OpenAI
Trang này được dịch bằng máy học. Xem bài viết gốc bằng tiếng Anh.

Vòng đời khóa KMS của EKM

Hướng dẫn trọn vòng đời khóa KMS, từ kiểm tra thiết lập đến dọn dẹp sau thu hồi

Đã cập nhật: 21 days ago

Điều kiện tiên quyết

Điều này giả định rằng bạn đã đăng ký khóa KMS bên ngoài của mình với OpenAI, theo một trong các hướng dẫn này

Thuật ngữ chính

Hoạt động xoay vòng khóa và thu hồi khóa phục vụ các mục đích khác nhau. Hãy chắc chắn chọn đúng hành động cho trường hợp sử dụng của bạn.

  • Xoay vòng khóa: Tạo vật liệu mật mã mới để mã hóa dữ liệu mới, đồng thời cho phép giải mã dữ liệu cũ được mã hóa bằng các khóa trước đó

    • Xoay vòng khóa không ảnh hưởng đến quyền truy cập vào dữ liệu OpenAI

  • Thu hồi khóa: Thu hồi quyền truy cập vào tất cả dữ liệu được mã hóa bằng các khóa trước đó.

    • Thu hồi khóa thu hồi quyền truy cập vào dữ liệu OpenAI

Cách xác minh khóa KMS của bạn đang được sử dụng

Nhà cung cấp đám mây của bạn nên có nhật ký:

Cách xoay vòng khóa của bạn

Bạn có thể thiết lập xoay vòng khóa tự động

Để kiểm tra: quyền truy cập của bạn vào dữ liệu OpenAI sẽ không bị ảnh hưởng bởi thay đổi này

Cách thu hồi khóa của bạn

Có nhiều cách để thu hồi quyền truy cập của OpenAI vào khóa của bạn - bất kỳ gián đoạn nào trong luồng xác thực:

  • Nếu bạn thu hồi quyền truy cập của vai trò OpenAI vào khóa KMS

  • Nếu bạn xóa quyền mã hóa/giải mã trên khóa KMS

  • Nếu bạn đang sử dụng bí danh khóa AWS (không khuyến nghị), và bạn chuyển đổi ARN KMS bên dưới. Hành động này đôi khi bị nhầm với xoay vòng khóa nhưng thực chất là thu hồi khóa, vì vậy không khuyến nghị trừ khi bạn chắc chắn muốn thực hiện.

  • Nếu bạn yêu cầu OpenAI cập nhật ARN KMS được sử dụng cho không gian làm việc ChatGPT Enterprise của bạn

Để xác thực việc thu hồi khóa của bạn:

  • Hãy đợi một giờ để tất cả mục trong bộ nhớ đệm hết hạn ở phía OpenAI, rồi kiểm tra việc thu hồi

    • Nếu bạn đang sử dụng ChatGPT Enterprise, bạn sẽ không còn có thể đọc các cuộc trò chuyện trước đây, tính năng tìm kiếm cuộc trò chuyện sẽ không hiển thị kết quả từ các cuộc trò chuyện trước đây, và bạn sẽ không thể truy cập các GPT tùy chỉnh trước đây.

    • Nếu bạn đang sử dụng API, bạn sẽ không còn có thể tải xuống các tệp batch trước đây, sử dụng các mô hình đã tinh chỉnh trước đây hoặc tham chiếu các phản hồi trước đây được tạo bằng Responses API.

  • Nếu bạn đang sử dụng API, bạn cũng có thể kiểm tra ngay rằng việc thu hồi khóa của bạn đã được OpenAI xử lý và sẽ có hiệu lực trong vòng một giờ

    • Tạo khóa API quản trị (không phải khóa API thông thường):

    • Lấy ID khóa bên ngoài của OpenAI (extkey_xxx) liên kết với không gian làm việc hoặc dự án của bạn bằng cách gọi curl -X GET -H "Authorization: Bearer $ADMIN_API_KEY" https://api.openai.com/v1/organization/external_keys

    • Bây giờ hãy gọi curl -X POST -H "Authorization: Bearer $ADMIN_API_KEY" "https://api.openai.com/v1/organization/external_keys/extkey_xxx/validate"

Các phương pháp hay nhất khi thu hồi khóa

Nếu bạn đang sử dụng API

  • Lưu trữ dự án API có dữ liệu mà bạn đã làm cho không thể truy cập. Sau đó, thiết lập một khóa KMS mới và tạo một dự án API mới liên kết với khóa KMS mới.

  • Lưu ý rằng bạn không thể thay khóa KMS liên kết với dự án API cũ nơi bạn đã thực hiện việc thu hồi khóa - bạn phải lưu trữ dự án cũ. Một dự án đã phát lệnh thu hồi khóa không nên tiếp tục được sử dụng. API giúp việc tạo dự án mới trở nên rất dễ dàng, vì vậy hãy sử dụng tính năng đó.

Nếu bạn đang sử dụng ChatGPT Enterprise

  • Hãy liên hệ với bộ phận hỗ trợ của OpenAI sau khi bạn đã thực hiện việc thu hồi khóa.

  • Chúng tôi sẽ phối hợp với bạn để tạo một không gian làm việc mới. Chúng tôi sẽ không tái sử dụng không gian làm việc cũ bằng cách cố cập nhật để dùng khóa KMS mới. Điều này là vì khi việc thu hồi khóa hoạt động đúng như thiết kế, dữ liệu trước đây được mã hóa bằng khóa đã thu hồi sẽ không thể truy cập được.

Bài viết này có hữu ích không?