AWS
sts:AssumeRole সম্পাদন করার অনুমতি নেই
ব্যবহারকারী: arn:aws:sts::xxxxx:assumed-role/EnterpriseKeyManagement/OpenAI-EKM-Service রিসোর্স: arn:aws:iam::xxxxx:role/xxxxxx-এ sts:AssumeRole সম্পাদন করার অনুমতিপ্রাপ্ত ননআপনার trust policy-তে principal এবং ExternalId যাচাই করুন
ডকুমেন্টেশনের এই অংশটি অনুসরণ করেছেন কি না নিশ্চিত করুন, যার মধ্যে OpenAI-এর principal চেনা এবং একটি sts:ExternalId কনফিগার করা—দুটিই অন্তর্ভুক্ত.
আপনি যদি ইতিমধ্যেই একটি sts:ExternalId দিয়ে থাকেন, নিশ্চিত করুন সেটি EKM প্রয়োগ করা হচ্ছে যে OpenAI organization ID-তে, সেই একই OpenAI organization ID; ব্যক্তিগত org-এর মতো অন্য কোনো org নয়.
role ARN-এর সঙ্গে trust policy-এর সংযোগ যাচাই করুন
আপনার দেওয়া role ARN-এ আপনার trust policy সঠিকভাবে সংরক্ষিত হয়েছে কি না যাচাই করুন
এছাড়াও নিশ্চিত করুন যে আপনি সঠিক role ARN দিয়েছেন. যদি আপনার ARN-এ বানান ভুল থাকে এবং সেটি না থাকে, তাহলে role থাকলেও permissions অস্বীকার করলে যেমন ত্রুটি দেখা যায়, তেমনই ত্রুটি দেখা যাবে.
রিসোর্সে kms:Encrypt সম্পাদন করার অনুমতি নেই
ব্যবহারকারী: xxxxx রিসোর্সে kms:Encrypt সম্পাদন করার অনুমতিপ্রাপ্ত নননিশ্চিত করুন যে আপনার IAM policy OpenAI-এর role-কে kms:Encrypt এবং kms:Decrypt করার অনুমতি দেয়.
আপনি যদি key policy-ও যোগ করে থাকেন, নিশ্চিত করুন সেটিও OpenAI-এর role-কে kms:Encrypt এবং kms:Decrypt করার অনুমতি দেয়.
GCP
অডিয়েন্সের জন্য GCP STS টোকেন অর্জন করতে ব্যর্থ
অডিয়েন্স //iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx-এর জন্য GCP STS টোকেন অর্জন করতে ব্যর্থ: {'error': 'invalid_request', 'error_description': '\"audience\"-এর মান অবৈধ. এই মানটি Identity Provider-এর পূর্ণ রিসোর্স নাম হওয়া উচিত. সম্ভাব্য ফরম্যাটের তালিকার জন্য https://cloud.google.com/iam/docs/reference/sts/rest/v1/TopLevel/token দেখুন.GCP নিম্নলিখিত ফরম্যাটের একটি অডিয়েন্স প্রত্যাশা করছে
iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx
OpenAI-তে Management API-তে External Keys ব্যবহার করে আপনার key নিবন্ধনের সময় আপনি সঠিক parameters দিয়েছেন কি না নিশ্চিত করুন
নিশ্চিত করুন যে workload_identity_project_number আপনার ১২-অঙ্কের GCP project number.
নিশ্চিত করুন যে workload_identity_pool_id সঠিক.
নিশ্চিত করুন যে workload_identity_provider_id সঠিক.
ID টোকেনের অডিয়েন্স প্রত্যাশিত অডিয়েন্সের সঙ্গে মেলে না
অডিয়েন্স //iam.googleapis.com/projects/xxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxx-এর জন্য GCP STS টোকেন অর্জন করতে ব্যর্থ: {'error': 'invalid_grant', 'error_description': 'ID টোকেন [xxxxx]-এর অডিয়েন্স প্রত্যাশিত অডিয়েন্স xxxxxxx-এর সঙ্গে মেলে না.'}OpenAI-তে আপনার config নিবন্ধনের সময় আপনি যে audience field দেন (Management API-তে External Keys ), সেটি আপনার workload identity provider-এর Allowed Audiences-এর একটির মধ্যে আছে কি না নিশ্চিত করুন. আমরা আপনার OpenAI organization ID ব্যবহার করার পরামর্শ দিই.
Azure
ক্লায়েন্ট অ্যাপ্লিকেশনে service principal অনুপস্থিত
ক্লায়েন্ট অ্যাপ্লিকেশন xxxxx-এর tenant xxxxx-এ service principal অনুপস্থিত. নির্দেশাবলী এখানে দেখুন: https://go.microsoft.com/fwlink/?linkid=2225119নিশ্চিত করুন যে আপনি OpenAI / Azure EKM ইন্টিগ্রেশন নির্দেশাবলী-তে বর্ণিত service principal তৈরির ধাপগুলো সঠিকভাবে অনুসরণ করেছেন.
কলকারী রিসোর্সে action সম্পাদন করার অনুমতিপ্রাপ্ত নন
কলকারী রিসোর্সে action সম্পাদন করার অনুমতিপ্রাপ্ত নন. role assignments, deny assignments বা role definitions সম্প্রতি পরিবর্তন করা হলে, অনুগ্রহ করে পরিবর্তন কার্যকর হতে কিছু সময় দিন.একই ত্রুটি কয়েকটি কারণে দেখা দিতে পারে
আপনি ভুল কী-এর নাম বা vault URI দিয়েছেন, অথবা এমন একটি দিয়েছেন যা নেই
আপনি এই data actions সহ কোনো role তৈরি করেননি এবং সেই role OpenAI-এর service principal-এ assign করেননি
Microsoft.KeyVault/vaults/keys/encrypt/action
Microsoft.KeyVault/vaults/keys/decrypt/action
কী-এর নাম প্যাটার্নের সঙ্গে মেলে না
"অবৈধ 'key_name': স্ট্রিংটি প্যাটার্নের সঙ্গে মেলে না. '^org-[0-9a-zA-Z-]*--[0-9a-zA-Z-]*$' প্যাটার্নের সঙ্গে মেলে এমন একটি স্ট্রিং প্রত্যাশিত."আপনার Key Vault key name-এর আগে আপনার OpenAI organization ID যোগ করুন.
আপনার key vault key অন্য কোনো ব্যবহারকারী নিবন্ধন করে ফেলতে না পারে, তা ঠেকাতে নিরাপত্তা টিমের সুপারিশ করা এটি সর্বোত্তম অনুশীলন. কী নিবন্ধনের সময় এবং আপনার key vault-এ প্রতিটি অনুরোধে আমরা org ID মিলছে কি না যাচাই করি.