OpenAI
Αυτή η σελίδα μεταφράστηκε αυτόματα. Δείτε το πρωτότυπο άρθρο στα αγγλικά.

Συνήθεις ερωτήσεις για αντιμετώπιση προβλημάτων ένταξης EKM

Συνήθη σφάλματα ένταξης EKM και πώς να τα επιλύσετε για AWS, GCP και Azure

Τελευταία ενημέρωση: yesterday

AWS

Δεν επιτρέπεται η εκτέλεση: sts:AssumeRole

Χρήστης: arn:aws:sts::xxxxx:assumed-role/EnterpriseKeyManagement/OpenAI-EKM-Service δεν είναι εξουσιοδοτημένος να εκτελέσει: sts:AssumeRole στον πόρο: arn:aws:iam::xxxxx:role/xxxxxx

Επαληθεύστε το principal και το ExternalId στην πολιτική εμπιστοσύνης σας

Βεβαιωθείτε ότι έχετε ακολουθήσει αυτή την ενότητα της τεκμηρίωσης, συμπεριλαμβανομένων ΚΑΙ των ΔΥΟ: της αναγνώρισης του principal του OpenAI και της διαμόρφωσης ενός sts:ExternalId

Αν έχετε ήδη προσθέσει ένα sts:ExternalId, βεβαιωθείτε ότι είναι το ίδιο αναγνωριστικό οργανισμού OpenAI στο οποίο εφαρμόζετε το EKM, και όχι διαφορετικός οργανισμός όπως ένας προσωπικός οργανισμός.

Επαληθεύστε τη συσχέτιση της πολιτικής εμπιστοσύνης με το ARN του ρόλου

Επαληθεύστε ότι η πολιτική εμπιστοσύνης σας έχει αποθηκευτεί σωστά στο ARN του ρόλου που παρείχατε

Επαληθεύστε επίσης ότι έχετε δώσει το σωστό ARN ρόλου. Αν το ARN σας είναι γραμμένο λάθος και δεν υπάρχει, θα λάβουμε το ίδιο σφάλμα σαν να υπάρχει ο ρόλος αλλά να αρνείται δικαιώματα.

AWS IAM role details with Trust relationships tab open and the role ARN highlighted

Δεν επιτρέπεται η εκτέλεση: kms:Encrypt στον πόρο

Χρήστης: xxxxx δεν είναι εξουσιοδοτημένος να εκτελέσει: kms:Encrypt στον πόρο

Βεβαιωθείτε ότι η πολιτική IAM σας παρέχει kms:Encrypt και kms:Decrypt στον ρόλο του OpenAI. 

Αν έχετε προσθέσει και πολιτική κλειδιού, βεβαιωθείτε ότι και αυτή παρέχει kms:Encrypt και kms:Decrypt στον ρόλο του OpenAI.

GCP

Αποτυχία απόκτησης token GCP STS για audience

Αποτυχία απόκτησης token GCP STS για audience //iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx: {'error': 'invalid_request', 'error_description': 'Μη έγκυρη τιμή για το \\"audience\\". Αυτή η τιμή πρέπει να είναι το πλήρες όνομα πόρου του Identity Provider. Δείτε το https://cloud.google.com/iam/docs/reference/sts/rest/v1/TopLevel/token για τη λίστα των πιθανών μορφών.

Το GCP αναμένει ένα audience με τη μορφή 

iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx

Βεβαιωθείτε ότι έχετε δώσει τις σωστές παραμέτρους κατά την καταχώριση του κλειδιού σας στο OpenAI χρησιμοποιώντας το External Keys in the Management API

  • Βεβαιωθείτε ότι το workload_identity_project_number είναι ο 12-ψήφιος αριθμός έργου GCP σας

  • Βεβαιωθείτε ότι το workload_identity_pool_id είναι σωστό

  • Βεβαιωθείτε ότι το workload_identity_provider_id είναι σωστό

Το audience στο ID token δεν ταιριάζει με το αναμενόμενο audience

Αποτυχία απόκτησης token GCP STS για audience //iam.googleapis.com/projects/xxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxx: {'error': 'invalid_grant', 'error_description': 'Το audience στο ID Token [xxxxx] δεν ταιριάζει με το αναμενόμενο audience xxxxxxx.'}

Βεβαιωθείτε ότι το πεδίο audience που δίνετε όταν καταχωρίζετε τη διαμόρφωσή σας στο OpenAI (External Keys in the Management API ) είναι ένα από τα Allowed Audiences του provider ταυτότητας φόρτου εργασίας σας. Συνιστούμε να χρησιμοποιήσετε το αναγνωριστικό οργανισμού OpenAI σας.

Azure

Απουσιάζει service principal από την εφαρμογή-πελάτη

Απουσιάζει service principal από την εφαρμογή-πελάτη xxxxx στον tenant xxxxx. Δείτε τις οδηγίες εδώ: https://go.microsoft.com/fwlink/?linkid=2225119

Βεβαιωθείτε ότι έχετε ακολουθήσει με ακρίβεια τη δημιουργία του service principal όπως περιγράφεται στις Οδηγίες ενσωμάτωσης OpenAI / Azure EKM.

Ο καλών δεν είναι εξουσιοδοτημένος να εκτελέσει ενέργεια στον πόρο

Ο καλών δεν είναι εξουσιοδοτημένος να εκτελέσει ενέργεια στον πόρο. Αν οι αναθέσεις ρόλων, οι αναθέσεις άρνησης ή οι ορισμοί ρόλων άλλαξαν πρόσφατα, λάβετε υπόψη τον χρόνο διάδοσης.

Το ίδιο σφάλμα μπορεί να εμφανιστεί για διάφορους λόγους

  • Δώσατε λάθος όνομα κλειδιού ή vault uri, ή κάποιο που δεν υπάρχει

  • Δεν δημιουργήσατε ρόλο με αυτές τις ενέργειες δεδομένων ΚΑΙ δεν αντιστοιχίσατε αυτόν τον ρόλο στο service principal του OpenAI

    • Microsoft.KeyVault/vaults/keys/encrypt/action

    • Microsoft.KeyVault/vaults/keys/decrypt/action

Το όνομα κλειδιού δεν ταιριάζει με το μοτίβο

"Μη έγκυρο 'key_name': η συμβολοσειρά δεν ταιριάζει με το μοτίβο. Αναμενόταν μια συμβολοσειρά που να ταιριάζει με το μοτίβο '^org-[0-9a-zA-Z-]*--[0-9a-zA-Z-]*$'."

Παρακαλούμε προσθέστε ως πρόθεμα στο όνομα κλειδιού Key Vault το αναγνωριστικό οργανισμού OpenAI σας.

Αυτή είναι η βέλτιστη πρακτική που συνιστά η ομάδα ασφαλείας για να αποτραπεί η καταχώριση του κλειδιού vault σας από διαφορετικό χρήστη. Επαληθεύουμε ότι το αναγνωριστικό οργανισμού ταιριάζει κατά την καταχώριση του κλειδιού και σε κάθε αίτημα προς το key vault σας.

Σας βοήθησε αυτό το άρθρο;