Genel Bakış
Enterprise Key Management (EKM), OpenAI’ın verileri sizin kontrol ettiğiniz bir ana anahtar kullanarak şifrelemesini sağlar. Bu belge, OpenAI’a KMS’niz üzerinde sınırlı izinler vermek için GCP hesabınızı nasıl ayarlayacağınızı gösterir.
Adımlar
1. OpenAI için birleşik kimlik oluşturun
OpenAI, OpenAI’a ait bir GCP hesabından aşağıdakine benzer bir kimlik token’ı yayınlayacaktır.
azp ve sub, OpenAI’ın GCP’deki hizmet hesabı kimliğidir
aud, OpenAI kuruluş kimliğinizdir. OpenAI proje kimliğiniz gibi başka bir hedef kitle de seçebilirsiniz; aşağıdaki talimatlara bakın
{
"aud": "org-xxxx",
"azp": "105900137572174660365",
"exp": 1747876928,
"iat": 1747873328,
"iss": "https://accounts.google.com",
"sub": "105900137572174660365"
}Bu adım, söz konusu kimlik token’ı tarafından yapılan talepleri tanır ve bu kimlik token’ı sağlandığında GCP STS’nizin bir erişim token’ı yayınlamasını sağlar.
IAM & Yönetici -> Workload Identity Federation bölümüne gidin ve Havuz Oluştur seçeneğine tıklayın
Kimlik havuzu oluştur, adımında havuz adı için herhangi bir değer girin.
Havuza sağlayıcı ekle adımında:
Sağlayıcı seç bölümünde OpenID Connect (OIDC) seçeneğini belirleyin
Sağlayıcı adı için herhangi bir değer girin.
Yayıncı (URL) bölümüne https://accounts.google.com girin
Hedef kitleler bölümünde
İzin verilen hedef kitleler seçeneğini belirleyin
Size bir token ilettiğimizde OpenAI’ın belirtmesi gereken hedef kitleyi girin.
ChatGPT veya API için: OpenAI API kuruluş kimliğini (org-xxx) girebilirsiniz
API için: daha fazla ayrıntı düzeyi için belirli bir API proje kimliği girebilirsiniz.
Öznitelik eşleme bölümünde
google.subject için assertion.sub girin
Öznitelik koşulları bölümünde
Artık workload identity pool ve workload identity provider öğelerinizin https://console.cloud.google.com/iam-admin/workload-identity-pools sayfasında listelendiğini görmelisiniz
Workload identity pool id
Workload identity provider ID
2. KMS’nin etkin olduğundan emin olun
KMS’yi etkinleştirmek için https://console.developers.google.com/apis/api/cloudkms.googleapis.com/overview adresine gidin. KMS’nizi OpenAI’ın birleşik kimliğini tanıttığınız GCP projesiyle aynı projede oluşturmanız gerekmez; ancak projeler farklıysa, KMS ürünü en azından her iki projede de etkinleştirilmiş olmalıdır.
3. Yeni bir KMS anahtarı oluşturun
Güvenlik -> Veri Koruma > Anahtar Yönetimi bölümüne gidin
Genel Bakış sekmesi altında Anahtar halkası oluştur seçeneğine tıklayın
Anahtar halkanız için herhangi bir ad seçin
Amaç ve algoritma için Simetrik şifreleme/şifre çözme seçeneğini belirleyin
Bir anahtar halkası oluşturduğunuzda, Anahtar Halkaları sekmesinde listelenmelidir. Anahtar halkasına tıklayın.
