AWS
عدم التخويل بتنفيذ: sts:AssumeRole
User: arn:aws:sts::xxxxx:assumed-role/EnterpriseKeyManagement/OpenAI-EKM-Service is not authorized to perform: sts:AssumeRole on resource: arn:aws:iam::xxxxx:role/xxxxxxتحقق من المبدأ والمعرّف الخارجي ExternalId في سياسة الموثوقية لديك
تأكد من اتباعك لهذا القسم من الوثائق، بما في ذلك كِلا الأمرين: التعرف على المعرّف الرئيسي الخاص بـ OpenAI وتكوين sts:ExternalId
إذا كنت قد أدخلت بالفعل sts:ExternalId، فتأكد من أنه معرّف المنظمة نفسه الخاص بـ OpenAI الذي تطبّق عليه نظام EKM، وليس معرّف منظمة مختلفة مثل منظمة شخصية.
تحقّق من ربط سياسة الموثوقية بمعرّف ARN الخاص بالدور
تحقق من أن سياسة الموثوقية قد تم حفظها بشكل صحيح في معرف ARN الخاص بالدور الذي قدمته.
وتأكد أيضًا من أنك قد قدمت معرّف ARN الخاص بالدور الصحيح. وإذا كان معرّف ARN مكتوبًا بشكل خاطئ وغير موجود، فسنحصل على نفس الخطأ كما لو أن الدور موجود ولكنه يرفض الأذونات.

غير مصرح لك بتنفيذ: kms:Encrypt على المورد
User: xxxxx is not authorized to perform: kms:Encrypt on resourceتأكد من أن سياسة IAM الخاصة بك تمنح kms:Encrypt وkms:Decrypt إلى دور OpenAI.
إذا كنت قد أضفت أيضًا سياسة مفتاح، فتأكد من أنها تمنح كذلك kms:Encrypt وkms:Decrypt لدور OpenAI.
GCP
فشل في الحصول على رمز STS من GCP للجمهور
Failed to acquire GCP STS token for audience //iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx: {'error': 'invalid_request', 'error_description': 'Invalid value for \"audience\". This value should be the full resource name of the Identity Provider. See https://cloud.google.com/iam/docs/reference/sts/rest/v1/TopLevel/token for the list of possible formats.يتوقع GCP أن يكون الجمهور بالتنسيق
iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx
تأكد من أنك قد أدخلت المعلمات الصحيحة عند تسجيل مفتاحك لدى OpenAI باستخدام المفاتيح الخارجية في واجهة برمجة تطبيقات الإدارة
تأكد من أن workload_identity_project_number هو رقم مشروع GCP المكون من 12 رقمًا
تأكد من أن workload_identity_pool_id صحيح
تأكد من أن workload_identity_provider_id صحيح
الجمهور في رمز المعرّف لا يتطابق مع الجمهور المتوقع
Failed to acquire GCP STS token for audience //iam.googleapis.com/projects/xxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxx: {'error': 'invalid_grant', 'error_description': 'The audience in ID Token [xxxxx] does not match the expected audience xxxxxxx.'}تأكد من أن حقل الجمهور الذي تُدخله عند تسجيل التكوين الخاص بك لدى OpenAI (المفاتيح الخارجية في واجهة برمجة تطبيقات الإدارة) يقع ضمن إحدى الجماهير المسموح بها لدى موفّر هوية عبء العمل الخاص بك. نوصي باستخدام معرّف المنظمة لدى OpenAI.
Azure
يفتقد تطبيق العميل المعرّف الرئيسي للخدمة
The client application xxxxx is missing service principal in the tenant xxxxx. See instructions here: https://go.microsoft.com/fwlink/?linkid=2225119تأكد من أنك اتبعت بدقة خطوات إنشاء المعرّف الرئيسي للخدمة كما هو موضح في إرشادات تكامل OpenAI / Azure EKM.
المتصل غير مخوّل لتنفيذ إجراء على المورد
Caller is not authorized to perform action on resource. If role assignments, deny assignments or role definitions were changed recently, please observe propagation time.قد يظهر هذا الخطأ نفسه لعدة أسباب
لقد أدخلت اسم مفتاح أو معرّف URI لـ Vault غير صحيح أو اسمًا/عنوانًا غير موجود
لم تقم بإنشاء دور يتضمن هذه الإجراءات المتعلقة بالبيانات ولم تقم بتعيين هذا الدور إلى المعرّف الرئيسي للخدمة لدى OpenAI
Microsoft.KeyVault/vaults/keys/encrypt/action
Microsoft.KeyVault/vaults/keys/decrypt/action
اسم المفتاح غير مطابق للنمط المطلوب
"Invalid 'key_name': string does not match pattern. Expected a string that matches the pattern '^org-[0-9a-zA-Z-]*--[0-9a-zA-Z-]*$'."يرجى إضافة معرّف مؤسستك في OpenAI كبادئة لاسم مفتاحك في Key Vault.
هذه من أفضل الممارسات التي يوصي بها فريق الأمان لمنع تسجيل مفتاح مخزن المفاتيح (Vault) الخاص بك بواسطة مستخدم آخر. ونتحقق من تطابق معرّف المؤسسة عند تسجيل المفتاح ومع كل طلب يُرسل إلى مخزن المفاتيح الخاصة بك.
