Översikt
Enterprise Key Management (EKM) gör att OpenAI kan kryptera data med en huvudnyckel som du kontrollerar. Det här dokumentet visar hur du konfigurerar ditt AWS-konto för att ge OpenAI begränsade behörigheter i din KMS.

Steg
1. Skapa en ny KMS-nyckel
Gå till KMS -> Kundhanterade nycklar och klicka sedan på Skapa nyckel.
Välj en symmetrisk krypteringsalgoritm.
När din nyckel har skapats noterar du dess ARN. Format som stöds omfattar
arn:aws:kms:<region>:<account_number>:key/<uuid>,...:key/mrk-*eller...:alias/<alias_name>.

2. Skapa en anpassad policy för begränsad åtkomst till KMS-nyckeln
Gå till IAM -> Policyer och klicka sedan på Skapa policy.
I steget Ange behörigheter väljer du JSON och anger följande för att ge policyn åtgärder för KMS-åtkomst. Se till att du ersätter YOUR_KMS_ARN med ARN för nyckeln du skapade.

{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowEncryptDecrypt",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:Encrypt"
],
"Resource": <DIN_KMS_ARN>
}
]
}3. Skapa en IAM-roll som OpenAI kan anta och tilldela den till policyn med begränsad åtkomst till din KMS
OpenAI anropar AssumeRole från ett AWS-konto som ägs av OpenAI. Detta steg låter OpenAI:s AWS-principal anta den begränsade rollen för åtkomst till din KMS.
Gå till IAM -> Roller och klicka sedan på Skapa roll.
I steget Välj betrodd entitet väljer du Anpassad förtroendepolicy.

Ange sedan följande i Anpassad förtroendepolicy för att tillåta åtkomst till OpenAI:s AWS-principal.
Principalen är OpenAI:s AWS-principal:
arn:aws:iam::790389265272:role/EnterpriseKeyManagement.Ange vilket ExternalId OpenAI ska skicka under
AssumeRole-processen.För ChatGPT eller API använder du det organisations-ID (org-xxx) som är kopplat till din arbetsyta: https://platform.api.openai.org/settings/organization/general.
För API kan du använda ett specifikt API-projekt-ID för större detaljrikedom.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::790389265272:role/EnterpriseKeyManagement"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"sts:ExternalId": [
<DITT_OPENAI_ORGANISATIONS-ID>,
]
}
}
}
]
}Sök sedan, i steget Lägg till behörigheter, efter policynamnet för IAM-policyn som du skapade i föregående steg. Klicka på kryssrutan bredvid policynamnet och klicka sedan på Nästa.

Slutligen, i avsnittet Namnge, granska och skapa, väljer du valfritt rollnamn.
4. Tillämpa eventuella ytterligare begränsningar i linje med dina egna säkerhetsrutiner
Ovan finns den minsta information som krävs för att OpenAI ska kunna konfigurera EKM. Du kan fritt tillämpa ytterligare nyckelpolicyer eller begränsningar i linje med dina egna interna säkerhetsrutiner, så länge OpenAI kan anropa krypterings- och dekrypteringsåtgärder på din KMS. När du anropar slutpunkten för nyckelregistrering med OpenAI som beskrivs nedan validerar vi din konfiguration.
Efter att du har slutfört stegen ovan
ChatGPT Enterprise
Kontakta din OpenAI-kontakt och dela följande:
"role_arn": "arn:aws:iam::<YOUR_AWS_ACCOUNT_NUMBER>:role/<YOUR_ROLE>"Roll-ARN som OpenAI kommer att anta i ditt moln.
"kms_arn": "arn:aws:kms:<REGION>:<YOUR_AWS_ACCOUNT_NUMBER>:key/<UUID>"Key Management System-ARN för huvudnyckeln som du hanterar.
Vi aktiverar EKM för din ChatGPT-organisation/arbetsyta.
API
Registrera din externa nyckel hos OpenAI
Följ instruktionerna i denna API-referens: Externa nycklar i Management API.
Registrera först din externa nyckel på OpenAI-organisationsnivå, vilket genererar ett externt nyckel-ID.
I det här steget validerar vi att din indata är giltig och att vi kan autentisera oss mot din KMS.
Detta lägger inte till EKM i ditt OpenAI-projekt ännu.
curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/external_keys" \
-d '{
"type": "aws",
"name": "AWS EKM-konfiguration",
"role_arn": "arn:aws:iam::<YOUR_AWS_ACCOUNT_NUMBER>:role/<YOUR_ROLE>",
"kms_arn": "arn:aws:kms:<REGION>:<YOUR_AWS_ACCOUNT_NUMBER>:key/<UUID>",
"external_id": <ditt organisations-id eller projekt-id>
}'Skapa sedan ett OpenAI-projekt som är kopplat till den externa nyckeln. Därefter aktiveras EKM i ditt projekt. Svarstexten från detta API-anrop ger dig projekt-ID:t (proj_xxx).
curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/projects" \
-d '{
"name": "Något projekt",
"external_key_id": "extkey_xxxx"
}'