Genel Bakış

Enterprise Key Management (EKM), OpenAI’ın verileri sizin kontrol ettiğiniz bir ana anahtar kullanarak şifrelemesini sağlar. OpenAI’ın Key Vault’unuzda şifreleme/şifre çözme işlemlerini çağırabilmesi için bize erişim izni verilmesi gerekir. Bu belge, OpenAI’ın Key Vault izinlerine sahip bir rolü üstlenebilmesi için Azure hesabınızı nasıl ayarlayacağınızı gösterir.

Adımlar

1. Hesabınızda OpenAI için bir hizmet sorumlusu oluşturun

1. Bir erişim tokenı alın

az account get-access-token --resource https://graph.microsoft.com
--tenant YOUR_TENANT_ID

2. Hizmet sorumlusunu oluşturun - aşağıdaki istekteki appId, OpenAI’ın uygulama istemci kimliğidir. Bu, görüntüleme adı “EKM - OpenAI Azure” olan bir sorumlu oluşturacaktır - bunu sonraki adımlar için hatırlayın.

OpenAI / Azure EKM Entegrasyon Talimatları - Hizmet sorumlusu oluşturma

curl -X POST https://graph.microsoft.com/v1.0/servicePrincipals \
-H "Authorization: Bearer $TOKEN_FROM_ABOVE" \
-H "Content-Type: application/json" \
–d '{"appId": "20a14814-5ab7-4612-a671-1382b412bf93"}'

2. Sınırlı KMS erişimi için bir özel rol oluşturun

1. Subscriptions -> Access Control (IAM) bölümüne gidin

2. + Add açılır menüsü altında Add custom role seçeneğini belirleyin

3. JSON sekmesine gidin, Edit’e tıklayın ve aşağıdakileri ekleyin

   1. Herhangi bir rol adı - seçtiğiniz adı hatırlayın

   2. dataActions içindeki aşağıdaki izinler

      1. Microsoft.KeyVault/vaults/keys/encrypt/action

      2. Microsoft.KeyVault/vaults/keys/decrypt/action

      3. Microsoft.KeyVault/vaults/keys/read

         

3. Bir Key Vault + Key oluşturun

Halihazırda yoksa, özel rolünüzü az önce oluşturduğunuz aynı abonelikte yeni bir Key Vault oluşturun

Bu Key Vault içinde yeni bir Anahtar oluşturun:

1. Key Vault -> Objects -> Keys bölümüne gidin, ardından Generate/Import’a tıklayın

2. Options altında Generate
   
   seçeneğini belirleyin

   

3. Şifreleme algoritması olarak RSA seçin.

4. Herhangi bir RSA anahtar boyutunu seçebilirsiniz

5. Şu biçimde bir anahtar adı sağlayın: <org-xxx>--<any_name>; burada org-xxx, https://platform.openai.com/settings/organization/general adresinde bulabileceğiniz OpenAI kuruluş kimliğinizdir

   

Bir anahtarı görüntüleyemiyor veya oluşturamıyorsanız, Key Vault Administrator rolüne sahip olduğunuzdan emin olun. Owner rolüne sahip olsanız bile bu gereklidir. Rolün atanması için:

1. Key Vault->Access Control (IAM) bölümüne gidin

2. Add-> Add role assignment
   
   seçeneğine tıklayın

   

4. OpenAI hizmet sorumlusu + yeni özel KMS + yeni anahtar için bir rol ataması oluşturun

1. Key Vault -> Objects -> Keys bölümüne gidin, ardından oluşturduğunuz anahtarın satırına tıklayın

2. Az önce tıkladığınız anahtar için Access control (IAM) bölümüne gidin (key vault’unuz için değil).

3. + Add açılır menüsü altında Add role assignment
   
   seçeneğini belirleyin

   

4. Role sekmesinde, az önce oluşturduğunuz özel rolün adını seçin.

   

5. Members sekmesinde:

   1. “+ Select members” seçeneğine tıklayın

   2. Arama çubuğuna “ekm -” yazın; ardından 1. Adımda oluşturduğunuz OpenAI hizmet sorumlusu yüklenmelidir

      

5. Kendi güvenlik uygulamalarınızla uyumlu ek kısıtlamalar uygulayın

Yukarıdakiler, OpenAI’ın EKM’yi kurmak için ihtiyaç duyduğu asgari bilgilerdir. OpenAI KMS’nizde şifreleme ve şifre çözme işlemlerini çağırabildiği sürece, kendi iç güvenlik uygulamalarınıza uygun ek anahtar ilkeleri veya kısıtlamalar uygulamakta özgürsünüz. Aşağıda açıklanan anahtar kayıt uç noktasını OpenAI ile çağırdığınızda kurulumunuzu doğrulayacağız.

Yukarıdaki adımları tamamladıktan sonra

ChatGPT Enterprise

Lütfen OpenAI irtibat kişinizle iletişime geçin ve aşağıdakileri paylaşın:

• "tenant_id": "<YOUR_AZURE_TENANT_UUID>"

  • Azure kiracı UUID’niz

• "vault_uri": "https://<YOUR_KEYVAULT_NAME>.vault.azure.net/"

  • Yönettiğiniz ana anahtarı içeren Azure kasasının URI’si

• "key_name": "<YOUR_KEY_NAME>"

  • Yönettiğiniz Azure Key Vault ana anahtarının adı

  • Anahtar adı <org-xxx>--<any_name> biçiminde olmalıdır; burada org-xxx, https://platform.openai.com/settings/organization/general adresinde bulabileceğiniz OpenAI kuruluş kimliğinizdir

ChatGPT kuruluşunuz/çalışma alanınız için EKM’yi etkinleştireceğiz.

API

Harici anahtarınızı OpenAI ile kaydedin

Bu API referansındaki talimatları izleyin: Management API’de Harici Anahtarlar

• Önce harici anahtarınızı OpenAI kuruluşu düzeyinde kaydedin; bu, extkey_xxx biçiminde bir harici anahtar kimliği oluşturacaktır

• Bu adımda, girdinizin geçerli olduğunu ve KMS’nize kimlik doğrulaması yapabildiğimizi doğrulayacağız.

• Bu, OpenAI projenize henüz EKM eklemeyecektir. 

# Bu, extkey_xxx

 biçiminde bir harici anahtar kimliği oluştururcurl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/external_keys" \
-d '{
  "type": "azure",
  "name": "<ANY_FRIENDLY_NAME>",
  "tenant_id": "<YOUR_AZURE_TENANT_UUID>",
  "vault_uri": "https://<YOUR_KEYVAULT_NAME>.vault.azure.net/",
  "key_name": "<YOUR_KEY_NAME>"
}'

• Ardından, harici anahtarla ilişkilendirilmiş bir OpenAI projesi oluşturun. Bundan sonra EKM projenizde etkinleştirilir.

• Bu API çağrısının yanıt gövdesi size proje kimliğini (proj_xxx)
  
  verecektirOpenAI / Azure EKM Entegrasyon Talimatları - Proje Oluşturma

curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/projects" \
-d '{
   "name": "Some Project",
   "external_key_id": "extkey_xxxx"
}'