OpenAI
Den här sidan har maskinöversatts. Visa den ursprungliga engelska artikeln.

Instruktioner för OpenAI-/Azure EKM-integrering

Steg-för-steg-instruktioner för att konfigurera Azure och aktivera EKM

Uppdaterades: 14 days ago

Översikt

Enterprise Key Management (EKM) gör att OpenAI kan kryptera data med en huvudnyckel som du kontrollerar. För att OpenAI ska kunna anropa krypterings-/dekrypteringsåtgärder i ditt Key Vault behöver vi beviljas åtkomst. Det här dokumentet visar hur du konfigurerar ditt Azure-konto så att OpenAI kan anta en roll med Key Vault-behörigheter.

Azure EKM flow where OpenAI EKM uses Microsoft Entra ID to access your Key Vault and master KEK

Steg

1. Skapa ett tjänsthuvudnamn för OpenAI i ditt konto

  1. Hämta en åtkomsttoken

az account get-access-token --resource https://graph.microsoft.com
--tenant YOUR_TENANT_ID
  1. Skapa tjänsthuvudnamnet – appId i begäran nedan är OpenAI:s klient-ID för programmet. Detta skapar ett huvudnamn med visningsnamnet ”EKM - OpenAI Azure” – kom ihåg detta för senare steg.

Integrationsanvisningar för OpenAI/Azure EKM – skapa tjänsthuvudnamn

curl -X POST https://graph.microsoft.com/v1.0/servicePrincipals \
-H "Authorization: Bearer $TOKEN_FROM_ABOVE" \
-H "Content-Type: application/json" \
–d '{"appId": "20a14814-5ab7-4612-a671-1382b412bf93"}'

2. Skapa en anpassad roll för begränsad KMS-åtkomst

  1. Gå till Prenumerationer -> Åtkomstkontroll (IAM)

  2. Under listrutan + Lägg till väljer du Lägg till anpassad roll

  3. Gå till fliken JSON, klicka på Redigera och lägg till följande:

    1. Valfritt rollnamn – kom ihåg namnet du valde

    2. Följande behörigheter i dataActions:

      1. Microsoft.KeyVault/vaults/keys/encrypt/action

      2. Microsoft.KeyVault/vaults/keys/decrypt/action

      3. Microsoft.KeyVault/vaults/keys/read

OpenAI / Azure EKM Integration Instructions Custom Role

3. Skapa ett Key Vault + en nyckel

Om du inte redan har ett skapar du ett nytt Key Vault i samma prenumeration där du nyss skapade din anpassade roll.

I detta Key Vault skapar du en ny nyckel:

  1. Gå till Key Vault -> Objekt -> Nycklar och klicka sedan på Generera/importera

  2. Under Alternativ väljer du Generera

Azure Key Vault Keys page with Generate/Import highlighted to add a key
  1. Välj RSA som krypteringsalgoritm.

  2. Du kan välja valfri RSA-nyckelstorlek

  3. Ange ett nyckelnamn med följande format: <org-xxx>--<any_name>, där org-xxx är ditt OpenAI-organisations-ID som du hittar på https://platform.openai.com/settings/organization/general

Azure Key Vault key generation form with RSA selected and key name org-abcdefg--test-keyvault-key

Om du inte kan visa eller skapa en nyckel, kontrollera att du har rollen Key Vault-administratör. Detta behövs även om du har rollen Ägare. Så här tilldelas du rollen:

  1. Gå till Key Vault -> Åtkomstkontroll (IAM)

  2. Klicka på Lägg till -> Lägg till rolltilldelning

Azure Key Vault Access control (IAM) page with Add menu open to Add role assignment

4. Skapa en rolltilldelning för OpenAI:s tjänsthuvudnamn + ny anpassad KMS + ny nyckel

  1. Gå till Key Vault -> Objekt -> Nycklar och klicka sedan på raden för nyckeln du skapade

  2. Gå till Åtkomstkontroll (IAM) för nyckeln du just klickade på (inte ditt Key Vault).

  3. Under listrutan + Lägg till väljer du Lägg till rolltilldelning

Azure Key Vault Access control (IAM) page with Add menu open to Add role assignment
  1. På fliken Roll väljer du namnet på den anpassade roll du just skapade.

Azure role list filtered for openai- with the openai-azure-kms-role entry
  1. På fliken Medlemmar:

    1. Klicka på ”+ Välj medlemmar”

    2. Skriv ”ekm -” i sökfältet; då bör OpenAI-tjänsthuvudnamnet som du skapade i steg 1 läsas in

Azure role assignment Members step with EKM - OpenAI Azure Application selected as a member

5. Tillämpa eventuella ytterligare begränsningar i linje med dina egna säkerhetsrutiner

Ovanstående är den minsta information som OpenAI behöver för att konfigurera EKM. Du kan tillämpa ytterligare nyckelpolicyer eller begränsningar i linje med dina egna interna säkerhetsrutiner, så länge OpenAI kan anropa krypterings- och dekrypteringsåtgärder i din KMS. När du anropar slutpunkten för nyckelregistrering hos OpenAI som beskrivs nedan validerar vi din konfiguration.

Efter att du har slutfört stegen ovan

ChatGPT Enterprise

Kontakta din OpenAI-kontakt och dela följande:

  • "tenant_id": "<YOUR_AZURE_TENANT_UUID>"

  • "vault_uri": "https://<YOUR_KEYVAULT_NAME>.vault.azure.net/"

  • "key_name": "<YOUR_KEY_NAME>"

  • Namnet på huvudnyckeln för Azure Key Vault som du hanterar

  • Nyckelnamnet måste ha formatet <org-xxx>--<any_name>, där org-xxx är ditt OpenAI-organisations-ID som du hittar på https://platform.openai.com/settings/organization/general

Vi aktiverar EKM för din ChatGPT-organisation/arbetsyta.

API

Registrera din externa nyckel hos OpenAI

Följ anvisningarna i denna API-referens: Externa nycklar i hanterings-API:et

  • Registrera först din externa nyckel på OpenAI-organisationsnivå, vilket genererar ett externt nyckel-ID med formatet extkey_xxx

  • I det här steget validerar vi att dina indata är giltiga och att vi kan autentisera oss mot din KMS.

  • Detta lägger inte till EKM i ditt OpenAI-projekt ännu.

# This generates an external key ID of the form extkey_xxx
curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/external_keys" \
-d '{
"type": "azure",
"name": "<ANY_FRIENDLY_NAME>",
"tenant_id": "<YOUR_AZURE_TENANT_UUID>",
"vault_uri": "https://<YOUR_KEYVAULT_NAME>.vault.azure.net/",
"key_name": "<YOUR_KEY_NAME>"
}'
  • Skapa sedan ett OpenAI-projekt som är kopplat till den externa nyckeln. Därefter är EKM aktiverat i ditt projekt.

  • Svarstexten från detta API-anrop ger dig projekt-ID:t (proj_xxx)

curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/projects" \
-d '{
   "name": "Ett projekt",
   "external_key_id": "extkey_xxxx"
}'

Var den här artikeln till hjälp?