare/decriptare de pe cheia KMS
Dacă folosești un alias de cheie AWS (nerecomandat), dacă schimbi ARN-ul KMS subiacent. Această acțiune este uneori confundată cu rotația cheii, dar este de fapt o revocare a cheii, deci nu este recomandată decât dacă ești sigur că îți dorești acest lucru.
Dacă soliciți OpenAI să actualizeze ARN-ul KMS utilizat pentru spațiul tău de lucru ChatGPT Enterprise
Pentru a valida revocarea cheii tale:
Așteaptă o oră pentru ca toate intrările din cache să expire la OpenAI, apoi testează revocarea
Dacă folosești ChatGPT Enterprise, nu vei mai putea citi conversațiile anterioare, căutarea în conversații nu va mai afișa rezultate din conversațiile anterioare și nu vei mai putea accesa GPT-urile personalizate anterioare.
Dacă folosești API-ul, nu vei mai putea descărca fișiere batch anterioare, utiliza modele ajustate fin anterioare sau face referire la răspunsuri anterioare create folosind API-ul Responses.
Dacă folosești API-ul, poți de asemenea să testezi imediat că revocarea cheii tale a fost procesată de OpenAI și va intra în vigoare în decurs de o oră
Creează o cheie Admin API (nu o cheie API obișnuită):
Obține ID-ul cheii externe OpenAI (extkey_xxx) asociate cu spațiul tău de lucru sau proiectul tău apelând curl -X GET -H "Authorization: Bearer $ADMIN_API_KEY" https://api.openai.com/v1/organization/external_keys
Acum apelează curl -X POST -H "Authorization: Bearer $ADMIN_API_KEY" "https://api.openai.com/v1/organization/external_keys/extkey_xxx/validate"
Bune practici pentru revocarea cheii
Dacă folosești API-ul
Arhivează proiectul API ale cărui date le-ai făcut inaccesibile. Apoi configurează o nouă cheie KMS și creează un nou proiect API asociat cu noua cheie KMS.
Reține că nu poți înlocui cheia KMS asociată cu vechiul proiect API în care ai executat revocarea cheii - trebuie să arhivezi vechiul proiect. Un proiect în care a fost emisă o revocare a cheii nu ar trebui să rămână în uz. API-ul face foarte ușoară crearea de proiecte noi, așa că folosește această funcție.
Dacă folosești ChatGPT Enterprise
Contactează asistența OpenAI după ce ai executat o revocare a cheii.
Vom colabora cu tine pentru a crea un spațiu de lucru nou. Nu vom reutiliza vechiul spațiu de lucru încercând să-l actualizăm pentru a folosi o nouă cheie KMS. Acest lucru se datorează faptului că, atunci când revocarea cheii funcționează conform proiectării, datele anterioare criptate cu cheia revocată devin inaccesibile.