OpenAI

Preguntas frecuentes sobre resolución de problemas de incorporación de EKM

Errores comunes de incorporación de EKM y cómo resolverlos para AWS, GCP y Azure

Última actualización: yesterday

AWS

No tienes autorización para realizar: sts:AssumeRole

Persona usuaria: arn:aws:sts::xxxxx:assumed-role/EnterpriseKeyManagement/OpenAI-EKM-Service no está autorizada para realizar: sts:AssumeRole en el recurso: arn:aws:iam::xxxxx:role/xxxxxx

Verifica el principal y ExternalId en tu política de confianza

Asegúrate de seguir esta sección de la documentación, incluido TANTO el reconocimiento del principio de OpenAI como la configuración de un sts:ExternalId

Si ya agregaste un sts:ExternalId, asegúrate de que sea el mismo ID de la organización de OpenAI al que estás aplicando EKM, y no a una organización diferente, como una organización personal.

Verificar la asociación de la política de confianza con el ARN del rol

Verifica que la política de confianza se haya guardado correctamente en el ARN del rol que proporcionaste

Además, verifica que hayas proporcionado el ARN del rol correcto. Si tu ARN está mal escrito y no existe, obtendremos el mismo error que si el rol existe, pero niega permisos.

AWS IAM role details with Trust relationships tab open and the role ARN highlighted

No está autorizado para realizar: kms:Encrypt en el recurso

Usuario: xxxxx no está autorizado para realizar la acción kms:Encrypt en el recurso

Asegúrate de que tu política de IAM otorgue kms:Encrypt y kms:Decrypt al rol de OpenAI. 

Si también agregaste una política de claves, asegúrate de otorgar también kms:Encrypt y kms:Decrypt al rol de OpenAI.

GCP

No se pudo adquirir el token de GCP STS para la audiencia

No se pudo obtener el token de STS de GCP para la audiencia //iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx: {'error': 'invalid_request', 'error_description': 'Valor no válido para el parámetro \"audience\". Este valor debe ser el nombre completo del recurso del proveedor de identidad (IdP). Consulta https://cloud.google.com/iam/docs/reference/sts/rest/v1/TopLevel/token para consultar la lista de formatos posibles.

GCP espera una audiencia con el formato 

iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx

Asegúrate de haber proporcionado los parámetros correctos al registrar tu clave con OpenAI mediante Claves externas en la API de administración

  • Asegúrate de que el workload_identity_project_number sea tu número de proyecto de GCP de 12 dígitos

  • Verifica que workload_identity_pool_id sea correcto

  • Asegúrate de que el workload_identity_provider_id sea correcto

La audiencia en el token de identificación no coincide con la audiencia esperada

No se pudo obtener el token STS de GCP para la audiencia //iam.googleapis.com/projects/xxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxx: {'error': 'invalid_grant', 'error_description': 'La audiencia en el token de ID [xxxxx] no coincide con la audiencia esperada xxxxxxx.'}

Asegúrate de que el campo audience que proporciones al registrar tu configuración con OpenAI (Claves externas en la API de administración) esté en una de las audiencias permitidas de tu proveedor de identidad de carga de trabajo. Recomendamos usar tu ID de organización de OpenAI.

Azure

La aplicación cliente no tiene un principal de servicio

La aplicación cliente xxxxx no tiene un principal de servicio en el inquilino xxxxx. Consulta las instrucciones aquí: https://go.microsoft.com/fwlink/?linkid=2225119

Asegúrate de haber seguido correctamente la creación de la entidad de servicio, como se describe en las Instrucciones de integración de OpenAI/Azure EKM.

El solicitante no está autorizado para realizar la acción en el recurso

El usuario no está autorizado para realizar acciones en el recurso. Si las asignaciones de roles, las asignaciones de denegación o las definiciones de roles se modificaron recientemente, ten en cuenta el tiempo de propagación.

Este mismo error puede aparecer por varias razones

  • Proporcionaste un nombre de clave o un URI de bóveda incorrecto, o uno que no existe

  • No creaste un rol con estas acciones de datos ni asignaste ese rol a la entidad de servicio de OpenAI.

    • Microsoft.KeyVault/vaults/keys/encrypt/action

    • Microsoft.KeyVault/vaults/keys/decrypt/action

El nombre clave no coincide con el patrón

“Clave no válida 'key_name': la cadena no coincide con el patrón. Se esperaba una cadena que coincidiera con el patrón '^org-[0-9a-zA-Z-]*--[0-9a-zA-Z-]*$'.”

Antepón tu ID de organización de OpenAI al nombre de clave de tu Key Vault.

Esta es la mejor práctica recomendada por el equipo de seguridad para evitar que la clave de la bóveda de claves sea registrada por otro usuario. Validamos que el ID de la organización coincida durante el registro de la clave y en cada solicitud a tu bóveda de claves.

¿Este artículo te fue útil?