Genel bakış
Enterprise Key Management (EKM), hem ChatGPT Enterprise hem de API için kullanılabilen, kendi harici Anahtar Yönetim Sisteminiz (KMS) tarafından yönetilen anahtarları kullanarak müşteri içeriğinizi OpenAI’de şifrelemenize olanak tanır.
OpenAI, AWS KMS, Google Cloud (GCP) ve Azure Key Vault içindeki harici hesaplarla Bring Your Own Key (BYOK) şifrelemeyi destekler.
Şu anda EKM uygulaması, atanmış bir OpenAI hesap temsilcisi bulunan Enterprise ve Edu çalışma alanlarıyla sınırlıdır.
OpenAI EKM şifrelemesi nasıl çalışır
Üst düzey akış
Bulut sağlayıcınız için bir Data Encryption Key (DEK) oluştururuz.
Bulut KMS’niz, bulutunuz içinde veya harici olarak depolanan bir ana Key Encryption Key (KEK) yönetir. Uygulama size bağlıdır.
encrypted DEK (eDEK) elde etmek için bulutunuzdan DEK’in şifrelenmesini isteriz. KEK’iniz harici olarak depolanıyorsa bulutunuz, OpenAI için opak olan bir adımda, harici deponuza fazladan bir sıçrama yapar.
Şifreleme
Şifreleme sırasında verileriniz DEK ile şifrelenir ve eDEK dosyada meta veri olarak saklanır.
Şifre çözme
Şifre çözme sırasında, eDEK’in bulut KMS’niz tarafından DEK’e dönüştürülmek üzere çözülmesini isteriz ve verileri DEK ile çözeriz.
Anahtar terimleri
Data Encryption Key (DEK) - verilerinizi şifreleyen anahtar.
Encrypted Data Encryption Key (eDEK) - KMS’niz tarafından oluşturulan şifrelenmiş DEK
Key Encryption Key (KEK) - DEK -> eDEK şifrelemesini ve eDEK -> DEK çözmesini yapan, sizin yönettiğiniz ana anahtar. Bu anahtar her zaman OpenAI sistemlerinin dışında kalır.
Uygulama için üst düzey gereksinimler
Bulut sağlayıcınızda
Bulut KMS’nizde (Azure, AWS veya GCP) yeni bir anahtar oluşturun
KMS üzerinde Encrypt/Decrypt izinlerine sahip özel, sınırlı bir ilke oluşturun
OpenAI için bir güven ilkesi (AWS), bir workload identity (GCP) veya bir service principal (Azure için) oluşturun
OpenAI’ye, KMS’nize erişmesi için sınırlı ilkeye sahip bir rol atayın
OpenAI platformlarında
ChatGPT Enterprise
Test amacıyla bir sandbox ChatGPT çalışma alanı oluşturun.
API
OpenAI panonuzda, şifrelemenin uygulanacağı yeni bir proje oluşturun.
Sağlayıcıya özgü işlevler
AWS için, OpenAI şunları yapacaktır:
Bir ExternalID ile AssumeRole çağrısı yapar
GCP için, OpenAI şunları yapacaktır:
OpenAI GCP hesabından STS uç noktanızı çağırır
KMS’nizde encrypt/decrypt çağrısı yapmak için GCP erişim tokenını kullanır.
Azure için, OpenAI şunları yapacaktır:
Azure kiracınızın vault’u için bir erişim tokenı ister
Key Vault’unuzda encrypt/decrypt çağrısı yapmak için bu erişim tokenını kullanır.
OpenAI’den ihtiyaç duyduğunuz bilgiler
Kimlik doğrulama
AWS ve GCP için OpenAI’nin federatif kimlik tokenlarını tanımanız gerekir. Azure için ise uygulama kaydı adına OpenAI’nin uygulama kimliğini tanımanız gerekir.
