OpenAI
Тази страница е машинно преведена. Вижте оригиналната статия на английски език.

ЧЗВ за отстраняване на проблеми при EKM onboarding

Чести грешки при EKM onboarding и как да ги отстраните за AWS, GCP и Azure

Актуализирано: 6 hours ago

AWS

Няма разрешение за извършване на: sts:AssumeRole

Потребителят: arn:aws:sts::xxxxx:assumed-role/EnterpriseKeyManagement/OpenAI-EKM-Service няма разрешение да извърши: sts:AssumeRole върху ресурса: arn:aws:iam::xxxxx:role/xxxxxx

Проверете principal и ExternalId във вашата trust policy

Уверете се, че сте следвали този раздел от документацията, включително И ДВЕТЕ: разпознаване на principal на OpenAI и конфигуриране на sts:ExternalId

Ако вече сте задали sts:ExternalId, уверете се, че това е същият ID на организация в OpenAI, за който прилагате EKM, а не различна организация, като например лична организация.

Проверете свързването на trust policy с ARN на ролята

Проверете дали вашата trust policy е правилно записана към ARN на ролята, която сте предоставили

Също така проверете дали сте предоставили правилния ARN на ролята. Ако вашият ARN е изписан грешно и не съществува, ще получим същата грешка, както ако ролята съществува, но отказва разрешения.

AWS IAM role details with Trust relationships tab open and the role ARN highlighted

Няма разрешение за извършване на: kms:Encrypt върху ресурса

Потребителят: xxxxx няма разрешение да извърши: kms:Encrypt върху ресурса

Уверете се, че вашата IAM policy предоставя kms:Encrypt и kms:Decrypt на ролята на OpenAI. 

Ако сте добавили и key policy, уверете се, че и тя предоставя kms:Encrypt и kms:Decrypt на ролята на OpenAI.

GCP

Неуспешно получаване на GCP STS токен за audience

Неуспешно получаване на GCP STS токен за audience //iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx: {'error': 'invalid_request', 'error_description': 'Невалидна стойност за quot;audiencequot;. Тази стойност трябва да е пълното име на ресурса на доставчика на идентичност. Вижте https://cloud.google.com/iam/docs/reference/sts/rest/v1/TopLevel/token за списък с възможните формати.

GCP очаква audience във формат 

iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx

Уверете се, че сте подали правилните параметри, когато регистрирате ключа си с OpenAI чрез External Keys in the Management API

  • Уверете се, че workload_identity_project_number е вашият 12-цифрен номер на GCP project

  • Уверете се, че workload_identity_pool_id е правилен

  • Уверете се, че workload_identity_provider_id е правилен

Audience в ID токена не съвпада с очаквания audience

Неуспешно получаване на GCP STS токен за audience //iam.googleapis.com/projects/xxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxx: {'error': 'invalid_grant', 'error_description': 'Audience в ID токена [xxxxx] не съвпада с очаквания audience xxxxxxx.'}

Уверете се, че полето audience, което подавате, когато регистрирате конфигурацията си с OpenAI (External Keys in the Management API), е сред Allowed Audiences за вашия workload identity provider. Препоръчваме да използвате ID на вашата организация в OpenAI.

Azure

В клиентското приложение липсва service principal

В клиентското приложение xxxxx липсва service principal в tenant xxxxx. Вижте инструкциите тук: https://go.microsoft.com/fwlink/?linkid=2225119

Уверете се, че сте изпълнили точно създаването на service principal, както е описано в Instructions за OpenAI / Azure EKM Integration.

Извикващият няма разрешение да извърши действие върху ресурса

Извикващият няма разрешение да извърши действие върху ресурса. Ако назначенията на роли, забраняващите назначения или дефинициите на роли са били променени наскоро, моля, изчакайте времето за разпространение.

Същата грешка може да се появи по няколко причини

  • Подали сте грешно key name или vault uri, или такова, което не съществува

  • Не сте създали роля с тези data actions И не сте присвоили тази роля на service principal на OpenAI

    • Microsoft.KeyVault/vaults/keys/encrypt/action

    • Microsoft.KeyVault/vaults/keys/decrypt/action

Името на ключа не съвпада с шаблона

"Невалиден 'key_name': низът не съвпада с шаблона. Очакваше се низ, който съвпада с шаблона '^org-[0-9a-zA-Z-]*--[0-9a-zA-Z-]*$'."

Моля, добавете като префикс към името на ключа в Key Vault ID на вашата организация в OpenAI.

Това е най-добрата практика, препоръчана от екипа по сигурността, за да се предотврати регистриране на ключа ви в key vault от друг потребител. Проверяваме дали org id съвпада при регистрация на ключа и при всяка заявка към вашия key vault.

Беше ли Ви полезна тази статия?