AWS
Ikke autoriseret til at udføre: sts:AssumeRole
Bruger: arn:aws:sts::xxxxx:assumed-role/EnterpriseKeyManagement/OpenAI-EKM-Service har ikke tilladelse til at udføre: sts:AssumeRole på ressourcen: arn:aws:iam::xxxxx:role/xxxxxxKontrollér principalen og ExternalId i din trust policy
Sørg for, at du har fulgt dette afsnit i dokumentationen, herunder BÅDE at anerkende OpenAIs principal og konfigurere et sts:ExternalId
Hvis du allerede har angivet et sts:ExternalId, skal du sikre dig, at det er det samme OpenAI-organisations-id, som du anvender EKM på, og ikke en anden organisation, f.eks. en personlig organisation.
Kontrollér trust policy-tilknytningen til rolle-ARN
Kontrollér, at din trust policy er gemt korrekt på den rolle-ARN, du har angivet
Kontrollér også, at du har angivet den korrekte rolle-ARN. Hvis din ARN er stavet forkert og ikke findes, får vi den samme fejl, som hvis rollen findes, men afviser tilladelser.

Ikke autoriseret til at udføre: kms:Encrypt på ressourcen
Bruger: xxxxx har ikke tilladelse til at udføre: kms:Encrypt på ressourcenSørg for, at din IAM-politik giver kms:Encrypt og kms:Decrypt til OpenAIs rolle.
Hvis du også har tilføjet en nøglepolitik, skal du sørge for, at den også giver kms:Encrypt og kms:Decrypt til OpenAIs rolle.
GCP
Kunne ikke hente GCP STS-token for målgruppen
Kunne ikke hente GCP STS-token for målgruppen //iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx: {'error': 'invalid_request', 'error_description': 'Ugyldig værdi for \"audience\". Denne værdi skal være det fulde ressourcenavn for identitetsprovideren. Se https://cloud.google.com/iam/docs/reference/sts/rest/v1/TopLevel/token for listen over mulige formater.GCP forventer en målgruppe med formatet
iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx
Sørg for, at du har angivet de korrekte parametre, når du registrerer din nøgle hos OpenAI ved hjælp af Eksterne nøgler i Management API
Sørg for, at workload_identity_project_number er dit 12-cifrede GCP-projektnummer
Sørg for, at workload_identity_pool_id er korrekt
Sørg for, at workload_identity_provider_id er korrekt
Målgruppen i ID-tokenet matcher ikke den forventede målgruppe
Kunne ikke hente GCP STS-token for målgruppen //iam.googleapis.com/projects/xxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxx: {'error': 'invalid_grant', 'error_description': 'Målgruppen i ID-token [xxxxx] matcher ikke den forventede målgruppe xxxxxxx.'}Sørg for, at feltet audience, som du angiver, når du registrerer din konfiguration hos OpenAI (Eksterne nøgler i Management API ), er en af de tilladte målgrupper for din workload identity-provider. Vi anbefaler at bruge dit OpenAI-organisations-id.
Azure
Klientprogrammet mangler tjenesteprincipal
Klientprogrammet xxxxx mangler en tjenesteprincipal i lejeren xxxxx. Se vejledningen her: https://go.microsoft.com/fwlink/?linkid=2225119Sørg for, at du nøjagtigt har fulgt processen for oprettelse af tjenesteprincipalen som beskrevet i OpenAI / Azure EKM-integrationsvejledningen.
Kalderen har ikke tilladelse til at udføre handlingen på ressourcen
Kalderen har ikke tilladelse til at udføre handlingen på ressourcen. Hvis rolletildelinger, afvisningstildelinger eller rolledefinitioner er blevet ændret for nylig, skal du tage højde for udbredelsestiden.Den samme fejl kan opstå af flere årsager
Du har angivet et forkert nøglenavn eller en forkert vault-URI, eller en der ikke findes
Du har ikke oprettet en rolle med disse datahandlinger OG tildelt den rolle til OpenAIs tjenesteprincipal
Microsoft.KeyVault/vaults/keys/encrypt/action
Microsoft.KeyVault/vaults/keys/decrypt/action
Nøglenavnet matcher ikke mønsteret
»Ugyldig 'key_name': strengen matcher ikke mønsteret. Der forventes en streng, der matcher mønsteret '^org-[0-9a-zA-Z-]*--[0-9a-zA-Z-]*$'.«Sæt dit OpenAI-organisations-id som præfiks for dit Key Vault-nøglenavn.
Dette er den bedste praksis, som sikkerhedsteamet anbefaler for at forhindre, at din Key Vault-nøgle registreres af en anden bruger. Vi validerer, at organisations-id'et matcher, når nøglen registreres, og ved hver anmodning til din Key Vault.
