ข้อกำหนดเบื้องต้น

เนื้อหานี้ถือว่าคุณได้ลงทะเบียนคีย์ KMS ภายนอกกับ OpenAI แล้ว โดยทำตามคู่มือข้อใดข้อหนึ่งต่อไปนี้

• คำแนะนำการผสานรวม OpenAI / AWS EKM

• คำแนะนำการผสานรวม OpenAI / GCP EKM

• คำแนะนำการผสานรวม OpenAI / Azure EKM

คำสำคัญ

การหมุนเวียนคีย์และการเพิกถอนคีย์มีวัตถุประสงค์ต่างกัน โปรดเลือกการดำเนินการที่ถูกต้องให้เหมาะกับกรณีการใช้งานของคุณ

• การหมุนเวียนคีย์: สร้างข้อมูลทางการเข้ารหัสใหม่สำหรับการเข้ารหัสข้อมูลใหม่ ขณะเดียวกันยังอนุญาตให้ถอดรหัสข้อมูลเก่าที่เข้ารหัสด้วยคีย์ก่อนหน้าได้

  • การหมุนเวียนคีย์ ไม่มีผลต่อการเข้าถึงข้อมูล OpenAI

• การเพิกถอนคีย์: เพิกถอนการเข้าถึงข้อมูลทั้งหมดที่เข้ารหัสด้วยคีย์ก่อนหน้า

  • การเพิกถอนคีย์ จะเพิกถอนการเข้าถึงข้อมูล OpenAI

วิธียืนยันว่ามีการใช้คีย์ KMS ของคุณ

ผู้ให้บริการคลาวด์ของคุณควรมีบันทึกดังนี้:

• AWS - https://docs.aws.amazon.com/kms/latest/developerguide/security-logging-monitoring.html

• GCP - https://cloud.google.com/kms/docs/audit-logging

• Azure - https://learn.microsoft.com/en-us/azure/key-vault/general/howto-logging

วิธีหมุนเวียนคีย์ของคุณ

คุณสามารถตั้งค่าการหมุนเวียนคีย์อัตโนมัติได้ 

• AWS - https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html

• GCP - https://cloud.google.com/kms/docs/rotate-key#automatic

• Azure - https://learn.microsoft.com/en-us/azure/key-vault/keys/how-to-configure-key-rotation

สำหรับการทดสอบ: การเข้าถึงข้อมูล OpenAI ของคุณจะไม่ได้รับผลกระทบจากการเปลี่ยนแปลงนี้

วิธีเพิกถอนคีย์ของคุณ

มีหลายวิธีในการเพิกถอนการเข้าถึงคีย์ของคุณของ OpenAI — การหยุดชะงักใดๆ ในขั้นตอนการยืนยันตัวตน:

• หากคุณเพิกถอนสิทธิ์การเข้าถึงจาก role ของ OpenAI ไปยังคีย์ KMS

• หากคุณลบสิทธิ์การเข้ารหัส/ถอดรหัสบนคีย์ KMS

• หากคุณใช้นามแฝงคีย์ AWS (ไม่แนะนำ) และคุณสลับ KMS ARN พื้นฐาน การดำเนินการนี้บางครั้งถูกเข้าใจผิดว่าเป็นการหมุนเวียนคีย์ แต่จริงๆ แล้วเป็นการเพิกถอนคีย์ ดังนั้นจึงไม่แนะนำ เว้นแต่คุณแน่ใจว่าต้องการทำเช่นนี้

• หากคุณขอให้ OpenAI อัปเดต KMS ARN ที่ใช้กับเวิร์กสเปซ ChatGPT Enterprise ของคุณ

วิธียืนยันการเพิกถอนคีย์ของคุณ:

• รอหนึ่งชั่วโมงเพื่อให้รายการแคชทั้งหมดฝั่ง OpenAI หมดอายุ จากนั้นจึงทดสอบการเพิกถอน

  • หากคุณใช้ ChatGPT Enterprise คุณจะไม่สามารถอ่านบทสนทนาก่อนหน้าได้อีก การค้นหาบทสนทนาจะไม่แสดงผลลัพธ์จากบทสนทนาก่อนหน้า และคุณจะไม่สามารถเข้าถึง GPT แบบกำหนดเองก่อนหน้าได้อีก 

  • หากคุณใช้ API คุณจะไม่สามารถดาวน์โหลดไฟล์แบตช์ก่อนหน้า ใช้โมเดลที่ fine-tune ไว้ก่อนหน้า หรืออ้างอิงการตอบกลับก่อนหน้าที่สร้างด้วย Responses API ได้อีก

• หากคุณใช้ API คุณยังสามารถทดสอบได้ทันทีว่าการเพิกถอนคีย์ของคุณได้รับการประมวลผลโดย OpenAI แล้ว และจะมีผลภายในหนึ่งชั่วโมง

  • สร้างคีย์ Admin API (ไม่ใช่คีย์ API ปกติ): 

  • รับ external key id ของ OpenAI (extkey_xxx) ที่เชื่อมโยงกับเวิร์กสเปซหรือโปรเจกต์ของคุณโดยเรียกใช้ curl -X GET -H "Authorization: Bearer $ADMIN_API_KEY" https://api.openai.com/v1/organization/external_keys

  • จากนั้นเรียกใช้ curl -X POST -H "Authorization: Bearer $ADMIN_API_KEY" "https://api.openai.com/v1/organization/external_keys/extkey_xxx/validate"

แนวทางปฏิบัติที่ดีที่สุดสำหรับการเพิกถอนคีย์

หากคุณใช้ API

• เก็บถาวรโปรเจกต์ API ที่ข้อมูลของคุณไม่สามารถเข้าถึงได้แล้ว จากนั้นตั้งค่าคีย์ KMS ใหม่ และสร้างโปรเจกต์ API ใหม่ที่เชื่อมโยงกับคีย์ KMS ใหม่

• โปรดทราบว่าคุณไม่สามารถสลับคีย์ KMS ที่เชื่อมโยงกับโปรเจกต์ API เดิมที่คุณได้ดำเนินการเพิกถอนคีย์ไปแล้วได้ — คุณต้องเก็บถาวรโปรเจกต์เดิม โปรเจกต์ที่มีการเพิกถอนคีย์แล้วไม่ควรถูกใช้งานต่อ API ทำให้การสร้างโปรเจกต์ใหม่เป็นเรื่องง่ายมาก ดังนั้นให้ใช้ฟีเจอร์นั้น

หากคุณใช้ ChatGPT Enterprise

• ติดต่อฝ่ายสนับสนุนของ OpenAI หลังจากที่คุณดำเนินการเพิกถอนคีย์แล้ว

• เราจะทำงานร่วมกับคุณเพื่อสร้างเวิร์กสเปซใหม่ เราจะไม่นำเวิร์กสเปซเดิมกลับมาใช้ใหม่โดยพยายามอัปเดตให้ใช้คีย์ KMS ใหม่ เนื่องจากเมื่อการเพิกถอนคีย์ทำงานตามที่ออกแบบไว้ ข้อมูลก่อนหน้าที่เข้ารหัสด้วยคีย์ที่ถูกเพิกถอนจะไม่สามารถเข้าถึงได้