Genel bakış
Enterprise Key Management (EKM), hem ChatGPT Enterprise hem de API için kullanılabilen, kendi harici Anahtar Yönetim Sisteminiz (KMS) tarafından yönetilen anahtarları kullanarak müşteri içeriğinizi OpenAI’de şifrelemenize olanak tanır.
OpenAI, AWS KMS, Google Cloud (GCP) ve Azure Key Vault içindeki harici hesaplarla Bring Your Own Key (BYOK) şifrelemeyi destekler.
Şu anda EKM uygulaması, atanmış bir OpenAI hesap temsilcisi bulunan Enterprise ve Edu çalışma alanlarıyla sınırlıdır.
OpenAI EKM şifrelemesi nasıl çalışır
Üst düzey akış
Bulut sağlayıcınız için bir Data Encryption Key (DEK) oluştururuz.
Bulut KMS’niz, bulutunuz içinde veya harici olarak depolanan bir ana Key Encryption Key (KEK) yönetir. Uygulama size bağlıdır.
encrypted DEK (eDEK) elde etmek için bulutunuzdan DEK’in şifrelenmesini isteriz. KEK’iniz harici olarak depolanıyorsa bulutunuz, OpenAI için opak olan bir adımda, harici deponuza fazladan bir sıçrama yapar.
Şifreleme
Şifreleme sırasında verileriniz DEK ile şifrelenir ve eDEK dosyada meta veri olarak saklanır.
Şifre çözme
Şifre çözme sırasında, eDEK’in bulut KMS’niz tarafından DEK’e dönüştürülmek üzere çözülmesini isteriz ve verileri DEK ile çözeriz.
Anahtar terimleri
Data Encryption Key (DEK) - verilerinizi şifreleyen anahtar.
Encrypted Data Encryption Key (eDEK) - KMS’niz tarafından oluşturulan şifrelenmiş DEK
Key Encryption Key (KEK) - DEK -> eDEK şifrelemesini ve eDEK -> DEK çözmesini yapan, sizin yönettiğiniz ana anahtar. Bu anahtar her zaman OpenAI sistemlerinin dışında kalır.
Uygulama için üst düzey gereksinimler
Bulut sağlayıcınızda
Bulut KMS’nizde (Azure, AWS veya GCP) yeni bir anahtar oluşturun
KMS üzerinde Encrypt/Decrypt izinlerine sahip özel, sınırlı bir ilke oluşturun
OpenAI için bir güven ilkesi (AWS), bir workload identity (GCP) veya bir service principal (Azure için) oluşturun
OpenAI’ye, KMS’nize erişmesi için sınırlı ilkeye sahip bir rol atayın
OpenAI platformlarında
ChatGPT Enterprise
Test amacıyla bir sandbox ChatGPT çalışma alanı oluşturun.
API
OpenAI panonuzda, şifrelemenin uygulanacağı yeni bir proje oluşturun.
Sağlayıcıya özgü işlevler
AWS için, OpenAI şunları yapacaktır:
Bir ExternalID ile AssumeRole çağrısı yapar
GCP için, OpenAI şunları yapacaktır:
OpenAI GCP hesabından STS uç noktanızı çağırır
KMS’nizde encrypt/decrypt çağrısı yapmak için GCP erişim tokenını kullanır.
Azure için, OpenAI şunları yapacaktır:
Azure kiracınızın vault’u için bir erişim tokenı ister
Key Vault’unuzda encrypt/decrypt çağrısı yapmak için bu erişim tokenını kullanır.
OpenAI’den ihtiyaç duyduğunuz bilgiler
Kimlik doğrulama
AWS ve GCP için OpenAI’nin federatif kimlik tokenlarını tanımanız gerekir. Azure için ise uygulama kaydı adına OpenAI’nin uygulama kimliğini tanımanız gerekir.
