End-to-end richtlijnen voor de KMS-sleutellevenscyclus, van installatiecontroles tot opschoning na intrekking

Vereisten

Hierbij wordt ervan uitgegaan dat je je externe KMS-sleutel al bij OpenAI hebt geregistreerd volgens een van deze handleidingen

Kernbegrippen

Rotatie van sleutels en intrekking van sleutels dienen verschillende doelen. Kies de juiste actie voor je gebruiksscenario.

Sleutelrotatie: genereer nieuw cryptografisch materiaal voor versleuteling van nieuwe gegevens, terwijl ontsleuteling van oudere gegevens die met eerdere sleutels zijn versleuteld mogelijk blijft
- Sleutelrotatie heeft geen invloed op toegang tot OpenAI-gegevens
Sleutelintrekking: trek de toegang in tot alle gegevens die met eerdere sleutels zijn versleuteld.
- Sleutelintrekking trekt de toegang tot OpenAI-gegevens in

Je cloudprovider zou logs moeten hebben:

Je kunt automatische sleutelrotatie instellen

Testen: je toegang tot OpenAI-gegevens wordt niet beïnvloed door deze wijziging

Er zijn veel manieren om de toegang van OpenAI tot je sleutel in te trekken - elke onderbreking in de authenticatiestroom:

Als je de toegang van de rol van OpenAI tot de KMS-sleutel intrekt
Als je de machtigingen voor versleutelen/ontsleutelen op de KMS-sleutel verwijdert
Als je een AWS-sleutelalias gebruikt (niet aanbevolen) en de onderliggende KMS-ARN wijzigt. Deze actie wordt soms verward met sleutelrotatie, maar is eigenlijk sleutelintrekking; daarom wordt dit niet aanbevolen, tenzij je zeker weet dat je dit wilt.
Als je OpenAI vraagt de KMS-ARN bij te werken die voor je ChatGPT Enterprise-werkruimte wordt gebruikt

Je sleutelintrekking valideren:

Wacht één uur totdat alle cachevermeldingen aan de kant van OpenAI zijn verlopen en test daarna de intrekking
- Als je ChatGPT Enterprise gebruikt, kun je eerdere gesprekken niet meer lezen, geeft zoeken in gesprekken geen resultaten uit eerdere gesprekken weer en heb je geen toegang meer tot eerdere aangepaste GPT's.
- Als je de API gebruikt, kun je eerdere batchbestanden niet meer downloaden, eerdere fijn afgestemde modellen niet meer gebruiken en niet meer verwijzen naar eerdere antwoorden die met de Responses API zijn gemaakt.
Als je de API gebruikt, kun je ook onmiddellijk testen of je sleutelintrekking door OpenAI is verwerkt en binnen één uur van kracht wordt
- Maak een Admin API-sleutel (geen normale API-sleutel):
- Haal de externe sleutel-ID van OpenAI (extkey_xxx) op die aan je werkruimte of project is gekoppeld door curl -X GET -H "Authorization: Bearer $ADMIN_API_KEY" https://api.openai.com/v1/organization/external_keys aan te roepen
- Roep nu curl -X POST -H "Authorization: Bearer $ADMIN_API_KEY" "https://api.openai.com/v1/organization/external_keys/extkey_xxx/validate" aan

Als je de API gebruikt

Archiveer het API-project waarvan je de gegevens ontoegankelijk hebt gemaakt. Stel vervolgens een nieuwe KMS-sleutel in en maak een nieuw API-project dat aan de nieuwe KMS-sleutel is gekoppeld.
Let op: je kunt de KMS-sleutel die is gekoppeld aan het oude API-project waarvoor je de sleutel hebt ingetrokken, niet vervangen - je moet het oude project archiveren. Een project waarvoor een sleutel is ingetrokken, mag niet in gebruik blijven. Met de API kun je heel eenvoudig nieuwe projecten maken, dus gebruik die functie.

Als je ChatGPT Enterprise gebruikt

Neem contact op met OpenAI-support nadat je een sleutel hebt ingetrokken.
We werken met je samen om een nieuwe werkruimte op te zetten. We zullen de oude werkruimte niet hergebruiken door te proberen deze bij te werken voor gebruik met een nieuwe KMS-sleutel. Dit komt doordat, wanneer sleutelintrekking werkt zoals bedoeld, eerdere gegevens die met de ingetrokken sleutel zijn versleuteld ontoegankelijk worden.