Điều kiện tiên quyết
Nội dung này giả định rằng bạn đã đăng ký khóa KMS bên ngoài của mình với OpenAI, theo một trong các hướng dẫn sau
Thuật ngữ chính
Xoay vòng khóa và thu hồi khóa phục vụ các mục đích khác nhau. Hãy chắc chắn chọn đúng thao tác cho trường hợp sử dụng của bạn.
Xoay vòng khóa: Tạo vật liệu mật mã mới để mã hóa dữ liệu mới, đồng thời vẫn cho phép giải mã dữ liệu cũ hơn được mã hóa bằng các khóa trước đó
Xoay vòng khóa không ảnh hưởng đến quyền truy cập dữ liệu OpenAI
Thu hồi khóa: Thu hồi quyền truy cập vào toàn bộ dữ liệu được mã hóa bằng các khóa trước đó.
Thu hồi khóa thu hồi quyền truy cập dữ liệu OpenAI
Cách xác minh khóa KMS của bạn đang được sử dụng
Nhà cung cấp đám mây của bạn phải có nhật ký:
AWS - https://docs.aws.amazon.com/kms/latest/developerguide/security-logging-monitoring.html
Azure - https://learn.microsoft.com/en-us/azure/key-vault/general/howto-logging
Cách xoay vòng khóa của bạn
Bạn có thể thiết lập xoay vòng khóa tự động
AWS - https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html
GCP - https://cloud.google.com/kms/docs/rotate-key#automatic
Azure - https://learn.microsoft.com/en-us/azure/key-vault/keys/how-to-configure-key-rotation
Để kiểm tra: quyền truy cập của bạn vào dữ liệu OpenAI sẽ không bị ảnh hưởng bởi thay đổi này
Cách thu hồi khóa của bạn
Có nhiều cách để thu hồi quyền truy cập của OpenAI vào khóa của bạn - bất kỳ sự gián đoạn nào trong luồng xác thực:
Nếu bạn thu hồi quyền truy cập từ vai trò của OpenAI tới khóa KMS
Nếu bạn xóa quyền mã hóa/giải mã trên khóa KMS
Nếu bạn đang sử dụng bí danh khóa AWS (không khuyến nghị), nếu bạn chuyển ARN KMS cơ sở. Hành động này đôi khi bị nhầm là xoay vòng khóa nhưng thực ra là thu hồi khóa, nên không được khuyến nghị trừ khi bạn chắc chắn muốn làm điều này.
Nếu bạn yêu cầu OpenAI cập nhật ARN KMS được dùng cho không gian làm việc ChatGPT Enterprise của bạn
Để xác thực việc thu hồi khóa của bạn:
Chờ một giờ để tất cả mục trong bộ nhớ đệm phía OpenAI hết hạn, rồi kiểm tra việc thu hồi
Nếu bạn đang dùng ChatGPT Enterprise, bạn sẽ không còn có thể đọc các cuộc trò chuyện trước đó, tìm kiếm cuộc trò chuyện sẽ không hiển thị kết quả từ các cuộc trò chuyện trước đó, và bạn sẽ không thể truy cập các GPT tùy chỉnh trước đó.
Nếu bạn đang dùng API, bạn sẽ không còn có thể tải xuống các tệp batch trước đó, dùng các mô hình tinh chỉnh trước đó, hoặc tham chiếu các phản hồi trước đó được tạo bằng Responses API.
Nếu bạn đang dùng API, bạn cũng có thể kiểm tra ngay rằng việc thu hồi khóa của bạn đã được OpenAI xử lý và sẽ có hiệu lực trong vòng một giờ
Tạo một khóa Admin API (không phải khóa API thông thường):
Lấy external key id OpenAI (extkey_xxx) được liên kết với không gian làm việc hoặc dự án của bạn bằng cách gọi curl -X GET -H "Authorization: Bearer $ADMIN_API_KEY" https://api.openai.com/v1/organization/external_keys
Bây giờ gọi curl -X POST -H "Authorization: Bearer $ADMIN_API_KEY" "https://api.openai.com/v1/organization/external_keys/extkey_xxx/validate"
Thực tiễn tốt nhất khi thu hồi khóa
Nếu bạn đang dùng API
Lưu trữ dự án API có dữ liệu mà bạn đã làm cho không thể truy cập. Sau đó, thiết lập một khóa KMS mới và tạo một dự án API mới được liên kết với khóa KMS mới.
Lưu ý rằng bạn không thể hoán đổi khóa KMS liên kết với dự án API cũ nơi bạn đã thực hiện thu hồi khóa - bạn phải lưu trữ dự án cũ. Một dự án đã bị thu hồi khóa không nên tiếp tục được sử dụng. API giúp việc tạo dự án mới rất dễ dàng, vì vậy hãy dùng tính năng đó.
Nếu bạn đang dùng ChatGPT Enterprise
Hãy liên hệ bộ phận hỗ trợ OpenAI sau khi bạn đã thực hiện thu hồi khóa.
Chúng tôi sẽ làm việc với bạn để dựng lên một không gian làm việc mới. Chúng tôi sẽ không tái sử dụng không gian làm việc cũ bằng cách cố cập nhật nó để dùng khóa KMS mới. Lý do là vì khi việc thu hồi khóa hoạt động đúng như thiết kế, dữ liệu trước đó được mã hóa bằng khóa đã thu hồi sẽ trở nên không thể truy cập.