Genel Bakış

Kurumsal Anahtar Yönetimi (EKM), OpenAI’nin verileri sizin denetlediğiniz bir ana anahtarla şifrelemesine olanak tanır. OpenAI’nin Key Vault’unuzda şifreleme/şifre çözme işlemlerini çağırabilmesi için bize erişim verilmesi gerekir. Bu belge, OpenAI’nin Key Vault izinlerine sahip bir rolü üstlenebilmesi için Azure hesabınızı nasıl ayarlayacağınızı gösterir.

Azure EKM flow where OpenAI EKM uses Microsoft Entra ID to access your Key Vault and master KEK

Adımlar

1. Hesabınızda OpenAI için bir hizmet sorumlusu oluşturun

Erişim token’ı alın

az account get-access-token --resource https://graph.microsoft.com
--tenant YOUR_TENANT_ID

Hizmet sorumlusunu oluşturun - aşağıdaki istekte yer alan appId, OpenAI’nin uygulama istemci kimliğidir. Bu işlem, görünen adı “EKM - OpenAI Azure” olan bir sorumlu oluşturur; bunu sonraki adımlar için unutmayın.

OpenAI / Azure EKM Entegrasyon Talimatları - Hizmet sorumlusu oluşturma

curl -X POST https://graph.microsoft.com/v1.0/servicePrincipals \
-H "Authorization: Bearer $TOKEN_FROM_ABOVE" \
-H "Content-Type: application/json" \
–d '{"appId": "20a14814-5ab7-4612-a671-1382b412bf93"}'

2. Sınırlı KMS erişimi için özel bir rol oluşturun

Abonelikler -> Erişim Denetimi (IAM) bölümüne gidin
+ Ekle açılır menüsünden Özel rol ekle seçeneğini seçin
JSON sekmesine gidin, Düzenle’ye tıklayın ve şunları ekleyin:
1. Herhangi bir rol adı - seçtiğiniz adı unutmayın
2. dataActions içinde aşağıdaki izinler:
  1. Microsoft.KeyVault/vaults/keys/encrypt/action
  2. Microsoft.KeyVault/vaults/keys/decrypt/action
  3. Microsoft.KeyVault/vaults/keys/read

OpenAI / Azure EKM Integration Instructions Custom Role

3. Key Vault + Anahtar oluşturun

Henüz yoksa, özel rolünüzü az önce oluşturduğunuz aynı abonelikte yeni bir Key Vault oluşturun.

Bu Key Vault’ta yeni bir Anahtar oluşturun:

Key Vault -> Nesneler -> Anahtarlar bölümüne gidin, ardından Oluştur/İçeri aktar’a tıklayın
Seçenekler altında Oluştur seçeneğini seçin

Azure Key Vault Keys page with Generate/Import highlighted to add a key

Şifreleme algoritması olarak RSA seçin.
İstediğiniz RSA anahtar boyutunu seçebilirsiniz
Şu biçimde bir anahtar adı sağlayın: <org-xxx>--<any_name>; burada org-xxx, https://platform.openai.com/settings/organization/general adresinde bulabileceğiniz OpenAI kuruluş kimliğinizdir

Azure Key Vault key generation form with RSA selected and key name org-abcdefg--test-keyvault-key

Bir anahtarı görüntüleyemiyor veya oluşturamıyorsanız Key Vault Yöneticisi rolüne sahip olduğunuzdan emin olun. Sahip rolünüz olsa bile bu gereklidir. Rolün atanması için:

Key Vault -> Erişim Denetimi (IAM) bölümüne gidin
Ekle -> Rol ataması ekle seçeneğine tıklayın

Azure Key Vault Access control (IAM) page with Add menu open to Add role assignment

4. OpenAI hizmet sorumlusu + yeni özel KMS + yeni anahtar için rol ataması oluşturun

Key Vault -> Nesneler -> Anahtarlar bölümüne gidin, ardından oluşturduğunuz anahtarın satırına tıklayın
Az önce tıkladığınız anahtar için Erişim denetimi (IAM) bölümüne gidin (anahtar kasanız değil).
+ Ekle açılır menüsünden Rol ataması ekle seçeneğini seçin

Rol sekmesinde, az önce oluşturduğunuz özel rolün adını seçin.

Azure role list filtered for openai- with the openai-azure-kms-role entry

Üyeler sekmesinde:
1. “+ Üye seç” seçeneğine tıklayın
2. Arama çubuğuna “ekm -” yazın; ardından 1. Adımda oluşturduğunuz OpenAI hizmet sorumlusu yüklenmelidir

Azure role assignment Members step with EKM - OpenAI Azure Application selected as a member

5. Kendi güvenlik uygulamalarınıza uygun ek kısıtlamaları uygulayın

Yukarıda, OpenAI’nin EKM’yi ayarlamak için ihtiyaç duyduğu minimum bilgiler yer almaktadır. OpenAI KMS’nizde şifreleme ve şifre çözme işlemlerini çağırabildiği sürece, kendi dahili güvenlik uygulamalarınıza uygun ek anahtar ilkeleri veya kısıtlamaları uygulamakta serbestsiniz. Aşağıda açıklanan OpenAI anahtar kayıt uç noktasını çağırdığınızda, kurulumunuzu doğrulayacağız.

Yukarıdaki adımları tamamladıktan sonra

ChatGPT Enterprise

Lütfen OpenAI ilgili kişinizle iletişime geçin ve şunları paylaşın:

"tenant_id": "<YOUR_AZURE_TENANT_UUID>"

"vault_uri": "https://<YOUR_KEYVAULT_NAME>.vault.azure.net/"

"key_name": "<YOUR_KEY_NAME>"

Yönettiğiniz Azure Key Vault ana anahtarının adı
Anahtar adı <org-xxx>--<any_name> biçiminde olmalıdır; burada org-xxx, https://platform.openai.com/settings/organization/general adresinde bulabileceğiniz OpenAI kuruluş kimliğinizdir

ChatGPT kuruluşunuz/çalışma alanınız için EKM’yi etkinleştireceğiz.

API

Harici anahtarınızı OpenAI’ye kaydedin

Bu API referansındaki talimatları izleyin: Yönetim API’sinde Harici Anahtarlar

Önce harici anahtarınızı OpenAI kuruluş düzeyinde kaydedin; bu işlem extkey_xxx biçiminde bir harici anahtar kimliği oluşturur
Bu adımda, girdinizin geçerli olduğunu ve KMS’nize kimlik doğrulaması yapabildiğimizi doğrulayacağız.
Bu, EKM’yi henüz OpenAI projenize eklemez.

# This generates an external key ID of the form extkey_xxx
curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/external_keys" \
-d '{
  "type": "azure",
  "name": "<ANY_FRIENDLY_NAME>",
  "tenant_id": "<YOUR_AZURE_TENANT_UUID>",
  "vault_uri": "https://<YOUR_KEYVAULT_NAME>.vault.azure.net/",
  "key_name": "<YOUR_KEY_NAME>"
}'

Ardından, harici anahtarla ilişkili bir OpenAI projesi oluşturun. Bundan sonra EKM projenizde etkinleştirilir.
Bu API çağrısının yanıt gövdesi size proje kimliğini (proj_xxx) verir

curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/projects" \
-d '{
   "name": "Some Project",
   "external_key_id": "extkey_xxxx"
}'

OpenAI / Azure EKM Entegrasyon Talimatları