Predpoklady

Predpokladá sa, že ste už zaregistrovali svoj externý kľúč KMS v OpenAI podľa jedného z týchto návodov

• Pokyny na integráciu OpenAI / AWS EKM

• Pokyny na integráciu OpenAI / GCP EKM

• Pokyny na integráciu OpenAI / Azure EKM

Kľúčové pojmy

Rotácia kľúča a odvolanie kľúča slúžia na rôzne účely. Uistite sa, že pre svoj prípad použitia zvolíte správnu akciu.

• Rotácia kľúča: Vygenerovanie nového kryptografického materiálu na šifrovanie nových údajov pri zachovaní možnosti dešifrovať staršie údaje zašifrované predchádzajúcimi kľúčmi

  • Rotácia kľúča nemá vplyv na prístup k údajom OpenAI

• Odvolanie kľúča: Odvolanie prístupu ku všetkým údajom zašifrovaným predchádzajúcimi kľúčmi.

  • Odvolanie kľúča odvolá prístup k údajom OpenAI

Ako overiť, že sa používa váš kľúč KMS

Váš poskytovateľ cloudu by mal mať protokoly:

• AWS – https://docs.aws.amazon.com/kms/latest/developerguide/security-logging-monitoring.html

• GCP – https://cloud.google.com/kms/docs/audit-logging

• Azure – https://learn.microsoft.com/en-us/azure/key-vault/general/howto-logging

Ako rotovať kľúč

Môžete nastaviť automatickú rotáciu kľúča

• AWS – https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html

• GCP – https://cloud.google.com/kms/docs/rotate-key#automatic

• Azure – https://learn.microsoft.com/en-us/azure/key-vault/keys/how-to-configure-key-rotation

Na otestovanie: váš prístup k údajom OpenAI nebude touto zmenou ovplyvnený

Ako odvolať kľúč

Existuje mnoho spôsobov, ako odvolať prístup OpenAI k vášmu kľúču – akékoľvek narušenie toku overovania:

• Ak odvoláte prístup role OpenAI ku kľúču KMS

• Ak odstránite oprávnenia na šifrovanie/dešifrovanie pre kľúč KMS

• Ak používate alias kľúča AWS (neodporúča sa), ak prepnete podkladový KMS ARN. Táto akcia sa niekedy zamieňa s rotáciou kľúča, ale v skutočnosti ide o odvolanie kľúča, preto sa neodporúča, pokiaľ si nie ste istí, že to chcete.

• Ak požiadate OpenAI o aktualizáciu KMS ARN používaného pre váš pracovný priestor ChatGPT Enterprise

Overenie odvolania kľúča:

• Počkajte jednu hodinu, kým na strane OpenAI vypršia všetky položky vyrovnávacej pamäte, a potom otestujte odvolanie

  • Ak používate ChatGPT Enterprise, už nebudete môcť čítať predchádzajúce konverzácie, vyhľadávanie konverzácií nezobrazí výsledky z predchádzajúcich konverzácií a nebudete mať prístup k predchádzajúcim vlastným GPT.

  • Ak používate API, už nebudete môcť sťahovať predchádzajúce dávkové súbory, používať predchádzajúce doladené modely ani odkazovať na predchádzajúce odpovede vytvorené pomocou Responses API.

• Ak používate API, môžete tiež okamžite otestovať, že OpenAI spracovala odvolanie vášho kľúča a že nadobudne účinnosť do jednej hodiny

  • Vytvorte kľúč Admin API (nie bežný kľúč API):

  • Získajte ID externého kľúča OpenAI (extkey_xxx) priradeného k vášmu pracovnému priestoru alebo projektu volaním curl -X GET -H "Authorization: Bearer $ADMIN_API_KEY" https://api.openai.com/v1/organization/external_keys

  • Teraz zavolajte curl -X POST -H "Authorization: Bearer $ADMIN_API_KEY" "https://api.openai.com/v1/organization/external_keys/extkey_xxx/validate"

Osvedčené postupy pri odvolaní kľúča

Ak používate API

• Archivujte projekt API, ktorého údaje ste sprístupnili ako nedostupné. Potom nastavte nový kľúč KMS a vytvorte nový projekt API priradený k novému kľúču KMS.

• Upozorňujeme, že kľúč KMS priradený k starému projektu API, v ktorom ste vykonali odvolanie kľúča, nemôžete vymeniť – starý projekt musíte archivovať. Projekt, v ktorom bolo vydané odvolanie kľúča, by sa nemal ďalej používať. API veľmi uľahčuje vytváranie nových projektov, preto túto funkciu využite.

Ak používate ChatGPT Enterprise

• Po vykonaní odvolania kľúča kontaktujte podporu OpenAI.

• Budeme s vami spolupracovať na vytvorení nového pracovného priestoru. Starý pracovný priestor nebudeme opätovne používať tým, že by sme sa ho pokúsili aktualizovať na používanie nového kľúča KMS. Je to preto, že keď odvolanie kľúča funguje podľa návrhu, predchádzajúce údaje zašifrované odvolaným kľúčom sa stanú nedostupnými.