OpenAI
Bu sayfanın çevirisi otomatik olarak yapılmıştır. Orijinal İngilizce makaleyi görüntüleyin.

OpenAI / AWS EKM Entegrasyon Talimatları

AWS sağlama ve EKM'yi etkinleştirme için adım adım talimatlar

Güncellenme zamanı: 13 days ago

Genel Bakış

Kurumsal Anahtar Yönetimi (EKM), OpenAI'ın verileri sizin kontrol ettiğiniz bir ana anahtar kullanarak şifrelemesine olanak tanır. Bu belge, OpenAI'a KMS'iniz üzerinde sınırlı izinler vermek için AWS hesabınızı nasıl ayarlayacağınızı gösterir.

AWS EKM integration flow between OpenAI EKM Service, your STS, your KMS, and your master KEK

Adımlar

1. Yeni bir KMS anahtarı oluşturun

  1. KMS -> Customer managed keys bölümüne gidin, ardından Create Key'e tıklayın

  2. Simetrik bir şifreleme algoritması seçin

  3. Anahtarınız oluşturulduktan sonra ARN'sini not edin. Desteklenen biçimler arasında arn:aws:kms:<region>:<account_number>:key/<uuid>, ...:key/mrk-*, veya ...:alias/<alias_name>

    bulunur

    AWS KMS customer managed key details page with key ID and ARN for test-kms

2. KMS anahtarına sınırlı erişim için özel bir ilke oluşturun

  1. IAM -> Policies bölümüne gidin, ardından Create Policy'ye tıklayın

  2. Specify permissions adımında JSON seçeneğini seçin ve ilkeye KMS erişim eylemleri vermek için aşağıdakini girin. YOUR_KMS_ARN değerini oluşturduğunuz Anahtarın ARN'siyle değiştirdiğinizden emin olun.

    AWS IAM Create policy page with Specify permissions open and the JSON policy editor selected
    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Sid": "AllowEncryptDecrypt",
                "Effect": "Allow",
                "Action": [

                    "kms:Decrypt",
                    "kms:Encrypt"

                ],
                "Resource": <KENDİ_KMS_ARN_DEĞERİNİZ>
            }
        ]
    }

3. OpenAI'ın üstleneceği bir IAM Rolü oluşturun ve bunu KMS'nize sınırlı erişimi olan ilkeye atayın

OpenAI, OpenAI'a ait bir AWS hesabından AssumeRole çağrısı yapacaktır. Bu adım, OpenAI'ın AWS sorumlusunun KMS'nize erişmek için sınırlı rolü üstlenebileceğini tanımlar.

  1. IAM -> Roles bölümüne gidin ve ardından Create Role'e tıklayın

  2. Select trusted entity adımında Custom trust policy

    seçeneğini seçin

    AWS IAM Select trusted entity screen with Custom trust policy selected

  3. OpenAI'ın AWS sorumlusuna erişim izni vermek için Custom trust policy içine aşağıdakini girin.

    1. Sorumlu, OpenAI'ın AWS sorumlusudur - arn:aws:iam::790389265272:role/EnterpriseKeyManagement

    2. AssumeRole işlemi sırasında OpenAI'ın hangi Externald değerini iletmesi gerektiğini belirtin.

      1. ChatGPT veya API için, çalışma alanınızla ilişkili organization id (org-xxx) değerini kullanabilirsiniz - https://platform.api.openai.org/settings/organization/general

      2. API için, daha ayrıntılı kontrol amacıyla belirli bir API proje kimliği girebilirsiniz

        {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Effect": "Allow",
                    "Principal": {
                        "AWS": "arn:aws:iam::790389265272:role/EnterpriseKeyManagement"
                    },
                    "Action": "sts:AssumeRole",
                    "Condition": {
                        "StringEquals": {
                            "sts:ExternalId": [
                                 <OPENAI_KURULUŞ_KİMLİĞİNİZ>,
                             ]
                        }
                    }
                }
            ]
        }

  4. Add permissions adımında, önceki adımda oluşturduğunuz IAM ilkesinin adını arayın. İlke adının yanındaki onay kutusuna tıklayın, ardından Next'e tıklayın.

    AWS IAM Add permissions page filtered to customer managed KMS policies with test-allow-kms-access selected

  5. Name, review, and create bölümünde istediğiniz bir rol adını seçin.

4. Kendi güvenlik uygulamalarınız doğrultusunda ek kısıtlamalar uygulayın

Yukarıdakiler, OpenAI'ın EKM'yi kurmak için ihtiyaç duyduğu asgari gerekli bilgilerdir. OpenAI'ın KMS'nizde şifreleme ve şifre çözme işlemlerini çağırabilmesi koşuluyla, kendi iç güvenlik uygulamalarınıza uygun ek anahtar ilkeleri veya kısıtlamalar uygulamakta özgürsünüz. Aşağıda açıklanan anahtar kayıt uç noktasını OpenAI ile çağırdığınızda kurulumunuzu doğrulayacağız.

Yukarıdaki adımları tamamladıktan sonra

ChatGPT Enterprise

Lütfen OpenAI irtibat kişinize ulaşın ve aşağıdakileri paylaşın:

  • "role_arn": "arn:aws:iam::<YOUR_AWS_ACCOUNT_NUMBER>:role/<YOUR_ROLE>",

    • OpenAI'ın bulutunuzda üstleneceği Role ARN

  • "kms_arn": "arn:aws:kms:<REGION>:<YOUR_AWS_ACCOUNT_NUMBER>:key/<UUID>"

    • Yönettiğiniz ana anahtar için Key Management System ARN

ChatGPT kuruluşunuz/çalışma alanınız için EKM'yi etkinleştireceğiz.

API

Harici anahtarınızı OpenAI ile kaydedin

Bu API başvurusundaki talimatları izleyin Management API'de External Keys

  1. Önce harici anahtarınızı OpenAI kuruluşu düzeyinde kaydedin; bu işlem bir harici anahtar kimliği oluşturacaktır.

  2. Bu adımda girdinizin geçerli olduğunu ve KMS'nize kimlik doğrulaması yapabildiğimizi doğrulayacağız.

  3. Bu, henüz OpenAI projenize EKM eklemeyecektir.

    curl -X POST \
    -H "Content-type: application/json" \
    -H "Authorization: Bearer $TOKEN" \

    "https://api.openai.com/v1/organization/external_keys" \
    -d '{
      "type": "aws",
      "name": "AWS EKM Yapılandırması",
      "role_arn": "arn:aws:iam::<YOUR_AWS_ACCOUNT_NUMBER>:role/<YOUR_ROLE>",
      "kms_arn": "arn:aws:kms:<REGION>:<YOUR_AWS_ACCOUNT_NUMBER>:key/<UUID>",
      "external_id": <kuruluş kimliğiniz veya proje kimliğiniz>
    }'

  4. Ardından, harici anahtarla ilişkili bir OpenAI projesi oluşturun. Bundan sonra EKM projenizde etkinleştirilir.

  5. Bu API çağrısının yanıt gövdesi size proje kimliğini verecektir (proj_xxx)

    curl -X POST \
    -H "Content-type: application/json" \
    -H "Authorization: Bearer $TOKEN" \
    "https://api.openai.com/v1/organization/projects" \
    -d '{
       "name": "Bir Proje",

       "external_key_id": "extkey_xxxx"
    }'

Bu makale yararlı oldu mu?