OpenAI

Présentation de l'Enterprise Key Management (EKM) d'OpenAI

Découvrez comment fonctionne EKM, quels fournisseurs sont pris en charge et où commencer

Dernière mise à jour : 19 days ago

Présentation

La gestion des clés d'entreprise (EKM) vous permet de chiffrer votre contenu client chez OpenAI à l'aide de clés gérées par votre propre système externe de gestion des clés (KMS), disponible à la fois pour ChatGPT Enterprise et l'API.

OpenAI prend en charge le chiffrement Bring Your Own Key (BYOK) avec des comptes externes dans AWS KMS, Google Cloud (GCP) et Azure Key Vault.

À ce stade, la mise en œuvre d'EKM est limitée aux espaces de travail Enterprise et Edu disposant d'un chargé de compte OpenAI attitré.

Comment fonctionne le chiffrement EKM d'OpenAI

Flux de premier niveau

  1. Nous générons une clé de chiffrement des données (DEK) pour votre fournisseur de services cloud.

  2. Votre KMS cloud gère une clé de chiffrement principale (KEK), stockée dans votre cloud ou en externe. C'est à vous de décider comment vous souhaitez procéder.

  3. Nous demandons à votre cloud de chiffrer la DEK, afin d'obtenir une DEK chiffrée (eDEK). Si votre KEK est stockée en externe, votre cloud effectue simplement un saut supplémentaire vers votre stockage externe, dans une étape opaque pour OpenAI.

Chiffrement

Lors du chiffrement, vos données sont chiffrées avec la DEK et l'eDEK est stocké dans les métadonnées du fichier.

EKM encryption flow where OpenAI requests a DEK from your KMS, encrypts data, and stores encrypted data with eDEK

Déchiffrement

Lors du déchiffrement, nous demandons à votre KMS cloud de déchiffrer l'eDEK en DEK, et nous déchiffrons les données avec le DEK.

EKM decryption flow where OpenAI requests a DEK from your KMS to decrypt encrypted data for download

Termes clés

  • Clé de chiffrement des données (DEK) - la clé qui chiffre vos données. 

  • Clé de chiffrement des données chiffrée (eDEK) - la DEK chiffrée, générée par votre KMS

  • Clé de chiffrement de clé (KEK) - la clé maîtresse que vous gérez, qui chiffre la DEK -> eDEK et déchiffre eDEK -> DEK. Cette clé reste toujours en dehors des systèmes d'OpenAI.

Exigences d'ordre général pour la mise en œuvre

Dans votre fournisseur de services cloud

  1. Créez une nouvelle clé dans votre KMS cloud (Azure, AWS ou GCP)

  2. A créé une politique personnalisée et limitée avec des autorisations de chiffrement et de déchiffrement sur le KMS

  3. Créez une trust policy (AWS), une workload identity (GCP) ou un service principal (pour Azure) pour OpenAI.

  4. Attribuez à OpenAI un rôle avec une politique restreinte pour accéder à votre KMS

Dans les plateformes OpenAI

ChatGPT Enterprise

Créer un espace de travail ChatGPT en bac à sable à des fins de test.

API

Dans votre tableau de bord OpenAI, créez un nouveau projet où le chiffrement sera appliqué.

Fonctions spécifiques au fournisseur

Pour AWS, OpenAI va :

  • Appeler AssumeRole avec un ExternalID

Pour GCP, OpenAI va :

  • Appelez votre endpoint STS depuis un compte GCP OpenAI

  • Utilisez le token d'accès GCP pour appeler encrypt/decrypt sur votre KMS.

Pour Azure, OpenAI se chargera de :

  • Demander un token d'accès pour le coffre de votre locataire Azure

  • Utiliser ce token d'accès pour appeler les opérations de chiffrement/déchiffrement sur votre Key Vault.

