OpenAI
Den här sidan har maskinöversatts. Visa den ursprungliga engelska artikeln.

Livscykel för EKM KMS-nyckel

Vägledning för hela KMS-nyckelns livscykel, från installationskontroller till rensning efter återkallelse

Uppdaterades: 14 days ago

Förutsättningar

Detta förutsätter att du redan har registrerat din externa KMS-nyckel hos OpenAI genom att följa en av dessa guider

Nyckelbegrepp

Nyckelrotation och nyckelåterkallelse fyller olika syften. Se till att välja rätt åtgärd för ditt användningsfall.

  • Nyckelrotation: Generera nytt kryptografiskt material för kryptering av nya data, samtidigt som dekryptering av äldre data som krypterats med tidigare nycklar tillåts

    • Nyckelrotation påverkar inte åtkomsten till OpenAI-data

  • Nyckelåterkallelse: Återkalla åtkomst till alla data som krypterats med tidigare nycklar.

    • Nyckelåterkallelse återkallar åtkomst till OpenAI-data

Så här roterar du din nyckel

Du kan konfigurera automatisk nyckelrotation

För att testa: din åtkomst till OpenAI-data påverkas inte av den här ändringen

Så här återkallar du din nyckel

Det finns många sätt att återkalla OpenAI:s åtkomst till din nyckel – alla avbrott i autentiseringsflödet:

  • Om du återkallar åtkomst från OpenAI:s roll till KMS-nyckeln

  • Om du tar bort behörigheterna för kryptering/dekryptering på KMS-nyckeln

  • Om du använder ett AWS-nyckelalias (rekommenderas inte), om du byter det underliggande KMS-ARN:t. Den här åtgärden förväxlas ibland med nyckelrotation men är egentligen en nyckelåterkallelse, så den rekommenderas inte om du inte är säker på att du vill göra detta.

  • Om du begär att OpenAI ska uppdatera KMS-ARN:t som används för din ChatGPT Enterprise-arbetsyta

Så här validerar du din nyckelåterkallelse:

  • Vänta en timme tills alla cacheposter har löpt ut hos OpenAI och testa sedan återkallelsen

    • Om du använder ChatGPT Enterprise kommer du inte längre att kunna läsa tidigare konversationer, konversationssökningen kommer inte att visa resultat från tidigare konversationer och du kommer inte att kunna komma åt tidigare anpassade GPT:er.

    • Om du använder API:t kommer du inte längre att kunna ladda ned tidigare batchfiler, använda tidigare finjusterade modeller eller referera till tidigare svar som skapats med Responses API.

  • Om du använder API:t kan du också omedelbart testa att din nyckelåterkallelse har behandlats av OpenAI och börjar gälla inom en timme

    • Skapa en Admin API-nyckel (inte en vanlig API-nyckel):

    • Hämta OpenAI:s externa nyckel-ID (extkey_xxx) som är kopplat till din arbetsyta eller ditt projekt genom att anropa curl -X GET -H "Authorization: Bearer $ADMIN_API_KEY" https://api.openai.com/v1/organization/external_keys

    • Anropa nu curl -X POST -H "Authorization: Bearer $ADMIN_API_KEY" "https://api.openai.com/v1/organization/external_keys/extkey_xxx/validate"

Bästa praxis vid nyckelåterkallelse

Om du använder API:t

  • Arkivera API-projektet vars data du har gjort otillgängliga. Konfigurera sedan en ny KMS-nyckel och skapa ett nytt API-projekt som är kopplat till den nya KMS-nyckeln.

  • Observera att du inte kan byta ut KMS-nyckeln som är kopplad till det gamla API-projektet där du har utfört nyckelåterkallelsen – du måste arkivera det gamla projektet. Ett projekt där en nyckelåterkallelse har utfärdats bör inte fortsätta användas. API:t gör det mycket enkelt att skapa nya projekt, så använd den funktionen.

Om du använder ChatGPT Enterprise

  • Kontakta OpenAI-supporten efter att du har utfört en nyckelåterkallelse.

  • Vi hjälper dig att starta en ny arbetsyta. Vi kommer inte att återanvända den gamla arbetsytan genom att försöka uppdatera den så att den använder en ny KMS-nyckel. Det beror på att när nyckelåterkallelse fungerar som avsett blir tidigare data som krypterats med den återkallade nyckeln otillgängliga.

Var den här artikeln till hjälp?