OpenAI
Táto stránka bola strojovo preložená. Prečítaj si pôvodný článok v angličtine.

Pokyny na integráciu OpenAI / GCP EKM

Pokyny krok za krokom na zriadenie GCP a aktiváciu EKM

Aktualizované: 2 days ago

Prehľad

Enterprise Key Management (EKM) umožňuje OpenAI šifrovať údaje pomocou hlavného kľúča, ktorý ovládate vy. Tento dokument ukazuje, ako nastaviť účet GCP tak, aby ste OpenAI udelili obmedzené povolenia pre váš KMS.

Diagram of OpenAI GCP EKM integration flow using STS token exchange and KMS encrypt or decrypt requests

Kroky

1. Vytvorte federovanú identitu pre OpenAI

OpenAI bude vydávať token identity z účtu GCP vlastneného spoločnosťou OpenAI, ktorý vyzerá približne takto.

  • Hodnoty azp a sub sú ID servisného účtu OpenAI v GCP

  • Hodnota aud je ID vašej organizácie OpenAI. Môžete vybrať aj iné publikum, napríklad ID svojho projektu OpenAI – pozrite si pokyny nižšie

{
  "aud": "org-xxxx",
  "azp": "105900137572174660365",
  "exp": 1747876928,
  "iat": 1747873328,
  "iss": "https://accounts.google.com",
  "sub": "105900137572174660365"
}

Tento krok rozpozná tvrdenia uvedené v danom tokene identity a umožní vášmu GCP STS vydať prístupový token, keď sa tento token identity poskytne.

  1. Prejdite na IAM & správca -> Federácia identity pracovnej záťaže a kliknite na Vytvoriť fond

GCP IAM & Admin with Workload Identity Federation selected

  1. V kroku Vytvoriť fond identity zadajte ľubovoľný názov fondu.

  1. V kroku Pridať poskytovateľa do fondu:

  1. V časti Vybrať poskytovateľa vyberte OpenID Connect (OIDC)

  2. Zadajte ľubovoľný názov poskytovateľa.

  3. V časti Vydavateľ (URL) zadajte https://accounts.google.com

  4. V časti Publiká

  1. Vyberte Povolené publiká

  2. Zadajte publikum, ktoré má OpenAI uviesť, keď vám odovzdáme token.

  1. Pre ChatGPT alebo API: môžete zadať ID organizácie OpenAI API (org-xxx)

  2. Pre API: môžete zadať konkrétne ID projektu API pre väčšiu granularitu.

GCP Workload Identity Provider edit page with Allowed audiences selected and Audience 1 entered

  1. V časti Mapovanie atribútov

  1. pre google.subject zadajte assertion.sub

Google Cloud attribute mapping with Google 1 google.subject mapped to OIDC 1 assertion.sub

  1. V časti Podmienky atribútov

  1. Teraz by ste mali vidieť svoj fond identity pracovnej záťaže a poskytovateľa identity pracovnej záťaže uvedené na stránke https://console.cloud.google.com/iam-admin/workload-identity-pools

  1. ID fondu identity pracovnej záťaže

GCP Workload Identity Pools page highlighting the provider ID value needed for OpenAI EKM setup

  1. ID poskytovateľa identity pracovnej záťaže

GCP Workload Identity Provider edit page with the provider ID field highlighted

2. Uistite sa, že KMS je povolený

Prejdite na https://console.developers.google.com/apis/api/cloudkms.googleapis.com/overview a povoľte KMS. Nemusíte vytvárať svoj KMS v tom istom projekte GCP, v ktorom ste rozpoznali federovanú identitu OpenAI; ak sa však projekty líšia, produkt KMS musí byť aspoň povolený v oboch projektoch.