Kimlik doğrulama parametrelerinin özeti
| OpenAI AWS yetkilisi | arn:aws:iam::790389265272:role/EnterpriseKeyManagement |
| OpenAI GCP hizmet hesabı kimliği | 105900137572174660365 |
| OpenAI Azure uygulama kimliği | 20a14814-5ab7-4612-a671-1382b412bf93 |
Bulut sağlayıcınıza göre uygulama sırasında gereken bilgiler
AWS için, şunları tanıyan bir güven ilkesi oluşturmanız gerekir:
OpenAI’nin yetkilisi (hesap numarası + rol)
OpenAI proje kimliğiniz olan bir ExternalID
GCP için, şunları tanıyan bir workload identity oluşturmanız gerekir:
OpenAI'nin hizmet hesabı kimliği
OpenAI proje kimliğiniz olan bir audience
Azure için, OpenAI’nin uygulama kaydı adına Azure kiracınızda bir service principal oluşturmanız gerekir
Bunu OpenAI’nin application client id değeri için oluşturun: 20a14814-5ab7-4612-a671-1382b412bf9
Bunu https://graph.microsoft.com/v1.0/servicePrincipals uç noktasına POST isteği göndererek yapabilirsiniz.
Yetkilendirme
OpenAI kimliğinin KMS’nize sınırlı erişim elde etmesine izin veren bir ilke oluşturmanız gerekir.
| AWS | GCP | Azure |
| kms:Decryptkms:Encrypt | cloudkms.cryptoKeyVersions.useToDecryptcloudkms.cryptoKeyVersions.useToEncrypt | Microsoft.KeyVault/vaults/keys/encrypt/actionMicrosoft.KeyVault/vaults/keys/decrypt/action |
Diğer
Azure’da Anahtar türü (anahtar şifreleme algoritması) olarak EC değil, RSA seçin.
OpenAI’nin sizden ihtiyaç duyduğu bilgiler
KMS’nizi OpenAI’ye kaydetmek için bu dokümandaki talimatları izleyin. Aşağıda sağlamanız gereken parametrelerin bir özeti yer almaktadır.
Kimlik doğrulamayla ilgili
AWS
IAM Role ARN - OpenAI’nin üstleneceği rol (örnek: arn:aws:iam::123456789:role/role-name)
ExternalID - OpenAI kuruluş kimliğiniz
GCP
Workload Identity Project Number (örnek: 123456789)
Workload Identity Pool ID
Workload Identity Provider ID
Allowed audience: OpenAI kuruluş kimliğiniz
Azure
Tenant ID
| AWS | GCP | Azure | |
| Kimlik doğrulamayla ilgili | Tenant ID | ||
| KMS ile ilgili | KMS ARN - (ör.: arn:aws:kms:REGION:ACCOUNT_NUMBER:key:KEY_UUID) | KMS Project ID (örnek: adjective-noun-12345)KMS key ring nameKMS key nameKMS key location (örnek: us-east1) | Vault URI (örnek: https://your-vault-name.vault.azure.net/)Key Name |
KMS’nizi OpenAI’ye kaydettikten sonra, bir API projesinde EKM yapılandırmanızı etkinleştirmek için dokümandaki talimatları izlemeye devam edin. Test amacıyla yeni bir OpenAI API projesi oluşturun.
Sağlayıcıya özgü uygulama kılavuzları
Adım adım yönlendirme için aşağıdaki ilgili bağlantılara bakın. Bunların OpenAI ile entegrasyon gereksinimlerine odaklandığını ve tüm ortamınız için kapsamlı bir kılavuz olarak tasarlanmadığını lütfen unutmayın
EKM etkinse desteklenmeyen özellikler
Bu ilk sürümde, EKM etkinleştirilmişse aşağıdaki özellikler kullanılamaz:
Senkronizasyonlu uygulamalar
Genel Kullanıma Sunulmamış özellikler (yani hâlâ beta/alpha aşamasında olan her şey)