Anahtar halkası ayrıntılarında Anahtar Oluştur seçeneğine tıklayın
Anahtarınız için herhangi bir ad seçin
4. KMS üzerinde şifreleme/şifre çözme işlemleri için sınırlı bir rol oluşturun
IAM & Yönetici -> Roller -> Rol oluştur bölümüne gidin
Rol başlığı ve kimliği için herhangi bir değer girin
İzin Ekle’ye tıklayın, ardından aşağıdakileri ekleyin
cloudkms.cryptoKeyVersions.useToDecrypt
cloudkms.cryptoKeyVersions.useToEncrypt
5. OpenAI’ın birleşik kimliğini, şifreleme/şifre çözme işlemleri için sınırlı KMS rolüne atayın
Güvenlik -> Veri Koruma > Anahtar Yönetimi bölümüne gidin
Anahtar ayrıntıları sayfanıza gitmek için anahtar halkası adınıza tıklayın, ardından anahtar adına tıklayın.
İzinler sekmesine tıklayın, ardından Erişim Ver düğmesine tıklayın
OpenAI birleşik kimliğini daha önce oluşturduğunuz özel role atayın
Asıl öğeler ekle bölümü için principal://iam.googleapis.com/projects/<YOUR_GCP_PROJECT_NUMBER>/locations/global/workloadIdentityPools/<YOUR_GCP_WORKLOAD_IDENTITY_POOL>/subject/105900137572174660365 girin
Rolleri ata bölümünde, sınırlı EKM izinleri için önceki adımda oluşturduğunuz özel rolü seçin
6. Kendi güvenlik uygulamalarınıza uygun ek kısıtlamaları uygulayın
Yukarıdaki bilgiler, OpenAI’ın EKM’yi ayarlamak için ihtiyaç duyduğu gerekli asgari bilgilerdir. OpenAI KMS’nizde şifreleme ve şifre çözme işlemlerini çağırabildiği sürece, kendi iç güvenlik uygulamalarınıza uygun ek anahtar politikaları veya kısıtlamalar uygulamakta özgürsünüz. Aşağıda açıklanan şekilde OpenAI ile anahtar kayıt uç noktasını çağırdığınızda kurulumunuzu doğrulayacağız.
Yukarıdaki adımları tamamladıktan sonra
ChatGPT Enterprise
Lütfen OpenAI iletişim kişinize ulaşın ve aşağıdakileri paylaşın:
"workload_identity_project_number": "123456789012",
"workload_identity_pool_id": "openai-azure",
"workload_identity_provider_id": "openai-ekm-service-role",
"kms_project_id": "adjective-noun-12345",
"kms_key_name": "openai-kms-key",
"kms_key_ring_name": "openai-kms-key-ring",
"kms_key_location": "us-east1"
Key Management System ana anahtarınızın bulunduğu bölge
ChatGPT kuruluşunuz/çalışma alanınız için EKM’yi etkinleştireceğiz.
API
Harici anahtarınızı OpenAI’a kaydedin
Bu API referansındaki talimatları izleyin: Yönetim API’sinde Harici Anahtarlar
Önce harici anahtarınızı OpenAI kuruluş düzeyinde kaydedin; bu, bir harici anahtar kimliği oluşturacaktır.
Bu adımda, KMS’nize kimlik doğrulaması yapabildiğimizi kontrol ederek GCP’deki kurulumunuzu doğrulayacağız.
Bu işlem, OpenAI projenize henüz EKM eklemez.
curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/external_keys" \
-d '{
"type": "gcp",
"name": "GCP EKM Yapılandırması",
"workload_identity_project_number": "123456789012",
"workload_identity_pool_id": "openai-azure",
"workload_identity_provider_id": "openai-ekm-service-role",
"audience": <kuruluş kimliğiniz veya proje kimliğiniz>,
"kms_project_id": "adjective-noun-12345",
"kms_key_name": "openai-kms-key",
"kms_key_ring_name": "openai-kms-key-ring",
"kms_key_location": "us-east1"
}'Ardından, harici anahtarla ilişkilendirilmiş bir OpenAI projesi oluşturun. Bundan sonra, projenizde EKM etkinleştirilir.
curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/projects" \
-d '{
"name": "Bazı Projeler",
"external_key_id": "extkey_xxxx"
}'