Les informations dont vous avez besoin d'OpenAI

Authentification

Vous devrez reconnaître les tokens d'identité fédérée d'OpenAI pour AWS et GCP. Pour Azure, vous devrez reconnaître l'ID d'application d'OpenAI pour l'inscription de son application.

Résumé des paramètres d'authentification

Principal AWS OpenAIarn :aws :iam : :790389265272 :role/EnterpriseKeyManagement
Identifiant du compte de service GCP OpenAI105900137572174660365
Identifiant de l'application Azure OpenAI20a14814-5ab7-4612-a671-1382b412bf93

Informations nécessaires lors de l'implémentation selon votre fournisseur de cloud

  • Pour AWS, vous devez configurer une stratégie d'approbation qui reconnaît :

    • Principal d'OpenAI (numéro de compte + rôle)

    • Un ExternalID qui est votre identifiant de projet OpenAI

  • Pour GCP, vous devez configurer une identité de charge de travail qui reconnaît :

    • ID du compte de service d'OpenAI

    • Une audience correspondant à votre ID de projet OpenAI

  • Pour Azure, vous devez créer un principal de servicedans votre locataire Azure pour l'enregistrement de l'application OpenAI.

Autorisation

Vous devrez créer une politique permettant à l'identité d'OpenAI d'obtenir un accès limité à votre KMS. 

AWSGCPAzure
kms :Déchiffrerkms :Encryptcloudkms.cryptoKeyVersions.useToDecryptcloudkms.cryptoKeyVersions.useToEncryptMicrosoft.KeyVault/vaults/keys/encrypt/actionMicrosoft.KeyVault/vaults/keys/decrypt/action

Autre

Dans Azure, pour le type de clé (algorithme de chiffrement de clé), sélectionnez RSA et non EC.

Informations dont OpenAI a besoin vous concernant

Suivez les instructions de ce document pour enregistrer votre KMS auprès d'OpenAI. Voici un résumé des paramètres que vous devrez fournir.

  1. Lié à l'authentification

    1. AWS

      1. ARN du rôle IAM - rôle qu'OpenAI peut endosser (exemple  : arn :aws :iam : :123456789 :role/role-name)

      2. ExternalID - l'identifiant d'organisation OpenAI associé à votre compte

    2. GCP

      1. Numéro de projet de l'identité de la charge de travail (par exemple : 123456789)

      2. ID du pool d'identités de charge de travail

      3. Identifiant du fournisseur d'identité de charge de travail

      4. Audience autorisée : votre identifiant d'organisation OpenAI

    3. Azure

      1. Identifiant locataire

AWSGCPAzure
Lié à l'authentification Identifiant locataire
Lié à KMSARN KMS - (par exemple : arn :aws :kms :REGION :ACCOUNT_NUMBER :key :KEY_UUID)ID du projet KMS (par exemple : adjective-noun-12345)Nom du trousseau de clés KMSNom de la clé KMSEmplacement de la clé KMS (par exemple : us-east1)Vault URI (Par exemple : https://your-vault-name.vault.azure.net/)Nom de la clé

Après avoir enregistré votre KMS auprès d'OpenAI, continuez à suivre les instructions de la documentation pour activer la configuration EKM sur un projet d'API. Créez un nouveau projet d'API OpenAI à des fins de test.

Guides d'implémentation propres au fournisseur

Pour obtenir des conseils étape par étape, consultez les liens correspondants ci-dessous. Veuillez noter que ces éléments portent sur les exigences d'intégration avec OpenAI et ne sont pas destinés à servir de guide exhaustif pour l'ensemble de votre environnement.

Fonctionnalités non prises en charge si EKM est activé.

Dans cette version initiale, les fonctionnalités suivantes ne sont pas disponibles si EKM est activé :

  • Applications avec synchronisation

  • Fonctionnalités qui ne sont pas généralement disponibles (c.-à-d. tout ce qui est encore en version bêta/alpha)

Cet article vous a-t-il été utile ?