OpenAI
Táto stránka bola strojovo preložená. Prečítaj si pôvodný článok v angličtine.

Pokyny na integráciu OpenAI / Azure EKM

Podrobné pokyny na zriadenie Azure a aktiváciu EKM

Aktualizované: 2 days ago

Prehľad

Enterprise Key Management (EKM) umožňuje OpenAI šifrovať údaje pomocou hlavného kľúča, ktorý ovládate. Aby OpenAI mohlo volať operácie šifrovania/dešifrovania vo vašom Key Vault, budeme potrebovať udelený prístup. Tento dokument ukazuje, ako nastaviť konto Azure, aby OpenAI mohlo prevziať rolu s povoleniami pre Key Vault.

Azure EKM flow where OpenAI EKM uses Microsoft Entra ID to access your Key Vault and master KEK

Kroky

1. Vytvorte vo svojom konte objekt služby pre OpenAI

  1. Získajte prístupový token

az account get-access-token --resource https://graph.microsoft.com
--tenant YOUR_TENANT_ID

  1. Vytvorte objekt služby – hodnota appId v žiadosti nižšie je ID klienta aplikácie OpenAI. Tým sa vytvorí objekt s zobrazovaným názvom „EKM - OpenAI Azure“ – zapamätajte si ho pre ďalšie kroky.

Pokyny na integráciu OpenAI / Azure EKM – vytvorenie objektu služby

curl -X POST https://graph.microsoft.com/v1.0/servicePrincipals \
-H "Authorization: Bearer $TOKEN_FROM_ABOVE" \
-H "Content-Type: application/json" \
–d '{"appId": "20a14814-5ab7-4612-a671-1382b412bf93"}'

2. Vytvorte vlastnú rolu pre obmedzený prístup ku KMS

  1. Prejdite na Predplatné -> Riadenie prístupu (IAM)

  2. V rozbaľovacej ponuke + Pridať vyberte Pridať vlastnú rolu

  3. Prejdite na kartu JSON, kliknite na Upraviť a pridajte nasledujúce:

    1. Ľubovoľný názov roly – zapamätajte si vybratý názov

    2. Nasledujúce povolenia v dataActions:

      1. Microsoft.KeyVault/vaults/keys/encrypt/action

      2. Microsoft.KeyVault/vaults/keys/decrypt/action

      3. Microsoft.KeyVault/vaults/keys/read

OpenAI / Azure EKM Integration Instructions Custom Role

3. Vytvorte Key Vault + kľúč

Ak ho ešte nemáte, vytvorte nový Key Vault v rovnakom predplatnom, v ktorom ste práve vytvorili vlastnú rolu.

V tomto Key Vault vytvorte nový kľúč:

  1. Prejdite na Key Vault -> Objekty -> Kľúče a potom kliknite na Generovať/importovať

  2. V časti Možnosti vyberte Generovať

Azure Key Vault Keys page with Generate/Import highlighted to add a key

  1. Ako šifrovací algoritmus vyberte RSA.

  2. Môžete vybrať ľubovoľnú veľkosť kľúča RSA

  3. Zadajte názov kľúča v nasledujúcom formáte: <org-xxx>--<any_name>, kde org-xxx je ID vašej organizácie OpenAI, ktoré nájdete na https://platform.openai.com/settings/organization/general

Azure Key Vault key generation form with RSA selected and key name org-abcdefg--test-keyvault-key

Ak nemôžete zobraziť alebo vytvoriť kľúč, uistite sa, že máte rolu Key Vault Administrator. Je to potrebné aj vtedy, ak máte rolu Vlastník. Ak chcete rolu priradiť:

  1. Prejdite na Key Vault -> Riadenie prístupu (IAM)

  2. Kliknite na Pridať -> Pridať priradenie roly

Azure Key Vault Access control (IAM) page with Add menu open to Add role assignment

4. Vytvorte priradenie roly pre objekt služby OpenAI + nový vlastný KMS + nový kľúč

  1. Prejdite na Key Vault -> Objekty -> Kľúče a potom kliknite na riadok kľúča, ktorý ste vytvorili

  2. Prejdite na Riadenie prístupu (IAM) pre kľúč, na ktorý ste práve klikli (nie pre svoj trezor kľúčov).

  3. V rozbaľovacej ponuke + Pridať vyberte Pridať priradenie roly

Azure Key Vault Access control (IAM) page with Add menu open to Add role assignment

  1. Na karte Rola vyberte názov vlastnej roly, ktorú ste práve vytvorili.

Azure role list filtered for openai- with the openai-azure-kms-role entry

  1. Na karte Členovia:

    1. Kliknite na „+ Vybrať členov“

    2. Do vyhľadávacieho poľa zadajte „ekm -“; potom by sa mal načítať objekt služby OpenAI, ktorý ste vytvorili v 1. kroku

Azure role assignment Members step with EKM - OpenAI Azure Application selected as a member

5. Uplatnite ďalšie obmedzenia v súlade s vlastnými bezpečnostnými postupmi

Vyššie sú uvedené minimálne požadované informácie, ktoré OpenAI potrebuje na nastavenie EKM. Môžete uplatniť ďalšie politiky kľúčov alebo obmedzenia v súlade s vlastnými internými bezpečnostnými postupmi, pokiaľ OpenAI dokáže volať operácie šifrovania a dešifrovania vo vašom KMS. Keď zavoláte koncový bod registrácie kľúča v OpenAI opísaný nižšie, overíme vaše nastavenie.

Po dokončení vyššie uvedených krokov

ChatGPT Enterprise

Obráťte sa na svoj kontakt v OpenAI a zdieľajte nasledujúce informácie:

  • "tenant_id": "<YOUR_AZURE_TENANT_UUID>"

  • "vault_uri": "https://<YOUR_KEYVAULT_NAME>.vault.azure.net/"

  • "key_name": "<YOUR_KEY_NAME>"

  • Názov hlavného kľúča Azure Key Vault, ktorý spravujete

  • Názov kľúča musí mať tvar <org-xxx>--<any_name>, kde org-xxx je ID vašej organizácie OpenAI, ktoré nájdete na https://platform.openai.com/settings/organization/general

Povolíme EKM pre vašu organizáciu/pracovný priestor ChatGPT.

API

Zaregistrujte svoj externý kľúč v OpenAI

Postupujte podľa pokynov v tejto referenčnej príručke API Externé kľúče v Management API

  • Najprv zaregistrujte svoj externý kľúč na úrovni organizácie OpenAI, čím sa vygeneruje ID externého kľúča v tvare extkey_xxx

  • V tomto kroku overíme, či je váš vstup platný a či sa môžeme autentifikovať voči vášmu KMS.

  • Tým sa EKM ešte nepridá do vášho projektu OpenAI.

# This generates an external key ID of the form extkey_xxx
curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/external_keys" \
-d '{
  "type": "azure",
  "name": "<ANY_FRIENDLY_NAME>",
  "tenant_id": "<YOUR_AZURE_TENANT_UUID>",
  "vault_uri": "https://<YOUR_KEYVAULT_NAME>.vault.azure.net/",
  "key_name": "<YOUR_KEY_NAME>"
}'

  • Potom vytvorte projekt OpenAI priradený k externému kľúču. Potom sa vo vašom projekte aktivuje EKM.

  • Telo odpovede tohto volania API vám poskytne ID projektu (proj_xxx)

curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/projects" \
-d '{
   "name": "Some Project",
   "external_key_id": "extkey_xxxx"
}'

Bol tento článok užitočný?