AWS
Není oprávněn provést: sts:AssumeRole
Uživatel: arn:aws:sts::xxxxx:assumed-role/EnterpriseKeyManagement/OpenAI-EKM-Service není oprávněn provést: sts:AssumeRole na prostředku: arn:aws:iam::xxxxx:role/xxxxxxOvěřte principal a ExternalId ve své zásadě důvěry
Ujistěte se, že jste postupovali podle této části dokumentace, včetně rozpoznání principalu OpenAI a konfigurace sts:ExternalId
Pokud jste již zadali sts:ExternalId, ujistěte se, že jde o stejné ID organizace OpenAI, na které EKM používáte, a ne o jinou organizaci, například osobní.
Ověřte přiřazení zásady důvěry k ARN role
Ověřte, že vaše zásada důvěry byla správně uložena k zadanému ARN role
Také ověřte, že jste zadali správné ARN role. Pokud je vaše ARN chybně napsané a neexistuje, obdržíme stejnou chybu, jako kdyby role existovala, ale oprávnění odmítala.
Není oprávněn provést: kms:Encrypt na prostředku
Uživatel: xxxxx není oprávněn provést: kms:Encrypt na prostředkuUjistěte se, že vaše zásada IAM uděluje roli OpenAI oprávnění kms:Encrypt a kms:Decrypt.
Pokud jste přidali také zásadu klíče, ujistěte se, že i ta uděluje roli OpenAI oprávnění kms:Encrypt a kms:Decrypt.
GCP
Nepodařilo se získat token GCP STS pro audience
Nepodařilo se získat token GCP STS pro audience //iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx: {'error': 'invalid_request', 'error_description': 'Neplatná hodnota pro quot;audiencequot;. Tato hodnota musí být úplný název prostředku zprostředkovatele identity. Seznam možných formátů najdete na https://cloud.google.com/iam/docs/reference/sts/rest/v1/TopLevel/token.GCP očekává audience ve formátu
iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx
Ujistěte se, že jste při registraci klíče u OpenAI pomocí External Keys in the Management API zadali správné parametry
Ujistěte se, že workload_identity_project_number je vaše 12místné číslo projektu GCP
Ujistěte se, že workload_identity_pool_id je správné
Ujistěte se, že workload_identity_provider_id je správné
Audience v ID tokenu neodpovídá očekávané audience
Nepodařilo se získat token GCP STS pro audience //iam.googleapis.com/projects/xxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxx: {'error': 'invalid_grant', 'error_description': 'Audience v ID tokenu [xxxxx] neodpovídá očekávané audience xxxxxxx.'}Ujistěte se, že pole audience, které zadáváte při registraci konfigurace u OpenAI (External Keys in the Management API), je jedním z vašich Allowed Audiences pro vašeho poskytovatele workload identity. Doporučujeme použít ID vaší organizace OpenAI.
Azure
Klientské aplikaci chybí instanční objekt služby
Klientské aplikaci xxxxx chybí instanční objekt služby v tenantovi xxxxx. Pokyny najdete zde: https://go.microsoft.com/fwlink/?linkid=2225119Ujistěte se, že jste přesně postupovali při vytvoření instančního objektu služby podle pokynů v pokynech k integraci OpenAI / Azure EKM.
Volající není oprávněn provést akci na prostředku
Volající není oprávněn provést akci na prostředku. Pokud byly přiřazení rolí, přiřazení odmítnutí nebo definice rolí nedávno změněny, vyčkejte na dobu šíření změn.Tato stejná chyba se může objevit z několika důvodů
Zadali jste nesprávný název klíče nebo URI trezoru, případně takový, který neexistuje
Nevytvořili jste roli s těmito datovými akcemi A tuto roli nepřiřadili instančnímu objektu služby OpenAI
Microsoft.KeyVault/vaults/keys/encrypt/action
Microsoft.KeyVault/vaults/keys/decrypt/action
Název klíče neodpovídá vzoru
"Neplatné „key_name“: řetězec neodpovídá vzoru. Očekáván je řetězec, který odpovídá vzoru '^org-[0-9a-zA-Z-]*--[0-9a-zA-Z-]*$'."Přidejte prosím na začátek názvu klíče v Key Vault ID vaší organizace OpenAI.
Jde o osvědčený postup doporučený bezpečnostním týmem, aby se zabránilo registraci klíče z vašeho trezoru jiným uživatelem. Při registraci klíče i při každém požadavku na váš key vault ověřujeme, že se ID organizace shoduje.