ข้อกำหนดเบื้องต้น

โดยถือว่าคุณได้ลงทะเบียนคีย์ KMS ภายนอกของคุณกับ OpenAI แล้ว ตามหนึ่งในคู่มือต่อไปนี้

• คำแนะนำการผสานรวม OpenAI / AWS EKM

• คำแนะนำการผสานรวม OpenAI / GCP EKM

• คำแนะนำการผสานรวม OpenAI / Azure EKM

คำสำคัญ

การ หมุนเวียน คีย์ และการ เพิกถอน คีย์มีวัตถุประสงค์ต่างกัน ตรวจสอบให้แน่ใจว่าเลือกการดำเนินการที่ถูกต้องสำหรับกรณีการใช้งานของคุณ

• การหมุนเวียนคีย์: สร้างวัสดุการเข้ารหัสลับใหม่สำหรับการเข้ารหัสข้อมูลใหม่ โดยยังอนุญาตให้ถอดรหัสข้อมูลเก่าที่เข้ารหัสด้วยคีย์ก่อนหน้าได้

  • การหมุนเวียนคีย์ ไม่มีผลต่อการเข้าถึงข้อมูล OpenAI

• การเพิกถอนคีย์: เพิกถอนการเข้าถึงข้อมูลทั้งหมดที่เข้ารหัสด้วยคีย์ก่อนหน้า

  • การเพิกถอนคีย์ เพิกถอนการเข้าถึงข้อมูล OpenAI

วิธีตรวจสอบว่าคีย์ KMS ของคุณกำลังถูกใช้อยู่

ผู้ให้บริการคลาวด์ของคุณควรมีบันทึก:

• AWS - https://docs.aws.amazon.com/kms/latest/developerguide/security-logging-monitoring.html

• GCP - https://cloud.google.com/kms/docs/audit-logging

• Azure - https://learn.microsoft.com/en-us/azure/key-vault/general/howto-logging

วิธีหมุนเวียนคีย์ของคุณ

คุณสามารถตั้งค่าการหมุนเวียนคีย์อัตโนมัติได้

• AWS - https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html

• GCP - https://cloud.google.com/kms/docs/rotate-key#automatic

• Azure - https://learn.microsoft.com/en-us/azure/key-vault/keys/how-to-configure-key-rotation

สำหรับการทดสอบ: การเข้าถึงข้อมูล OpenAI ของคุณจะไม่ได้รับผลกระทบจากการเปลี่ยนแปลงนี้

วิธีเพิกถอนคีย์ของคุณ

มีหลายวิธีในการเพิกถอนการเข้าถึงคีย์ของคุณโดย OpenAI - ไม่ว่าจะเป็นการรบกวนใดๆ ในโฟลว์การตรวจสอบสิทธิ์:

• หากคุณเพิกถอนการเข้าถึงจากบทบาทของ OpenAI ไปยังคีย์ KMS

• หากคุณนำสิทธิ์การเข้ารหัส/ถอดรหัสในคีย์ KMS ออก

• หากคุณใช้นามแฝงคีย์ AWS (ไม่แนะนำ) แล้วเปลี่ยน KMS ARN ที่อยู่เบื้องหลัง การดำเนินการนี้บางครั้งสับสนกับการหมุนเวียนคีย์ แต่แท้จริงแล้วเป็นการเพิกถอนคีย์ จึงไม่แนะนำเว้นแต่คุณจะแน่ใจว่าต้องการทำเช่นนี้

• หากคุณขอให้ OpenAI อัปเดต KMS ARN ที่ใช้สำหรับเวิร์กสเปซ ChatGPT Enterprise ของคุณ

เพื่อตรวจสอบความถูกต้องของการเพิกถอนคีย์ของคุณ:

• รอหนึ่งชั่วโมง เพื่อให้รายการแคชทั้งหมดหมดอายุฝั่ง OpenAI แล้วทดสอบการเพิกถอน

  • หากคุณใช้ ChatGPT Enterprise คุณจะไม่สามารถอ่านบทสนทนาก่อนหน้าได้อีกต่อไป การค้นหาบทสนทนาจะไม่แสดงผลลัพธ์จากบทสนทนาก่อนหน้า และคุณจะไม่สามารถเข้าถึง GPT แบบกำหนดเองก่อนหน้าได้

  • หากคุณใช้ API คุณจะไม่สามารถดาวน์โหลดไฟล์แบตช์ก่อนหน้า ใช้โมเดลที่ปรับแต่งอย่างละเอียดก่อนหน้า หรืออ้างอิงการตอบกลับก่อนหน้าที่สร้างโดยใช้ Responses API ได้อีกต่อไป

• หากคุณใช้ API คุณยังสามารถทดสอบได้ทันทีว่าการเพิกถอนคีย์ของคุณได้รับการประมวลผลโดย OpenAI แล้วและจะมีผลภายในหนึ่งชั่วโมง

  • สร้าง คีย์ Admin API (ไม่ใช่คีย์ API ปกติ):

  • รับรหัสคีย์ภายนอกของ OpenAI (extkey_xxx) ที่เชื่อมโยงกับเวิร์กสเปซหรือโปรเจ็กต์ของคุณ โดยเรียกใช้ curl -X GET -H "Authorization: Bearer $ADMIN_API_KEY" https://api.openai.com/v1/organization/external_keys

  • ตอนนี้ให้เรียกใช้ curl -X POST -H "Authorization: Bearer $ADMIN_API_KEY" "https://api.openai.com/v1/organization/external_keys/extkey_xxx/validate"

แนวทางปฏิบัติที่ดีที่สุดสำหรับการเพิกถอนคีย์

หากคุณใช้ API

• เก็บถาวรโปรเจ็กต์ API ที่คุณทำให้ข้อมูลไม่สามารถเข้าถึงได้. จากนั้น ตั้งค่าคีย์ KMS ใหม่ และสร้างโปรเจ็กต์ API ใหม่ที่เชื่อมโยงกับคีย์ KMS ใหม่

• โปรดทราบว่าคุณไม่สามารถสลับคีย์ KMS ที่เชื่อมโยงกับโปรเจ็กต์ API เดิมที่คุณได้ดำเนินการเพิกถอนคีย์แล้วได้ - คุณต้องเก็บถาวรโปรเจ็กต์เดิม ไม่ควรใช้งานโปรเจ็กต์ที่มีการออกคำสั่งเพิกถอนคีย์ต่อไป API ทำให้การสร้างโปรเจ็กต์ใหม่เป็นเรื่องง่ายมาก ดังนั้นให้ใช้ฟีเจอร์นั้น

หากคุณใช้ ChatGPT Enterprise

• ติดต่อฝ่ายสนับสนุนของ OpenAI หลังจากคุณดำเนินการเพิกถอนคีย์แล้ว

• เราจะทำงานร่วมกับคุณเพื่อสร้าง เวิร์กสเปซใหม่ ขึ้นมา เราจะไม่ใช้เวิร์กสเปซเดิมซ้ำโดยพยายามอัปเดตให้ใช้คีย์ KMS ใหม่ เนื่องจากเมื่อการเพิกถอนคีย์ทำงานตามที่ออกแบบไว้ ข้อมูลก่อนหน้าที่เข้ารหัสด้วยคีย์ที่ถูกเพิกถอนจะไม่สามารถเข้าถึงได้