Översikt
Enterprise Key Management (EKM) gör att OpenAI kan kryptera data med en huvudnyckel som du kontrollerar. För att OpenAI ska kunna anropa krypterings-/dekrypteringsåtgärder i ditt Key Vault behöver vi beviljas åtkomst. Det här dokumentet visar hur du konfigurerar ditt Azure-konto så att OpenAI kan anta en roll med Key Vault-behörigheter.

Steg
1. Skapa ett tjänsthuvudnamn för OpenAI i ditt konto
Hämta en åtkomsttoken
az account get-access-token --resource https://graph.microsoft.com
--tenant YOUR_TENANT_IDSkapa tjänsthuvudnamnet – appId i begäran nedan är OpenAI:s klient-ID för programmet. Detta skapar ett huvudnamn med visningsnamnet ”EKM - OpenAI Azure” – kom ihåg detta för senare steg.
Integrationsanvisningar för OpenAI/Azure EKM – skapa tjänsthuvudnamn
curl -X POST https://graph.microsoft.com/v1.0/servicePrincipals \
-H "Authorization: Bearer $TOKEN_FROM_ABOVE" \
-H "Content-Type: application/json" \
–d '{"appId": "20a14814-5ab7-4612-a671-1382b412bf93"}'2. Skapa en anpassad roll för begränsad KMS-åtkomst
Gå till Prenumerationer -> Åtkomstkontroll (IAM)
Under listrutan + Lägg till väljer du Lägg till anpassad roll
Gå till fliken JSON, klicka på Redigera och lägg till följande:
Valfritt rollnamn – kom ihåg namnet du valde
Följande behörigheter i dataActions:
Microsoft.KeyVault/vaults/keys/encrypt/actionMicrosoft.KeyVault/vaults/keys/decrypt/actionMicrosoft.KeyVault/vaults/keys/read

3. Skapa ett Key Vault + en nyckel
Om du inte redan har ett skapar du ett nytt Key Vault i samma prenumeration där du nyss skapade din anpassade roll.
I detta Key Vault skapar du en ny nyckel:
Gå till Key Vault -> Objekt -> Nycklar och klicka sedan på Generera/importera
Under Alternativ väljer du Generera

Välj RSA som krypteringsalgoritm.
Du kan välja valfri RSA-nyckelstorlek
Ange ett nyckelnamn med följande format:
<org-xxx>--<any_name>, därorg-xxxär ditt OpenAI-organisations-ID som du hittar på https://platform.openai.com/settings/organization/general

Om du inte kan visa eller skapa en nyckel, kontrollera att du har rollen Key Vault-administratör. Detta behövs även om du har rollen Ägare. Så här tilldelas du rollen:
Gå till Key Vault -> Åtkomstkontroll (IAM)
Klicka på Lägg till -> Lägg till rolltilldelning

4. Skapa en rolltilldelning för OpenAI:s tjänsthuvudnamn + ny anpassad KMS + ny nyckel
Gå till Key Vault -> Objekt -> Nycklar och klicka sedan på raden för nyckeln du skapade
Gå till Åtkomstkontroll (IAM) för nyckeln du just klickade på (inte ditt Key Vault).
Under listrutan + Lägg till väljer du Lägg till rolltilldelning

På fliken Roll väljer du namnet på den anpassade roll du just skapade.

På fliken Medlemmar:
Klicka på ”+ Välj medlemmar”
Skriv ”ekm -” i sökfältet; då bör OpenAI-tjänsthuvudnamnet som du skapade i steg 1 läsas in

5. Tillämpa eventuella ytterligare begränsningar i linje med dina egna säkerhetsrutiner
Ovanstående är den minsta information som OpenAI behöver för att konfigurera EKM. Du kan tillämpa ytterligare nyckelpolicyer eller begränsningar i linje med dina egna interna säkerhetsrutiner, så länge OpenAI kan anropa krypterings- och dekrypteringsåtgärder i din KMS. När du anropar slutpunkten för nyckelregistrering hos OpenAI som beskrivs nedan validerar vi din konfiguration.
Efter att du har slutfört stegen ovan
ChatGPT Enterprise
Kontakta din OpenAI-kontakt och dela följande:
"tenant_id": "<YOUR_AZURE_TENANT_UUID>"
"vault_uri": "https://<YOUR_KEYVAULT_NAME>.vault.azure.net/"
"key_name": "<YOUR_KEY_NAME>"
Namnet på huvudnyckeln för Azure Key Vault som du hanterar
Nyckelnamnet måste ha formatet <org-xxx>--<any_name>, där org-xxx är ditt OpenAI-organisations-ID som du hittar på https://platform.openai.com/settings/organization/general
Vi aktiverar EKM för din ChatGPT-organisation/arbetsyta.
API
Registrera din externa nyckel hos OpenAI
Följ anvisningarna i denna API-referens: Externa nycklar i hanterings-API:et
Registrera först din externa nyckel på OpenAI-organisationsnivå, vilket genererar ett externt nyckel-ID med formatet extkey_xxx
I det här steget validerar vi att dina indata är giltiga och att vi kan autentisera oss mot din KMS.
Detta lägger inte till EKM i ditt OpenAI-projekt ännu.
# This generates an external key ID of the form extkey_xxx
curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/external_keys" \
-d '{
"type": "azure",
"name": "<ANY_FRIENDLY_NAME>",
"tenant_id": "<YOUR_AZURE_TENANT_UUID>",
"vault_uri": "https://<YOUR_KEYVAULT_NAME>.vault.azure.net/",
"key_name": "<YOUR_KEY_NAME>"
}'Skapa sedan ett OpenAI-projekt som är kopplat till den externa nyckeln. Därefter är EKM aktiverat i ditt projekt.
Svarstexten från detta API-anrop ger dig projekt-ID:t (proj_xxx)
curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/projects" \
-d '{
"name": "Ett projekt",
"external_key_id": "extkey_xxxx"
}'