OpenAI
Táto stránka bola strojovo preložená. Prečítaj si pôvodný článok v angličtine.

Pokyny na integráciu OpenAI / AWS EKM

Podrobný návod na zriadenie AWS a aktiváciu EKM

Aktualizované: 2 days ago

Prehľad

Enterprise Key Management (EKM) umožňuje OpenAI šifrovať údaje pomocou hlavného kľúča, ktorý ovládate. Tento dokument ukazuje, ako nastaviť váš účet AWS tak, aby OpenAI získala obmedzené povolenia vo vašom KMS.

AWS EKM integration flow between OpenAI EKM Service, your STS, your KMS, and your master KEK

Kroky

1. Vytvorte nový kľúč KMS

  1. Prejdite na KMS -> Kľúče spravované zákazníkom a potom kliknite na Vytvoriť kľúč.

  2. Vyberte symetrický šifrovací algoritmus.

  3. Po vytvorení kľúča si poznačte jeho ARN. Podporované formáty zahŕňajú arn:aws:kms:<region>:<account_number>:key/<uuid>, ...:key/mrk-* alebo ...:alias/<alias_name>.

AWS KMS customer managed key details page with key ID and ARN for test-kms

2. Vytvorte vlastnú politiku na obmedzený prístup ku kľúču KMS

  1. Prejdite na IAM -> Politiky a potom kliknite na Vytvoriť politiku.

  2. V kroku Zadať povolenia vyberte JSON a zadajte nasledovné, aby politika získala akcie prístupu ku KMS. Uistite sa, že YOUR_KMS_ARN nahradíte ARN kľúča, ktorý ste vytvorili.

AWS IAM Create policy page with Specify permissions open and the JSON policy editor selected
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowEncryptDecrypt",
            "Effect": "Allow",
            "Action": [

                "kms:Decrypt",
                "kms:Encrypt"

            ],
            "Resource": <YOUR_KMS_ARN>
        }
    ]
}

3. Vytvorte rolu IAM, ktorú môže OpenAI prevziať, a priraďte ju k politike s obmedzeným prístupom k vášmu KMS

OpenAI zavolá AssumeRole z účtu AWS vlastneného spoločnosťou OpenAI. Tento krok umožní principálovi AWS spoločnosti OpenAI prevziať obmedzenú rolu na prístup k vášmu KMS.

  1. Prejdite na IAM -> Roly a potom kliknite na Vytvoriť rolu.

  2. V kroku Vybrať dôveryhodnú entitu vyberte Vlastná politika dôveryhodnosti.

AWS IAM Select trusted entity screen with Custom trust policy selected

Potom do vlastnej politiky dôveryhodnosti zadajte nasledovné, aby ste povolili prístup principálovi AWS spoločnosti OpenAI.

  • Principál je principál AWS spoločnosti OpenAI: arn:aws:iam::790389265272:role/EnterpriseKeyManagement.

  • Uveďte, ktoré ExternalId má OpenAI odovzdať počas procesu AssumeRole.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::790389265272:role/EnterpriseKeyManagement"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "sts:ExternalId": [
                         <VAŠE_OPENAI_ORGANIZATION_ID>,
                     ]
                }
            }
        }
    ]
}

Potom v kroku Pridať povolenia vyhľadajte názov politiky IAM, ktorú ste vytvorili v predchádzajúcom kroku. Kliknite na začiarkavacie políčko vedľa názvu politiky a potom kliknite na Ďalej.

AWS IAM Add permissions page filtered to customer managed KMS policies with test-allow-kms-access selected

Nakoniec v časti Názov, kontrola a vytvorenie vyberte ľubovoľný názov roly.

4. Použite akékoľvek ďalšie obmedzenia v súlade s vlastnými bezpečnostnými postupmi

Vyššie sú uvedené minimálne požadované informácie, ktoré OpenAI potrebuje na nastavenie EKM. Môžete použiť ďalšie politiky kľúčov alebo obmedzenia v súlade s vlastnými internými bezpečnostnými postupmi, pokiaľ OpenAI dokáže volať operácie šifrovania a dešifrovania vo vašom KMS. Keď zavoláte koncový bod registrácie kľúča s OpenAI, ktorý je opísaný nižšie, overíme vaše nastavenie.

Po dokončení vyššie uvedených krokov

ChatGPT Enterprise

Obráťte sa na svoj kontakt v OpenAI a zdieľajte nasledujúce údaje:

  • "role_arn": "arn:aws:iam::<YOUR_AWS_ACCOUNT_NUMBER>:role/<YOUR_ROLE>"

    • ARN roly, ktorú OpenAI prevezme vo vašom cloude.

  • "kms_arn": "arn:aws:kms:<REGION>:<YOUR_AWS_ACCOUNT_NUMBER>:key/<UUID>"

    • ARN systému správy kľúčov pre hlavný kľúč, ktorý spravujete.

Povolíme EKM pre vašu organizáciu/pracovný priestor ChatGPT.

API

Zaregistrujte svoj externý kľúč v OpenAI

Postupujte podľa pokynov v tejto referencii API: Externé kľúče v Management API.

  1. Najprv zaregistrujte svoj externý kľúč na úrovni organizácie OpenAI, čím sa vygeneruje ID externého kľúča.

  2. V tomto kroku overíme, že váš vstup je platný a že sa môžeme autentifikovať vo vašom KMS.

  3. Tým sa zatiaľ EKM nepridá do vášho projektu OpenAI.

curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \

"https://api.openai.com/v1/organization/external_keys" \
-d '{
  "type": "aws",
  "name": "Konfigurácia AWS EKM",
  "role_arn": "arn:aws:iam::<YOUR_AWS_ACCOUNT_NUMBER>:role/<YOUR_ROLE>",
  "kms_arn": "arn:aws:kms:<REGION>:<YOUR_AWS_ACCOUNT_NUMBER>:key/<UUID>",
  "external_id": <ID vašej organizácie alebo projektu>
}'

Potom vytvorte projekt OpenAI priradený k externému kľúču. Potom bude EKM aktivované vo vašom projekte. Telo odpovede tohto volania API vám poskytne ID projektu (proj_xxx).

curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/projects" \
-d '{
   "name": "Nejaký projekt",

   "external_key_id": "extkey_xxxx"
}'

Bol tento článok užitočný?