AWS
Нямате право да изпълнявате: sts:AssumeRole
Потребител: arn:aws:sts::xxxxx:assumed-role/EnterpriseKeyManagement/OpenAI-EKM-Service няма право да изпълнява: sts:AssumeRole върху ресурс: arn:aws:iam::xxxxx:role/xxxxxxПроверете principal и ExternalId във вашата trust policy
Уверете се, че сте следвали този раздел от документацията, включително И ДВЕТЕ: разпознаване на principal на OpenAI и конфигуриране на sts:ExternalId
Ако вече сте добавили sts:ExternalId, уверете се, че това е същият ID на организацията в OpenAI, към който прилагате EKM, а не друга организация, например лична.
Проверете свързването на trust policy с ARN на ролята
Проверете дали вашата trust policy е правилно запазена към предоставения от вас ARN на ролята
Също така проверете дали сте предоставили правилния ARN на ролята. Ако вашият ARN е изписан грешно и не съществува, ще получим същата грешка, както ако ролята съществува, но отказва разрешения.
Нямате право да изпълнявате: kms:Encrypt върху ресурса
Потребител: xxxxx няма право да изпълнява: kms:Encrypt върху ресурсаУверете се, че вашата IAM policy предоставя kms:Encrypt и kms:Decrypt на ролята на OpenAI.
Ако сте добавили и key policy, уверете се, че тя също предоставя kms:Encrypt и kms:Decrypt на ролята на OpenAI.
GCP
Неуспешно получаване на GCP STS токен за аудитория
Неуспешно получаване на GCP STS токен за аудитория //iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx: {'error': 'invalid_request', 'error_description': 'Невалидна стойност за \"audience\". Тази стойност трябва да бъде пълното име на ресурса на доставчика на идентичност. Вижте https://cloud.google.com/iam/docs/reference/sts/rest/v1/TopLevel/token за списъка с възможните формати.GCP очаква аудитория с формат
iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx
Уверете се, че сте предоставили правилните параметри при регистриране на ключа си в OpenAI чрез Външни ключове в Management API
Уверете се, че workload_identity_project_number е вашият 12-цифрен номер на проект в GCP
Уверете се, че workload_identity_pool_id е правилен
Уверете се, че workload_identity_provider_id е правилен
Аудиторията в ID токена не съответства на очакваната аудитория
Неуспешно получаване на GCP STS токен за аудитория //iam.googleapis.com/projects/xxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxx: {'error': 'invalid_grant', 'error_description': 'Аудиторията в ID токена [xxxxx] не съответства на очакваната аудитория xxxxxxx.'}Уверете се, че полето audience, което предоставяте при регистриране на конфигурацията си в OpenAI (Външни ключове в Management API ), е сред разрешените аудитории за вашия доставчик на идентичност за работно натоварване. Препоръчваме да използвате ID на организацията си в OpenAI.
Azure
В клиентското приложение липсва service principal
В клиентското приложение xxxxx липсва service principal в клиента xxxxx. Вижте инструкциите тук: https://go.microsoft.com/fwlink/?linkid=2225119Уверете се, че сте следвали точно стъпките за създаване на service principal, описани в Инструкциите за интеграция на OpenAI / Azure EKM.
Извикващият няма право да извърши действие върху ресурса
Извикващият няма право да извърши действие върху ресурса. Ако наскоро са били променени присвоявания на роли, присвоявания за отказ или дефиниции на роли, изчакайте времето за разпространение.Същата грешка може да се появи по няколко причини
Предоставили сте грешно име на ключ или URI на хранилище, или такова, което не съществува
Не сте създали роля с тези действия върху данни И не сте присвоили тази роля на service principal на OpenAI
Microsoft.KeyVault/vaults/keys/encrypt/action
Microsoft.KeyVault/vaults/keys/decrypt/action
Името на ключа не съответства на шаблона
"Невалиден 'key_name': низът не съответства на шаблона. Очаква се низ, който съответства на шаблона '^org-[0-9a-zA-Z-]*--[0-9a-zA-Z-]*$'."Добавете ID на организацията си в OpenAI като префикс към името на ключа в Key Vault.
Това е най-добрата практика, препоръчана от екипа по сигурността, за да се предотврати регистрирането на ключа ви в Key Vault от друг потребител. Проверяваме дали ID на организацията съвпада при регистрация на ключа и при всяка заявка към вашия Key Vault.