Requisitos previos
Esto da por hecho que ya has registrado tu clave KMS externa en OpenAI, siguiendo una de estas guías
Términos clave
La rotación de claves y la revocación de claves tienen fines distintos. Asegúrate de elegir la acción correcta para tu caso de uso.
Rotación de claves: genera nuevo material criptográfico para cifrar datos nuevos, al tiempo que permite descifrar datos antiguos cifrados con claves anteriores
La rotación de claves no afecta al acceso a los datos de OpenAI
Revocación de claves: revoca el acceso a todos los datos cifrados con claves anteriores.
La revocación de claves revoca el acceso a los datos de OpenAI
Cómo verificar que se está usando tu clave KMS
Tu proveedor de nube debería tener registros:
AWS - https://docs.aws.amazon.com/kms/latest/developerguide/security-logging-monitoring.html
Azure - https://learn.microsoft.com/en-us/azure/key-vault/general/howto-logging
Cómo rotar tu clave
Puedes configurar la rotación automática de claves
AWS - https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html
GCP - https://cloud.google.com/kms/docs/rotate-key#automatic
Azure - https://learn.microsoft.com/en-us/azure/key-vault/keys/how-to-configure-key-rotation
Para probarlo: tu acceso a los datos de OpenAI no se verá afectado por este cambio
Cómo revocar tu clave
Hay muchas formas de revocar el acceso de OpenAI a tu clave; cualquier interrupción en el flujo de autenticación:
Si revocas el acceso del rol de OpenAI a la clave KMS
Si eliminas los permisos de cifrado/descifrado de la clave KMS
Si usas un alias de clave de AWS (no recomendado), si cambias el ARN de KMS subyacente. A veces esta acción se confunde con la rotación de claves, pero en realidad es una revocación de clave, por lo que no se recomienda a menos que tengas claro que eso es lo que quieres.
Si solicitas a OpenAI que actualice el ARN de KMS usado para tu Área de trabajo de ChatGPT Enterprise
Para validar la revocación de tu clave:
Espera una hora a que caduquen todas las entradas de caché en el lado de OpenAI y, a continuación, prueba la revocación
Si usas ChatGPT Enterprise, ya no podrás leer conversaciones anteriores, la búsqueda de conversaciones no mostrará resultados de conversaciones anteriores y no podrás acceder a los GPT personalizados anteriores.
Si usas la API, ya no podrás descargar archivos por lotes anteriores, usar modelos ajustados anteriores ni hacer referencia a respuestas anteriores creadas con la API de Responses.
Si usas la API, también puedes comprobar inmediatamente que OpenAI ha procesado la revocación de tu clave y que surtirá efecto en el plazo de una hora
Crea una clave de API de administrador (no una clave de API normal):
Obtén el ID de clave externa de OpenAI (extkey_xxx) asociado a tu área de trabajo o proyecto llamando a curl -X GET -H "Authorization: Bearer $ADMIN_API_KEY" https://api.openai.com/v1/organization/external_keys
Ahora llama a curl -X POST -H "Authorization: Bearer $ADMIN_API_KEY" "https://api.openai.com/v1/organization/external_keys/extkey_xxx/validate"
Buenas prácticas para la revocación de claves
Si usas la API
Archiva el proyecto de API cuyos datos has hecho inaccesibles. Después, configura una nueva clave KMS y crea un nuevo proyecto de API asociado a la nueva clave KMS.
Ten en cuenta que no puedes cambiar la clave KMS asociada al proyecto de API antiguo en el que has ejecutado la revocación de la clave; debes archivar el proyecto antiguo. Un proyecto en el que se ha emitido una revocación de clave no debe seguir en uso. La API facilita mucho la creación de proyectos nuevos, así que usa esa función.
Si usas ChatGPT Enterprise
Ponte en contacto con el soporte de OpenAI después de ejecutar una revocación de clave.
Trabajaremos contigo para poner en marcha una nueva Área de trabajo. No reutilizaremos el área de trabajo antigua intentando actualizarla para que use una nueva clave KMS. Esto se debe a que, cuando la revocación de claves funciona según lo previsto, los datos anteriores cifrados con la clave revocada pasan a ser inaccesibles.