OpenAI

Ikhtisar Manajemen Kunci Enterprise (EKM) OpenAI

Pelajari cara kerja EKM, penyedia mana yang didukung, dan tempat untuk memulai

Diperbarui: 19 days ago

Ringkasan

Manajemen Kunci Enterprise (EKM) memungkinkan Anda mengenkripsi konten pelanggan Anda di OpenAI menggunakan kunci yang dikelola oleh Sistem Manajemen Kunci (KMS) eksternal milik Anda sendiri, tersedia untuk ChatGPT Enterprise maupun API.

OpenAI mendukung enkripsi Bring Your Own Key (BYOK) dengan akun eksternal di AWS KMS, Google Cloud (GCP), dan Azure Key Vault.

Saat ini, implementasi EKM terbatas untuk workspace Enterprise dan Edu dengan perwakilan akun OpenAI khusus.

Cara kerja enkripsi EKM OpenAI

Alur Tingkat Atas

  1. Kami membuat Data Encryption Key (DEK) untuk penyedia cloud Anda.

  2. KMS cloud Anda mengelola Key Encryption Key (KEK) utama, baik yang disimpan di dalam cloud Anda maupun secara eksternal. Implementasinya terserah Anda.

  3. Kami meminta enkripsi DEK dari cloud Anda, untuk mendapatkan DEK terenkripsi (eDEK). Jika KEK Anda disimpan secara eksternal, layanan cloud hanya akan melakukan satu langkah tambahan untuk mengakses penyimpanan eksternal tersebut, dan proses ini tidak terlihat oleh OpenAI.

Enkripsi

Saat dienkripsi, data Anda dienkripsi dengan DEK dan eDEK disimpan sebagai metadata pada file.

EKM encryption flow where OpenAI requests a DEK from your KMS, encrypts data, and stores encrypted data with eDEK

Dekripsi

Saat dekripsi, kami meminta KMS cloud Anda untuk mendekripsi eDEK menjadi DEK, dan kami mendekripsi data dengan DEK.

EKM decryption flow where OpenAI requests a DEK from your KMS to decrypt encrypted data for download

Istilah-Istilah Kunci

  • Data Encryption Key (DEK) - kunci yang mengenkripsi data Anda. 

  • Kunci Enkripsi Data Terenkripsi (eDEK) - DEK terenkripsi, yang dihasilkan oleh KMS Anda

  • Key Encryption Key (KEK) - kunci master yang Anda kelola yang mengenkripsi DEK -> eDEK dan mendekripsi eDEK -> DEK. Kunci ini selalu tetap berada di luar sistem OpenAI.

Persyaratan strategis untuk implementasi

Di penyedia cloud Anda

  1. Buat kunci baru di KMS cloud Anda (Azure, AWS, atau GCP)

  2. Membuat kebijakan kustom yang terbatas dengan izin Encrypt/Decrypt pada KMS

  3. Buat trust policy (AWS), workload identity (GCP), atau service principal (untuk Azure) untuk OpenAI

  4. Tetapkan OpenAI sebuah peran dengan kebijakan terbatas untuk mengakses KMS Anda

Di platform OpenAI

ChatGPT Enterprise

Buat workspace ChatGPT sandbox untuk keperluan pengujian.

API

Di dasbor OpenAI Anda, buat proyek baru di mana enkripsi akan diterapkan.

Fungsi khusus penyedia

Untuk AWS, OpenAI akan:

  • Panggil AssumeRole dengan ExternalID

Untuk GCP, OpenAI akan:

  • Panggil endpoint STS Anda dari akun OpenAI GCP

  • Gunakan token akses GCP untuk memanggil encrypt/decrypt pada KMS Anda.

Untuk Azure, OpenAI akan:

  • Minta token akses untuk vault tenant Azure Anda

  • Gunakan token akses tersebut untuk memanggil encrypt/decrypt pada Key Vault Anda.

