先決條件

這假設您已按照以下其中一份指南，向 OpenAI 註冊外部 KMS 金鑰

• OpenAI / AWS EKM 整合指示

• OpenAI / GCP EKM 整合指示

• OpenAI / Azure EKM 整合指示

關鍵術語

金鑰輪換和金鑰撤銷用途不同。請務必為您的使用案例選擇正確操作。

• 金鑰輪換：產生新的加密材料以加密新資料，同時允許解密使用先前金鑰加密的較舊資料

  • 金鑰輪換不會影響對 OpenAI 資料的存取

• 金鑰撤銷：撤銷對所有以先前金鑰加密的資料的存取權。

  • 金鑰撤銷會撤銷對 OpenAI 資料的存取權

如何驗證您的 KMS 金鑰正在使用中

您的雲端供應商應有記錄：

• AWS - https://docs.aws.amazon.com/kms/latest/developerguide/security-logging-monitoring.html

• GCP - https://cloud.google.com/kms/docs/audit-logging

• Azure - https://learn.microsoft.com/en-us/azure/key-vault/general/howto-logging

如何輪換您的金鑰

您可以設定自動金鑰輪換

• AWS - https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html

• GCP - https://cloud.google.com/kms/docs/rotate-key#automatic

• Azure - https://learn.microsoft.com/en-us/azure/key-vault/keys/how-to-configure-key-rotation

測試方法：您對 OpenAI 資料的存取權不會受此變更影響

如何撤銷您的金鑰

有很多方法可撤銷 OpenAI 對您金鑰的存取權——任何驗證流程中斷均可：

• 如果您撤銷 OpenAI 角色對 KMS 金鑰的存取權

• 如果您移除 KMS 金鑰上的加密／解密權限

• 如果您正在使用 AWS 金鑰別名（不建議），並切換了基礎 KMS ARN。此操作有時會與金鑰輪換混淆，但實際上是金鑰撤銷，因此除非您確定想這樣做，否則不建議。

• 如果您要求 OpenAI 更新用於您 ChatGPT Enterprise 工作區的 KMS ARN

要驗證您的金鑰撤銷：

• 等待一小時，讓 OpenAI 端的所有快取項目到期，然後測試撤銷

  • 如果您正在使用 ChatGPT Enterprise，您將無法再讀取先前的對話；對話搜尋將不會顯示先前對話的結果；您亦無法存取先前的自訂 GPT。

  • 如果您正在使用 API，您將無法再下載先前的批次檔案、使用先前微調的模型，或參照先前使用 Responses API 建立的回應。

• 如果您正在使用 API，您也可以立即測試您的金鑰撤銷是否已由 OpenAI 處理，並將在一小時內生效

  • 建立一個 Admin API 金鑰（不是一般 API 金鑰）：

  • 透過呼叫 curl -X GET -H "Authorization: Bearer $ADMIN_API_KEY" https://api.openai.com/v1/organization/external_keys，取得與您的工作區或專案相關聯的 OpenAI 外部金鑰 ID（extkey_xxx）

  • 現在呼叫 curl -X POST -H "Authorization: Bearer $ADMIN_API_KEY" "https://api.openai.com/v1/organization/external_keys/extkey_xxx/validate"

金鑰撤銷最佳做法

如果您正在使用 API

• 封存您已令其資料無法存取的 API 專案。然後，設定新的 KMS 金鑰，並建立與新 KMS 金鑰相關聯的新 API 專案。

• 請注意，您無法更換已執行金鑰撤銷的舊 API 專案所關聯的 KMS 金鑰——您必須封存舊專案。已發出金鑰撤銷的專案不應繼續使用。API 讓建立新專案變得非常簡單，因此請使用該功能。

如果您正在使用 ChatGPT Enterprise

• 執行金鑰撤銷後，請聯絡 OpenAI 支援。

• 我們會與您合作啟動一個新工作區。我們不會嘗試更新舊工作區以使用新的 KMS 金鑰，從而重用舊工作區。這是因為當金鑰撤銷按設計運作時，以已撤銷金鑰加密的先前資料會變得無法存取。