Передумови
Припускається, що ви вже зареєстрували свій зовнішній ключ KMS в OpenAI, дотримавшись одного з цих посібників
Ключові терміни
Ротація ключа та відкликання ключа мають різні цілі. Переконайтеся, що ви вибрали правильну дію для свого сценарію використання.
Ротація ключа: створення нового криптографічного матеріалу для шифрування нових даних із можливістю розшифровувати старі дані, зашифровані попередніми ключами
Ротація ключа не впливає на доступ до даних OpenAI
Відкликання ключа: відкликання доступу до всіх даних, зашифрованих попередніми ключами.
Відкликання ключа відкликає доступ до даних OpenAI
Як перевірити, що ваш ключ KMS використовується
У вашого хмарного провайдера мають бути журнали:
Як ротувати ключ
Ви можете налаштувати автоматичну ротацію ключа
AWS — https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html
GCP — https://cloud.google.com/kms/docs/rotate-key#automatic
Azure — https://learn.microsoft.com/en-us/azure/key-vault/keys/how-to-configure-key-rotation
Для перевірки: ця зміна не вплине на ваш доступ до даних OpenAI
Як відкликати ключ
Є багато способів відкликати доступ OpenAI до вашого ключа — будь-яке порушення потоку автентифікації:
Якщо ви відкликаєте доступ ролі OpenAI до ключа KMS
Якщо ви видаляєте дозволи на шифрування/розшифрування для ключа KMS
Якщо ви використовуєте псевдонім ключа AWS (не рекомендовано), у разі зміни базового KMS ARN. Цю дію іноді плутають із ротацією ключа, але насправді це відкликання ключа, тому її не рекомендовано виконувати, якщо ви не впевнені, що цього хочете.
Якщо ви просите OpenAI оновити KMS ARN, який використовується для вашого робочого простору ChatGPT Enterprise
Щоб перевірити відкликання ключа:
Зачекайте одну годину, доки всі записи кешу на стороні OpenAI не завершать дію, а потім перевірте відкликання
Якщо ви використовуєте ChatGPT Enterprise, ви більше не зможете читати попередні розмови, пошук розмов не показуватиме результати з попередніх розмов, і ви не зможете отримати доступ до попередніх користувацьких GPT.
Якщо ви використовуєте API, ви більше не зможете завантажувати попередні пакетні файли, використовувати попередні донавчені моделі або посилатися на попередні відповіді, створені за допомогою Responses API.
Якщо ви використовуєте API, ви також можете негайно перевірити, що відкликання вашого ключа оброблено OpenAI і набуде чинності протягом однієї години
Створіть Admin API key (не звичайний ключ API):
Отримайте ідентифікатор зовнішнього ключа OpenAI (extkey_xxx), пов’язаний із вашим робочим простором або проєктом, викликавши curl -X GET -H "Authorization: Bearer $ADMIN_API_KEY" https://api.openai.com/v1/organization/external_keys
Тепер викличте curl -X POST -H "Authorization: Bearer $ADMIN_API_KEY" "https://api.openai.com/v1/organization/external_keys/extkey_xxx/validate"
Рекомендації щодо відкликання ключа
Якщо ви використовуєте API
Заархівуйте API-проєкт, дані якого ви зробили недоступними. Потім налаштуйте новий ключ KMS і створіть новий API-проєкт, пов’язаний із новим ключем KMS.
Зверніть увагу: ви не можете замінити ключ KMS, пов’язаний зі старим API-проєктом, у якому ви виконали відкликання ключа, — старий проєкт потрібно заархівувати. Проєкт, для якого було видано відкликання ключа, не має залишатися у використанні. API значно спрощує створення нових проєктів, тож скористайтеся цією можливістю.
Якщо ви використовуєте ChatGPT Enterprise
Зверніться до служби підтримки OpenAI після того, як виконаєте відкликання ключа.
Ми співпрацюватимемо з вами, щоб розгорнути новий робочий простір. Ми не будемо повторно використовувати старий робочий простір, намагаючись оновити його для використання нового ключа KMS. Це пов’язано з тим, що коли відкликання ключа працює належним чином, попередні дані, зашифровані відкликаним ключем, стають недоступними.