Informasi yang Anda perlukan dari OpenAI

Autentikasi

Anda perlu mengenali token identitas federasi OpenAI untuk AWS dan GCP. Untuk Azure, Anda perlu mengenali ID aplikasi OpenAI untuk pendaftaran aplikasinya.

Ringkasan parameter autentikasi

Prinsipal OpenAI AWSarn:aws:iam::790389265272:role/EnterpriseKeyManagement
ID akun layanan GCP OpenAI105900137572174660365
ID aplikasi OpenAI Azure20a14814-5ab7-4612-a671-1382b412bf93

Informasi yang diperlukan selama implementasi berdasarkan penyedia cloud Anda

  • Untuk AWS, Anda harus mengatur kebijakan kepercayaan yang mengenali:

    • Prinsipal OpenAI (nomor akun + peran)

    • ExternalID yang merupakan ID proyek OpenAI Anda

  • Untuk GCP, Anda harus mengatur sebuah identitas beban kerja yang mengenali:

    • ID akun layanan khusus OpenAI

    • Pemirsa yang merupakan ID proyek OpenAI Anda

  • Untuk Azure, Anda harus membuat service principaldi tenant Azure Anda untuk pendaftaran aplikasi OpenAI

Otorisasi

Anda perlu membuat kebijakan yang memungkinkan identitas OpenAI mendapatkan akses terbatas ke KMS Anda. 

AWSGCPAzure
kms:Decryptkms:Encryptcloudkms.cryptoKeyVersions.useToDecryptcloudkms.cryptoKeyVersions.useToEncryptMicrosoft.KeyVault/vaults/keys/encrypt/actionMicrosoft.KeyVault/vaults/keys/decrypt/action

Lainnya

Di Azure, untuk jenis Kunci (algoritma enkripsi kunci), pilih RSA, bukan EC.

Informasi yang dibutuhkan OpenAI dari Anda

Ikuti petunjuk di dokumen ini untuk mendaftarkan KMS Anda dengan OpenAI. Berikut adalah ringkasan parameter yang perlu Anda berikan.

  1. Terkait autentikasi

    1. AWS

      1. ARN Peran IAM - peran yang akan digunakan oleh OpenAI (contoh: arn:aws:iam::123456789:role/role-name)

      2. ExternalID - ID organisasi OpenAI Anda

    2. GCP

      1. Nomor Proyek Identitas Beban Kerja (contoh: 123456789)

      2. ID Pool Identitas Beban Kerja

      3. ID Penyedia Identitas Beban Kerja

      4. Audiens yang diizinkan: ID Organisasi OpenAI Anda

    3. Azure

      1. ID Tenant

AWSGCPAzure
Terkait Autentikasi ID Tenant
Terkait KMSKMS ARN - (misalnya.: arn:aws:kms:REGION:ACCOUNT_NUMBER:key:KEY_UUID)ID Proyek KMS (contoh: adjective-noun-12345)Nama ring kunci KMSNama kunci KMSLokasi kunci KMS (contoh: us-east1)URI Vault (misalnya: https://your-vault-name.vault.azure.net/)Nama Kunci

Setelah Anda mendaftarkan KMS Anda ke OpenAI, lanjutkan mengikuti petunjuk dalam dokumen untuk mengaktifkan konfigurasi EKM Anda pada proyek API. Buat proyek API OpenAI baru untuk tujuan pengujian.

Panduan implementasi khusus penyedia

Untuk panduan langkah demi langkah, lihat tautan terkait di bawah ini. Harap diperhatikan bahwa hal-hal ini berfokus pada persyaratan integrasi dengan OpenAI, dan tidak dimaksudkan sebagai panduan komprehensif untuk keseluruhan lingkungan Anda

Fitur yang tidak didukung jika EKM diaktifkan

Dalam rilis awal ini, fitur-fitur berikut tidak tersedia jika EKM diaktifkan:

  • Aplikasi dengan sinkronisasi

  • Fitur yang belum Tersedia Secara Umum (misalnya, apa pun yang masih dalam tahap beta/alpha)

Apakah artikel ini membantu?