Wymagania wstępne
Zakładamy, że Twój zewnętrzny klucz KMS został już zarejestrowany w OpenAI zgodnie z jednym z tych przewodników
Kluczowe terminy
Rotacja klucza i unieważnienie klucza służą różnym celom. Upewnij się, że wybierasz właściwe działanie dla swojego przypadku użycia.
Rotacja klucza: wygenerowanie nowego materiału kryptograficznego do szyfrowania nowych danych przy jednoczesnym umożliwieniu odszyfrowania starszych danych zaszyfrowanych poprzednimi kluczami
Rotacja klucza nie wpływa na dostęp do danych OpenAI
Unieważnienie klucza: cofnięcie dostępu do wszystkich danych zaszyfrowanych poprzednimi kluczami.
Unieważnienie klucza cofa dostęp do danych OpenAI
Jak sprawdzić, czy Twój klucz KMS jest używany
Twój dostawca chmury powinien mieć dzienniki:
Jak obrócić klucz
Możesz skonfigurować automatyczną rotację kluczy
AWS — https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html
GCP — https://cloud.google.com/kms/docs/rotate-key#automatic
Azure — https://learn.microsoft.com/en-us/azure/key-vault/keys/how-to-configure-key-rotation
Aby przetestować: ta zmiana nie wpłynie na Twój dostęp do danych OpenAI
Jak unieważnić klucz
Istnieje wiele sposobów cofnięcia dostępu OpenAI do Twojego klucza — każde zakłócenie przepływu uwierzytelniania:
Jeśli cofniesz dostęp roli OpenAI do klucza KMS
Jeśli usuniesz uprawnienia do szyfrowania/odszyfrowywania na kluczu KMS
Jeśli używasz aliasu klucza AWS (niezalecane), w przypadku zmiany bazowego ARN KMS. To działanie bywa mylone z rotacją klucza, ale w rzeczywistości jest unieważnieniem klucza, dlatego nie jest zalecane, chyba że masz pewność, że tego chcesz.
Jeśli poprosisz OpenAI o zaktualizowanie ARN KMS używanego dla Twojej przestrzeni roboczej ChatGPT Enterprise
Aby zweryfikować unieważnienie klucza:
Poczekaj godzinę, aż wszystkie wpisy pamięci podręcznej po stronie OpenAI wygasną, a następnie przetestuj unieważnienie
Jeśli używasz ChatGPT Enterprise, nie będziesz już mieć możliwości odczytywania wcześniejszych rozmów, wyszukiwanie rozmów nie będzie pokazywać wyników z wcześniejszych rozmów, a Ty nie będziesz mieć dostępu do wcześniejszych niestandardowych GPT.
Jeśli używasz API, nie będziesz już mieć możliwości pobierania wcześniejszych plików wsadowych, używania wcześniejszych dostrojonych modeli ani odwoływania się do wcześniejszych odpowiedzi utworzonych za pomocą Responses API.
Jeśli używasz API, możesz też od razu przetestować, czy unieważnienie klucza zostało przetworzone przez OpenAI i zacznie obowiązywać w ciągu godziny
Utwórz klucz Admin API (nie zwykły klucz API):
Uzyskaj identyfikator zewnętrznego klucza OpenAI (extkey_xxx) powiązanego z Twoją przestrzenią roboczą lub projektem, wywołując curl -X GET -H "Authorization: Bearer $ADMIN_API_KEY" https://api.openai.com/v1/organization/external_keys
Teraz wywołaj curl -X POST -H "Authorization: Bearer $ADMIN_API_KEY" "https://api.openai.com/v1/organization/external_keys/extkey_xxx/validate"
Najlepsze praktyki dotyczące unieważniania kluczy
Jeśli używasz API
Zarchiwizuj projekt API, którego dane zostały przez Ciebie uczynione niedostępnymi. Następnie skonfiguruj nowy klucz KMS i utwórz nowy projekt API powiązany z nowym kluczem KMS.
Pamiętaj, że nie możesz zamienić klucza KMS powiązanego ze starym projektem API, w którym wykonano unieważnienie klucza — musisz zarchiwizować stary projekt. Projekt, dla którego wydano unieważnienie klucza, nie powinien pozostać w użyciu. API bardzo ułatwia tworzenie nowych projektów, więc skorzystaj z tej funkcji.
Jeśli używasz ChatGPT Enterprise
Skontaktuj się z pomocą techniczną OpenAI po wykonaniu unieważnienia klucza.
Będziemy współpracować z Tobą, aby uruchomić nową przestrzeń roboczą. Nie użyjemy ponownie starej przestrzeni roboczej, próbując zaktualizować ją tak, aby korzystała z nowego klucza KMS. Dzieje się tak, ponieważ gdy unieważnienie klucza działa zgodnie z założeniami, wcześniejsze dane zaszyfrowane unieważnionym kluczem stają się niedostępne.