3. Vytvorte nový kľúč KMS

  1. Prejdite na Zabezpečenie -> Ochrana údajov > Správa kľúčov

  2. Na karte Prehľad kliknite na Vytvoriť zväzok kľúčov

  1. Vyberte ľubovoľný názov pre svoj zväzok kľúčov

  2. Pre účel a algoritmus vyberte Symetrické šifrovanie/dešifrovanie

GCP Key Management Overview page with the Create Key Ring button highlighted

  1. Po vytvorení zväzku kľúčov by sa mal zobraziť na karte Zväzky kľúčov. Kliknite na zväzok kľúčov.

  2. V podrobnostiach zväzku kľúčov kliknite na Vytvoriť kľúč

  1. Vyberte ľubovoľný názov pre svoj kľúč

4. Vytvorte obmedzenú rolu pre operácie šifrovania/dešifrovania v KMS

  1. Prejdite na IAM & správca -> Roly -> Vytvoriť rolu

  2. Zadajte ľubovoľný názov a ID roly

  3. Kliknite na Pridať povolenia a potom pridajte nasledujúce

  1. cloudkms.cryptoKeyVersions.useToDecrypt

  2. cloudkms.cryptoKeyVersions.useToEncrypt

5. Priraďte federovanú identitu OpenAI k obmedzenej role KMS pre operácie šifrovania/dešifrovania

  1. Prejdite na Zabezpečenie -> Ochrana údajov > Správa kľúčov

  2. Kliknite na názov svojho zväzku kľúčov a potom kliknite na názov kľúča, aby ste sa dostali na stránku s podrobnosťami o kľúči.

  1. Kliknite na kartu Povolenia a potom kliknite na tlačidlo Udeliť prístup

Google Cloud KMS key details page with Permissions tab open and Grant Access highlighted

  1. Priraďte federovanú identitu OpenAI k vlastnej role, ktorú ste predtým vytvorili

  1. V časti Pridať hlavné objekty zadajte principal://iam.googleapis.com/projects/<YOUR_GCP_PROJECT_NUMBER>/locations/global/workloadIdentityPools/<YOUR_GCP_WORKLOAD_IDENTITY_POOL>/subject/105900137572174660365

  1. V časti Priradiť roly vyberte vlastnú rolu, ktorú ste vytvorili v predchádzajúcom kroku pre obmedzené povolenia EKM

6. Uplatnite ďalšie obmedzenia v súlade s vašimi bezpečnostnými postupmi

Vyššie sú uvedené minimálne požadované informácie, ktoré OpenAI potrebuje na nastavenie EKM. Môžete uplatniť ďalšie zásady kľúčov alebo obmedzenia v súlade s vlastnými internými bezpečnostnými postupmi, pokiaľ OpenAI dokáže volať operácie šifrovania a dešifrovania vo vašom KMS. Keď zavoláte koncový bod registrácie kľúča s OpenAI opísaný nižšie, overíme vaše nastavenie.

Po dokončení uvedených krokov

ChatGPT Enterprise

Obráťte sa na svoj kontakt v OpenAI a zdieľajte nasledujúce:

  • "workload_identity_project_number": "123456789012",

  • "workload_identity_pool_id": "openai-azure",

  • "workload_identity_provider_id": "openai-ekm-service-role",

  • "kms_project_id": "adjective-noun-12345",

  • "kms_key_name": "openai-kms-key",

  • "kms_key_ring_name": "openai-kms-key-ring",

  • "kms_key_location": "us-east1"

  • Región, v ktorom sa nachádza hlavný kľúč vášho systému správy kľúčov

EKM povolíme pre vašu organizáciu/pracovný priestor ChatGPT.

API

Zaregistrujte svoj externý kľúč v OpenAI

Postupujte podľa pokynov v tejto referenčnej dokumentácii API Externé kľúče v Management API

  • Najprv zaregistrujte svoj externý kľúč na úrovni organizácie OpenAI, čím sa vygeneruje ID externého kľúča.

  • V tomto kroku overíme vaše nastavenie v GCP tým, že skontrolujeme, či sa vieme autentifikovať vo vašom KMS.

  • Tým sa EKM ešte nepridá do vášho projektu OpenAI.

curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/external_keys" \
-d '{
   "type": "gcp",
   "name": "GCP EKM Config",
   "workload_identity_project_number": "123456789012",
   "workload_identity_pool_id": "openai-azure",
   "workload_identity_provider_id": "openai-ekm-service-role",
   "audience": <ID vašej organizácie alebo projektu>,
   "kms_project_id": "adjective-noun-12345",
   "kms_key_name": "openai-kms-key",
   "kms_key_ring_name": "openai-kms-key-ring",
   "kms_key_location": "us-east1"
}'

Potom vytvorte projekt OpenAI priradený k externému kľúču. Následne sa vo vašom projekte aktivuje EKM.

curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/projects" \
-d '{
   "name": "Some Project",

   "external_key_id": "extkey_xxxx"

}'

Bol tento článok užitočný?