Prérequis

Cela suppose que vous avez déjà enregistré votre clé KMS externe auprès d'OpenAI, en suivant l'un de ces guides

• Instructions d'intégration : OpenAI / AWS EKM

• Instructions d'intégration OpenAI / GCP EKM

• Instructions d'intégration OpenAI/Azure EKM

Termes clés

Le renouvellement des clés et la révocation des clés remplissent des fonctions différentes. Assurez-vous de choisir l'action appropriée pour votre cas d'utilisation.

• Rotation des clés: générer du matériel cryptographique pour chiffrer de nouvelles données, tout en permettant le déchiffrement des anciennes données chiffrées avec des clés précédentes

  • La rotation des clés n'affecte pas l'accès aux données OpenAI

• Révocation de clé: Révoquez l'accès à toutes les données chiffrées avec des clés précédentes.

  • Révocation de clé révoque l'accès aux données OpenAI

Comment vérifier que votre clé KMS est utilisée

Votre fournisseur cloud devrait disposer de journaux :

• AWS - https://docs.aws.amazon.com/kms/latest/developerguide/security-logging-monitoring.html

• GCP - https://cloud.google.com/kms/docs/journaux-d-audit

• Azure - https://learn.microsoft.com/en-us/azure/key-vault/general/howto-logging

Comment changer votre clé

Vous pouvez configurer la rotation automatique des clés 

• AWS - https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html

• GCP - https://cloud.google.com/kms/docs/rotate-key#automatic

• Azure : https://learn.microsoft.com/en-us/azure/key-vault/keys/how-to-configure-key-rotation

Pour tester : votre accès aux données OpenAI ne sera pas affecté par ce changement

Comment révoquer votre clé

Il existe de nombreuses façons de révoquer l'accès d'OpenAI à votre clé : toute perturbation du flux d'authentification.

• Si vous révoquez l'accès du rôle OpenAI à la clé KMS

• Si vous supprimez les autorisations de chiffrement et de déchiffrement sur la clé KMS

• Si vous utilisez un alias de clé AWS (déconseillé), si vous modifiez l'ARN KMS sous-jacent. Cette action est parfois confondue avec la rotation des clés, mais il s'agit en réalité d'une révocation de clé. Elle n'est donc pas recommandée, sauf si vous êtes sûr(e) de vouloir procéder de la sorte.

• Si vous demandez à OpenAI de mettre à jour le KMS ARN utilisé pour votre espace de travail ChatGPT Enterprise

Pour valider la révocation de votre clé :

• Attendez une heure pour que toutes les entrées du cache expirent du côté d'OpenAI, puis testez la révocation

  • Si vous utilisez ChatGPT Enterprise, vous ne pourrez plus lire les conversations précédentes, la recherche dans les conversations n'affichera pas de résultats issus de conversations précédentes, et vous ne pourrez pas accéder à vos anciens GPT personnalisés. 

  • Si vous utilisez le API, vous ne pourrez plus télécharger d'anciens fichiers batch, utiliser d'anciens modèles affinés, ni faire référence à des réponses précédentes créées à l'aide de l'API Responses.

• Si vous utilisez l' API, vous pouvez également vérifier immédiatement que la révocation de votre clé a bien été prise en compte par OpenAI et prendra effet dans un délai d'une heure

  • Créer une clé API d'administration (et non une clé API normale) : 

  • Obtenez l'ID de clé externe OpenAI (extkey_xxx) associé à votre espace de travail ou projet en appelant curl -X GET -H "Authorization: Bearer $ADMIN_API_KEY" https://api.openai.com/v1/organization/external_keys

  • Appelez maintenant curl -X POST -H "Authorization : Bearer $ADMIN_API_KEY" "https://api.openai.com/v1/organization/external_keys/extkey_xxx/validate"

Bonnes pratiques en matière de révocation des clés

Si vous utilisez l'API

• Archivez le projet API dont vous avez rendu les données inaccessibles. Ensuite, configurez une nouvelle clé KMS et créez un nouveau projet d'API associé à la nouvelle clé KMS.

• Notez que vous ne pouvez pas remplacer la clé KMS associée à l'ancien projet API où vous avez effectué la révocation de la clé - vous devez archiver l'ancien projet. Un projet pour lequel une révocation de clé a été émise ne devrait pas rester en usage. L'API permet de créer très facilement de nouveaux projets, alors utilisez cette fonctionnalité.

Si vous utilisez ChatGPT Enterprise

• Contactez l'assistance OpenAI après avoir effectué la révocation d'une clé.

• Nous travaillerons avec vous pour créer un nouvel espace de travail. Nous ne réutiliserons pas l'ancien espace de travail en essayant de le mettre à jour pour utiliser une nouvelle clé KMS. Cela s'explique par le fait que, lorsque la révocation d'une clé fonctionne comme prévu, les données précédemment chiffrées avec la clé révoquée deviennent inaccessibles.