OpenAI
Denne side er maskinoversat. Se den originale engelske artikel.

Ofte stillede spørgsmål om fejlfinding ved EKM-onboarding

Almindelige fejl ved EKM-onboarding, og hvordan de løses for AWS, GCP og Azure

Opdateret: 12 days ago

AWS

Ikke autoriseret til at udføre: sts:AssumeRole

Bruger: arn:aws:sts::xxxxx:assumed-role/EnterpriseKeyManagement/OpenAI-EKM-Service har ikke tilladelse til at udføre: sts:AssumeRole på ressourcen: arn:aws:iam::xxxxx:role/xxxxxx

Kontrollér principalen og ExternalId i din trust policy

Sørg for, at du har fulgt dette afsnit i dokumentationen, herunder BÅDE at anerkende OpenAIs principal og konfigurere et sts:ExternalId

Hvis du allerede har angivet et sts:ExternalId, skal du sikre dig, at det er det samme OpenAI-organisations-id, som du anvender EKM på, og ikke en anden organisation, f.eks. en personlig organisation.

Kontrollér trust policy-tilknytningen til rolle-ARN

Kontrollér, at din trust policy er gemt korrekt på den rolle-ARN, du har angivet

Kontrollér også, at du har angivet den korrekte rolle-ARN. Hvis din ARN er stavet forkert og ikke findes, får vi den samme fejl, som hvis rollen findes, men afviser tilladelser.

AWS IAM role details with Trust relationships tab open and the role ARN highlighted

Ikke autoriseret til at udføre: kms:Encrypt på ressourcen

Bruger: xxxxx har ikke tilladelse til at udføre: kms:Encrypt på ressourcen

Sørg for, at din IAM-politik giver kms:Encrypt og kms:Decrypt til OpenAIs rolle.

Hvis du også har tilføjet en nøglepolitik, skal du sørge for, at den også giver kms:Encrypt og kms:Decrypt til OpenAIs rolle.

GCP

Kunne ikke hente GCP STS-token for målgruppen

Kunne ikke hente GCP STS-token for målgruppen //iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx: {'error': 'invalid_request', 'error_description': 'Ugyldig værdi for \"audience\". Denne værdi skal være det fulde ressourcenavn for identitetsprovideren. Se https://cloud.google.com/iam/docs/reference/sts/rest/v1/TopLevel/token for listen over mulige formater.

GCP forventer en målgruppe med formatet

iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx

Sørg for, at du har angivet de korrekte parametre, når du registrerer din nøgle hos OpenAI ved hjælp af Eksterne nøgler i Management API

  • Sørg for, at workload_identity_project_number er dit 12-cifrede GCP-projektnummer

  • Sørg for, at workload_identity_pool_id er korrekt

  • Sørg for, at workload_identity_provider_id er korrekt

Målgruppen i ID-tokenet matcher ikke den forventede målgruppe

Kunne ikke hente GCP STS-token for målgruppen //iam.googleapis.com/projects/xxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxx: {'error': 'invalid_grant', 'error_description': 'Målgruppen i ID-token [xxxxx] matcher ikke den forventede målgruppe xxxxxxx.'}

Sørg for, at feltet audience, som du angiver, når du registrerer din konfiguration hos OpenAI (Eksterne nøgler i Management API ), er en af de tilladte målgrupper for din workload identity-provider. Vi anbefaler at bruge dit OpenAI-organisations-id.

Azure

Klientprogrammet mangler tjenesteprincipal

Klientprogrammet xxxxx mangler en tjenesteprincipal i lejeren xxxxx. Se vejledningen her: https://go.microsoft.com/fwlink/?linkid=2225119

Sørg for, at du nøjagtigt har fulgt processen for oprettelse af tjenesteprincipalen som beskrevet i OpenAI / Azure EKM-integrationsvejledningen.

Kalderen har ikke tilladelse til at udføre handlingen på ressourcen

Kalderen har ikke tilladelse til at udføre handlingen på ressourcen. Hvis rolletildelinger, afvisningstildelinger eller rolledefinitioner er blevet ændret for nylig, skal du tage højde for udbredelsestiden.

Den samme fejl kan opstå af flere årsager

  • Du har angivet et forkert nøglenavn eller en forkert vault-URI, eller en der ikke findes

  • Du har ikke oprettet en rolle med disse datahandlinger OG tildelt den rolle til OpenAIs tjenesteprincipal

    • Microsoft.KeyVault/vaults/keys/encrypt/action

    • Microsoft.KeyVault/vaults/keys/decrypt/action

Nøglenavnet matcher ikke mønsteret

»Ugyldig 'key_name': strengen matcher ikke mønsteret. Der forventes en streng, der matcher mønsteret '^org-[0-9a-zA-Z-]*--[0-9a-zA-Z-]*$'.«

Sæt dit OpenAI-organisations-id som præfiks for dit Key Vault-nøglenavn.

Dette er den bedste praksis, som sikkerhedsteamet anbefaler for at forhindre, at din Key Vault-nøgle registreres af en anden bruger. Vi validerer, at organisations-id'et matcher, når nøglen registreres, og ved hver anmodning til din Key Vault.

Var denne artikel nyttig?