OpenAI:工作负载身份联合通过OIDC令牌交换消除长期API密钥
OpenAI工作负载身份联合是一种安全机制,允许工作负载将外部颁发的OIDC身份令牌交换为短期OpenAI访问令牌。该系统无需在代码或配置中存储长期API密钥,支持Kubernetes、AWS、Azure、Google Cloud、GitHub Actions和SPIFFE作为可信身份来源。
本文由人工智能基于一手来源生成。
OpenAI发布了工作负载身份联合——一种无需在应用程序代码或配置文件中存储长期API密钥的安全机制。
身份令牌交换如何工作?
工作负载身份联合依赖四个组件。首先定义工作负载身份提供商,描述具有OIDC端点、受众和密钥验证来源的可信外部颁发者。然后由服务账户映射授权外部令牌的特定属性,以便为特定OpenAI服务账户创建令牌。第三步令牌交换接收工作负载的外部令牌,返回短期OpenAI访问令牌。最终,应用程序将该令牌作为bearer凭证用于API调用。
系统使用兼容OIDC的JWT令牌。令牌属性可通过**通用表达式语言(CEL)**进行转换,从令牌声明中推导出自定义匹配条件。
支持哪些平台和云服务?
OpenAI为六个平台提供了专用集成指南:Kubernetes(投影服务账户令牌)、AWS(STS或EKS投影令牌)、Microsoft Azure(托管身份或AKS令牌)、Google Cloud(元数据服务器或GKE令牌)、GitHub Actions(OIDC工作流)和SPIFFE(基础设施的JWT-SVID标准)。
配置通过组织设置 > 安全 > 工作负载身份提供商完成,可供组织所有者访问。JWKS验证同时支持OIDC自动发现和手动上传的密钥集。发现文档每600秒刷新一次。
为何这对API访问安全至关重要?
长期API密钥存在持续性安全风险——一旦泄露,在手动撤销之前将持续提供无限制访问。短期OIDC令牌会自动过期,并绑定到特定的工作负载身份,从而大幅缩小攻击面。
OpenAI建议遵循以下几项实践:为每个工作负载使用独立服务账户、分离开发与生产环境、精确匹配声明(而非仅使用通配符)以及定期审查未使用的映射。映射支持通配符匹配,但仅允许一个尾部通配符。
这一标准的引入使OpenAI与AWS、Google Cloud和Azure对生产工作负载的现有安全要求保持一致——令牌交换基于OAuth 2.0令牌交换规范(RFC 8693)。
常见问题
- 什么是OpenAI工作负载身份联合,它有何用途?
- 工作负载身份联合是一种用短期令牌替代静态API密钥的机制。工作负载提交其云环境(AWS、Azure、GCP、GitHub Actions等)颁发的OIDC令牌,换取用于身份验证的临时OpenAI令牌。
- OpenAI工作负载身份联合支持哪些平台?
- 支持Kubernetes(投影服务账户令牌)、AWS(STS或EKS)、Microsoft Azure(托管身份或AKS)、Google Cloud(元数据服务器或GKE)、GitHub Actions(OIDC工作流)和SPIFFE(JWT-SVID)。
- 如何配置OpenAI工作负载身份提供商?
- 组织所有者通过「组织设置 > 安全 > 工作负载身份提供商」访问配置。JWKS验证同时支持OIDC自动发现和手动上传的密钥集;发现文档每600秒刷新一次。
📬 AI 新闻直达您的邮箱
按您的方式定制每日摘要——自选主题、来源和频率,一键退订。