Kimlik doğrulama parametrelerinin özeti
| OpenAI AWS yetkilisi | arn:aws:iam::790389265272:role/EnterpriseKeyManagement |
| OpenAI GCP hizmet hesabı kimliği | 105900137572174660365 |
| OpenAI Azure uygulama kimliği | 20a14814-5ab7-4612-a671-1382b412bf93 |
Bulut sağlayıcınıza göre uygulama sırasında gerekli bilgiler
AWS için, şunları tanıyan bir güven ilkesi ayarlamanız gerekir:
OpenAI'nin principal'ı (hesap numarası + rol)
OpenAI proje kimliğiniz olan bir ExternalID
GCP için, şunları tanıyan bir iş yükü kimliği ayarlamanız gerekir:
OpenAI'nin hizmet hesabı kimliği
OpenAI proje kimliğiniz olan bir hedef kitle
Azure için, OpenAI'nin uygulama kaydı adına Azure kiracınızda bir hizmet sorumlusu oluşturmanız gerekir
OpenAI'nin uygulama istemcisi kimliği için bir tane oluşturun: 20a14814-5ab7-4612-a671-1382b412bf9
Bunu https://graph.microsoft.com/v1.0/servicePrincipals uç noktasına gönderi yaparak gerçekleştirebilirsiniz.
Yetkilendirme
OpenAI kimliğinin KMS’nize sınırlı erişim elde etmesine izin veren bir ilke oluşturmanız gerekir.
| AWS | GCP | Azure |
| kms:Decryptkms:Encrypt | cloudkms.cryptoKeyVersions.useToDecryptcloudkms.cryptoKeyVersions.useToEncrypt | Microsoft.KeyVault/vaults/keys/encrypt/actionMicrosoft.KeyVault/vaults/keys/decrypt/action |
Diğer
Azure’da Anahtar türü (anahtar şifreleme algoritması) olarak EC değil, RSA seçin.
OpenAI'nin sizden ihtiyaç duyduğu bilgiler
KMS'nizi OpenAI'ye kaydetmek için bu dokümandaki talimatları izleyin. Sağlamanız gereken parametrelerin özeti aşağıdadır.
Kimlik doğrulamayla ilgili
AWS
IAM Rolü ARN'si - OpenAI'nin üstleneceği rol (örnek: arn:aws:iam::123456789:role/role-name)
ExternalID - OpenAI kuruluş kimliğiniz
GCP
Workload Identity Proje Numarası (örnek: 123456789)
Workload Identity Havuz Kimliği
Workload Identity Sağlayıcı Kimliği
İzin verilen hedef kitle: OpenAI kuruluş kimliğiniz
Azure
Kiracı Kimliği
| AWS | GCP | Azure | |
| Kimlik doğrulamayla ilgili | Kiracı Kimliği | ||
| KMS ile ilgili | KMS ARN - (örnek: arn:aws:kms:REGION:ACCOUNT_NUMBER:key:KEY_UUID) | KMS Proje Kimliği (örnek: adjective-noun-12345)KMS anahtar halkası adıKMS anahtar adıKMS anahtar konumu (örnek: us-east1) | Vault URI (örnek: https://your-vault-name.vault.azure.net/)Anahtar Adı |
KMS'nizi OpenAI'ye kaydettikten sonra, bir API projesinde EKM yapılandırmanızı etkinleştirmek için dokümandaki talimatları izlemeye devam edin. Test amacıyla yeni bir OpenAI API projesi oluşturun.
Sağlayıcıya özgü uygulama kılavuzları
Adım adım yönlendirme için aşağıdaki ilgili bağlantılara bakın. Lütfen bunların OpenAI ile entegrasyon gereksinimlerine odaklandığını ve tüm ortamınız için kapsamlı bir kılavuz niteliği taşımadığını unutmayın
EKM etkinse desteklenmeyen özellikler
Bu ilk sürümde, EKM etkinleştirilmişse aşağıdaki özellikler kullanılamaz:
Senkronizasyonlu uygulamalar
Genel Kullanıma Sunulmamış özellikler (yani hâlâ beta/alpha aşamasında olan her şey)