OpenAI
Bu sayfanın çevirisi otomatik olarak yapılmıştır. Orijinal İngilizce makaleyi görüntüleyin.

OpenAI / AWS EKM Entegrasyon Talimatları

AWS sağlama ve EKM'yi etkinleştirme için adım adım talimatlar

Güncellenme zamanı: yesterday

Genel Bakış

Enterprise Key Management (EKM), OpenAI'nin verileri sizin denetlediğiniz bir ana anahtar kullanarak şifrelemesini sağlar. Bu belge, OpenAI'ye KMS'nizde sınırlı izin vermek için AWS hesabınızı nasıl ayarlayacağınızı gösterir.

AWS EKM integration flow between OpenAI EKM Service, your STS, your KMS, and your master KEK

Adımlar

1. Yeni bir KMS anahtarı oluşturun

  1. KMS -> Müşteri tarafından yönetilen anahtarlar bölümüne gidin, ardından Anahtar Oluştur'a tıklayın.

  2. Simetrik bir şifreleme algoritması seçin.

  3. Anahtarınız oluşturulduktan sonra ARN değerini not edin. Desteklenen biçimler arasında arn:aws:kms:<region>:<account_number>:key/<uuid>, ...:key/mrk-* veya ...:alias/<alias_name> bulunur.

AWS KMS customer managed key details page with key ID and ARN for test-kms

2. KMS anahtarına sınırlı erişim için özel bir politika oluşturun

  1. IAM -> Politikalar bölümüne gidin, ardından Politika Oluştur'a tıklayın.

  2. İzinleri belirtin adımında JSON seçeneğini belirleyin ve politikaya KMS erişim eylemleri vermek için aşağıdakini girin. Oluşturduğunuz anahtarın ARN'siyle YOUR_KMS_ARN değerini değiştirdiğinizden emin olun.

AWS IAM Create policy page with Specify permissions open and the JSON policy editor selected
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowEncryptDecrypt",
            "Effect": "Allow",
            "Action": [

                "kms:Decrypt",
                "kms:Encrypt"

            ],
            "Resource": <KENDİ_KMS_ARN_DEĞERİNİZ>
        }
    ]
}

3. OpenAI'nin üstleneceği bir IAM Rolü oluşturun ve bunu KMS'nize sınırlı erişimi olan politikaya atayın

OpenAI, OpenAI'ye ait bir AWS hesabından AssumeRole çağrısı yapacak. Bu adım, OpenAI'nin AWS principal'ının KMS'nize erişmek için sınırlı rolü üstlenmesine olanak tanır.

  1. IAM -> Roller bölümüne gidin, ardından Rol Oluştur'a tıklayın.

  2. Güvenilen varlığı seç adımında Özel güven politikası seçeneğini belirleyin.

AWS IAM Select trusted entity screen with Custom trust policy selected

Ardından OpenAI'nin AWS principal'ına erişim izni vermek için Özel güven politikası alanına aşağıdakini girin.

  • Principal, OpenAI'nin AWS principal'ıdır: arn:aws:iam::790389265272:role/EnterpriseKeyManagement.

  • AssumeRole sürecinde OpenAI'nin hangi ExternalId değerini iletmesi gerektiğini belirtin.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::790389265272:role/EnterpriseKeyManagement"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "sts:ExternalId": [
                         <OPENAI_KURULUŞ_KİMLİĞİNİZ>,
                     ]
                }
            }
        }
    ]
}

Ardından İzin ekle adımında, önceki adımda oluşturduğunuz IAM politikasının adını arayın. Politika adının yanındaki onay kutusuna tıklayın, ardından İleri'ye tıklayın.

AWS IAM Add permissions page filtered to customer managed KMS policies with test-allow-kms-access selected

Son olarak Adlandır, incele ve oluştur bölümünde herhangi bir rol adı seçin.

4. Kendi güvenlik uygulamalarınıza uygun ek kısıtlamalar uygulayın

Yukarıda, OpenAI'nin EKM'yi ayarlamak için ihtiyaç duyduğu asgari gerekli bilgiler yer almaktadır. OpenAI KMS'nizde şifreleme ve şifre çözme işlemlerini çağırabildiği sürece, kendi dahili güvenlik uygulamalarınıza uygun ek anahtar politikaları veya kısıtlamalar uygulamakta özgürsünüz. Aşağıda açıklanan OpenAI anahtar kayıt uç noktasını çağırdığınızda, kurulumunuzu doğrulayacağız.

Yukarıdaki adımları tamamladıktan sonra

ChatGPT Enterprise

Lütfen OpenAI irtibat kişinizle iletişime geçin ve şunları paylaşın:

  • "role_arn": "arn:aws:iam::<YOUR_AWS_ACCOUNT_NUMBER>:role/<YOUR_ROLE>"

    • OpenAI'nin bulutunuzda üstleneceği Rol ARN'si.

  • "kms_arn": "arn:aws:kms:<REGION>:<YOUR_AWS_ACCOUNT_NUMBER>:key/<UUID>"

    • Yönettiğiniz ana anahtarın Anahtar Yönetim Sistemi ARN'si.

ChatGPT kuruluşunuz/çalışma alanınız için EKM'yi etkinleştireceğiz.

API

Harici anahtarınızı OpenAI'ye kaydedin

Bu API başvurusundaki talimatları izleyin: Yönetim API'sinde Harici Anahtarlar.

  1. Önce, harici anahtarınızı OpenAI kuruluş düzeyinde kaydedin; bu işlem bir harici anahtar kimliği oluşturur.

  2. Bu adımda, girdinizin geçerli olduğunu ve KMS'nizde kimlik doğrulaması yapabildiğimizi doğrulayacağız.

  3. Bu, EKM'yi OpenAI projenize henüz eklemez.

curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \

"https://api.openai.com/v1/organization/external_keys" \
-d '{
  "type": "aws",
  "name": "AWS EKM Yapılandırması",
  "role_arn": "arn:aws:iam::<YOUR_AWS_ACCOUNT_NUMBER>:role/<YOUR_ROLE>",
  "kms_arn": "arn:aws:kms:<REGION>:<YOUR_AWS_ACCOUNT_NUMBER>:key/<UUID>",
  "external_id": <kuruluş kimliğiniz veya proje kimliğiniz>
}'

Ardından, harici anahtarla ilişkili bir OpenAI projesi oluşturun. Bundan sonra, projenizde EKM etkinleştirilir. Bu API çağrısının yanıt gövdesi size proje kimliğini (proj_xxx) verecektir.

curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/projects" \
-d '{
   "name": "Bir Proje",

   "external_key_id": "extkey_xxxx"
}'

Bu makale yararlı oldu mu?