AWS
Nemáte oprávnění provést: sts:AssumeRole
Uživatel: arn:aws:sts::xxxxx:assumed-role/EnterpriseKeyManagement/OpenAI-EKM-Service nemá oprávnění provést: sts:AssumeRole u prostředku: arn:aws:iam::xxxxx:role/xxxxxxOvěřte principal a ExternalId ve své zásadě důvěryhodnosti
Ujistěte se, že jste postupovali podle této části dokumentace, včetně OBOU kroků: rozpoznání hodnoty principal pro OpenAI a konfigurace sts:ExternalId
Pokud jste už sts:ExternalId zadali, ujistěte se, že jde o stejné ID organizace OpenAI, na kterou EKM aplikujete, a ne o jinou organizaci, například osobní.
Ověřte přiřazení zásady důvěryhodnosti k ARN role
Zkontrolujte, že zásada důvěryhodnosti byla správně uložena pro ARN role, které jste zadali
Také ověřte, že jste zadali správné ARN role. Pokud je vaše ARN zadané s překlepem a neexistuje, zobrazí se stejná chyba, jako kdyby role existovala, ale odepírala oprávnění.
Nemáte oprávnění provést: kms:Encrypt u prostředku
Uživatel: xxxxx nemá oprávnění provést: kms:Encrypt u prostředkuUjistěte se, že vaše zásada IAM uděluje roli OpenAI oprávnění kms:Encrypt a kms:Decrypt.
Pokud jste přidali také zásadu klíče, ujistěte se, že i ta uděluje roli OpenAI oprávnění kms:Encrypt a kms:Decrypt.
GCP
Nepodařilo se získat GCP STS token pro hodnotu audience
Nepodařilo se získat GCP STS token pro hodnotu audience //iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx: {'error': 'invalid_request', 'error_description': 'Neplatná hodnota pro \"audience\". Tato hodnota musí být úplný název prostředku poskytovatele identity. Seznam možných formátů najdete na https://cloud.google.com/iam/docs/reference/sts/rest/v1/TopLevel/token.GCP očekává hodnotu audience ve formátu
iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx
Ujistěte se, že jste při registraci klíče u OpenAI pomocí funkce Externí klíče v rozhraní Management API zadali správné parametry
Zkontrolujte, že workload_identity_project_number je 12místné číslo vašeho projektu GCP
Zkontrolujte, že workload_identity_pool_id má správnou hodnotu
Zkontrolujte, že workload_identity_provider_id má správnou hodnotu
Hodnota audience v ID tokenu neodpovídá očekávané hodnotě audience
Nepodařilo se získat GCP STS token pro hodnotu audience //iam.googleapis.com/projects/xxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxx: {'error': 'invalid_grant', 'error_description': 'Hodnota audience v ID tokenu [xxxxx] neodpovídá očekávané hodnotě audience xxxxxxx.'}Ujistěte se, že pole audience, které zadáváte při registraci konfigurace u OpenAI (Externí klíče v rozhraní Management API ), patří mezi Allowed Audiences vašeho poskytovatele identity pracovního zatížení. Doporučujeme použít ID vaší organizace OpenAI.
Azure
V klientské aplikaci chybí instanční objekt služby
V klientské aplikaci xxxxx chybí instanční objekt služby v tenantovi xxxxx. Pokyny najdete zde: https://go.microsoft.com/fwlink/?linkid=2225119Ujistěte se, že jste přesně postupovali podle pokynů pro vytvoření instančního objektu služby uvedených v dokumentu Pokyny k integraci OpenAI / Azure EKM.
Volající nemá oprávnění provést akci u prostředku
Volající nemá oprávnění provést akci u prostředku. Pokud se nedávno změnila přiřazení rolí, přiřazení zamítnutí nebo definice rolí, počítejte s dobou potřebnou k propagaci.Stejná chyba se může objevit z několika důvodů
Zadali jste nesprávný název klíče nebo URI trezoru, případně takový, který neexistuje
Nevytvořili jste roli s těmito datovými akcemi A nepřiřadili jste ji instančnímu objektu služby OpenAI
Microsoft.KeyVault/vaults/keys/encrypt/action
Microsoft.KeyVault/vaults/keys/decrypt/action
Název klíče neodpovídá vzoru
„Neplatná hodnota 'key_name': řetězec neodpovídá vzoru. Očekával se řetězec odpovídající vzoru '^org-[0-9a-zA-Z-]*--[0-9a-zA-Z-]*$'.“Přidejte na začátek názvu klíče Key Vault ID své organizace OpenAI.
Tento osvědčený postup doporučuje bezpečnostní tým, aby se zabránilo registraci vašeho klíče trezoru jiným uživatelem. Při registraci klíče a při každém požadavku na váš trezor klíčů ověřujeme, že se ID organizace shoduje.