OpenAI
Táto stránka bola strojovo preložená. Prečítaj si pôvodný článok v angličtine.

Prehľad OpenAI Enterprise Key Management (EKM)

Zistite, ako EKM funguje, ktorí poskytovatelia sú podporovaní a kde začať

Aktualizované: 2 days ago

Prehľad

Enterprise Key Management (EKM) vám umožňuje šifrovať obsah vašich zákazníkov v OpenAI pomocou kľúčov spravovaných vaším vlastným externým systémom správy kľúčov (KMS), ktorý je dostupný pre ChatGPT Enterprise aj API.

OpenAI podporuje šifrovanie Bring Your Own Key (BYOK) s externými účtami v AWS KMS, Google Cloud (GCP) a Azure Key Vault.

V súčasnosti je implementácia EKM obmedzená na pracovné priestory Enterprise a Edu s prideleným zástupcom účtu OpenAI.

Ako funguje šifrovanie OpenAI EKM

Tok na najvyššej úrovni

  1. Vygenerujeme Data Encryption Key (DEK) pre vášho cloudového poskytovateľa.

  2. Váš cloudový KMS spravuje hlavný Key Encryption Key (KEK), uložený buď vo vašom cloude, alebo externe. Implementácia je na vás.

  3. Požiadame váš cloud o zašifrovanie DEK, aby sme získali encrypted DEK (eDEK). Ak je váš KEK uložený externe, váš cloud len vykoná ďalší presun do vášho externého úložiska v kroku, ktorý je pre OpenAI nepriehľadný.

Šifrovanie

Pri šifrovaní sa vaše údaje zašifrujú pomocou DEK a eDEK sa uloží ako metadáta súboru.

EKM encryption flow where OpenAI requests a DEK from your KMS, encrypts data, and stores encrypted data with eDEK

Dešifrovanie

Pri dešifrovaní požiadame o dešifrovanie eDEK vaším cloudovým KMS na DEK a údaje dešifrujeme pomocou DEK.

EKM decryption flow where OpenAI requests a DEK from your KMS to decrypt encrypted data for download

Kľúčové pojmy

  • Data Encryption Key (DEK) – kľúč, ktorý šifruje vaše údaje.

  • Encrypted Data Encryption Key (eDEK) – zašifrovaný DEK vygenerovaný vaším KMS

  • Key Encryption Key (KEK) – hlavný kľúč, ktorý spravujete a ktorý šifruje DEK -> eDEK a dešifruje eDEK -> DEK. Tento kľúč vždy zostáva mimo systémov OpenAI.

Požiadavky na implementáciu na vysokej úrovni

Vo vašom cloudovom poskytovateľovi

  1. Vo svojom cloudovom KMS vytvorte nový kľúč (Azure, AWS alebo GCP)

  2. Vytvorte vlastnú, obmedzenú politiku s oprávneniami Encrypt/Decrypt pre KMS

  3. Pre OpenAI vytvorte politiku dôveryhodnosti (AWS), workload identity (GCP) alebo service principal (pre Azure)

  4. Priraďte OpenAI rolu s obmedzenou politikou na prístup k vášmu KMS

Na platformách OpenAI

ChatGPT Enterprise

Na testovacie účely vytvorte sandboxový pracovný priestor ChatGPT.

API

Na svojom ovládacom paneli OpenAI vytvorte nový projekt, na ktorý sa bude vzťahovať šifrovanie.

Funkcie špecifické pre poskytovateľa

Pre AWS bude OpenAI:

  • volať AssumeRole s ExternalID

Pre GCP bude OpenAI:

  • volať váš koncový bod STS z účtu GCP OpenAI

  • používať prístupový token GCP na volanie encrypt/decrypt vo vašom KMS.

Pre Azure bude OpenAI:

  • požadovať prístupový token pre trezor vášho nájomníka Azure

  • používať tento prístupový token na volanie encrypt/decrypt vo vašom Key Vault.

Informácie, ktoré potrebujete od OpenAI

Autentifikácia

Pre AWS a GCP budete musieť rozpoznávať tokeny federovanej identity OpenAI. V prípade Azure budete musieť rozpoznávať ID aplikácie OpenAI pre registráciu jej aplikácie.

Súhrn parametrov autentifikácie

Hlavný subjekt OpenAI pre AWSarn:aws:iam::790389265272:role/EnterpriseKeyManagement
ID servisného účtu OpenAI pre GCP105900137572174660365
ID aplikácie OpenAI pre Azure20a14814-5ab7-4612-a671-1382b412bf93

Požadované informácie počas implementácie podľa vášho poskytovateľa cloudu

  • Pre AWS musíte nastaviť politiku dôveryhodnosti, ktorá rozpoznáva:

    • Principal OpenAI (číslo účtu + rola)

    • ExternalID, ktoré je ID vášho projektu OpenAI

  • Pre GCP musíte nastaviť identitu pracovnej záťaže, ktorá rozpoznáva:

    • ID účtu služby OpenAI

    • Publikum, ktoré je ID vášho projektu OpenAI

  • Pre Azure musíte vo svojom tenantovi Azure vytvoriť objekt služby pre registráciu aplikácie OpenAI

Autorizácia

Budete musieť vytvoriť politiku, ktorá umožní identite OpenAI získať obmedzený prístup k vášmu KMS.

AWSGCPAzure
kms:Decryptkms:Encryptcloudkms.cryptoKeyVersions.useToDecryptcloudkms.cryptoKeyVersions.useToEncryptMicrosoft.KeyVault/vaults/keys/encrypt/actionMicrosoft.KeyVault/vaults/keys/decrypt/action

Ďalšie

V Azure pri type Key (algoritmus šifrovania kľúča) vyberte RSA, nie EC.

Informácie, ktoré od vás OpenAI potrebuje

Podľa pokynov v tomto dokumente zaregistrujte svoj KMS v OpenAI. Tu je súhrn parametrov, ktoré budete musieť poskytnúť.

  1. Súvisiace s overovaním

    1. AWS

      1. ARN roly IAM – rola, ktorú má OpenAI prevziať (príklad: arn:aws:iam::123456789:role/role-name)

      2. ExternalID – ID vašej organizácie OpenAI

    2. GCP

      1. Číslo projektu Workload Identity (príklad: 123456789)

      2. ID fondu Workload Identity

      3. ID poskytovateľa Workload Identity

      4. Povolené publikum: ID vašej organizácie OpenAI

    3. Azure

      1. ID tenanta

AWSGCPAzure
Súvisiace s overovaním ID tenanta
Súvisiace s KMSARN KMS – (príklad: arn:aws:kms:REGION:ACCOUNT_NUMBER:key:KEY_UUID)ID projektu KMS (príklad: adjective-noun-12345)Názov okruhu kľúčov KMSNázov kľúča KMSUmiestnenie kľúča KMS (príklad: us-east1)URI trezora (príklad: https://your-vault-name.vault.azure.net/)Názov kľúča

Po registrácii svojho KMS v OpenAI pokračujte podľa pokynov v dokumente a aktivujte svoju konfiguráciu EKM v projekte API. Na účely testovania vytvorte nový projekt OpenAI API.

Implementačné príručky podľa poskytovateľa

Podrobný postup nájdete v príslušných odkazoch nižšie. Upozorňujeme, že sa zameriavajú na požiadavky integrácie s OpenAI a nemajú slúžiť ako komplexná príručka k celému vášmu prostrediu

Nepodporované funkcie pri zapnutom EKM

V tomto počiatočnom vydaní nie sú pri zapnutom EKM k dispozícii tieto funkcie:

  • Aplikácie so synchronizáciou

  • Funkcie, ktoré nie sú všeobecne dostupné (t. j. čokoľvek, čo je stále v beta/alpha verzii)

Bol tento článok užitočný?