OpenAI
Ang page na ito ay isinalin ng AI. Tingnan ang orihinal na artikulo sa English.

FAQ sa pag-troubleshoot ng EKM onboarding

Mga karaniwang error sa EKM onboarding at kung paano lutasin ang mga ito para sa AWS, GCP, at Azure

Na-update: 12 days ago

AWS

Hindi awtorisadong magsagawa ng: sts:AssumeRole

User: arn:aws:sts::xxxxx:assumed-role/EnterpriseKeyManagement/OpenAI-EKM-Service ay hindi awtorisadong magsagawa ng: sts:AssumeRole sa resource: arn:aws:iam::xxxxx:role/xxxxxx

Suriin ang principal at ExternalId sa iyong trust policy

Siguraduhing nasunod mo ang seksyong ito ng docs, kabilang ang PAREHONG pagkilala sa principal ng OpenAI at pag-configure ng sts:ExternalId

Kung naglagay ka na ng sts:ExternalId, tiyaking ito ay ang parehong OpenAI organization ID na ina-apply-an mo ng EKM, hindi ibang org tulad ng personal na org.

Suriin ang pagkakaugnay ng trust policy sa role ARN

Suriin kung maayos na na-save ang iyong trust policy sa role ARN na ibinigay mo

Tiyakin din na ibinigay mo ang tamang role ARN. Kung mali ang baybay ng ARN mo at hindi ito umiiral, makukuha natin ang parehong error na parang umiiral ang role pero tumatanggi sa mga pahintulot.

AWS IAM role details with Trust relationships tab open and the role ARN highlighted

Hindi awtorisadong magsagawa ng: kms:Encrypt sa resource

User: xxxxx ay hindi awtorisadong magsagawa ng: kms:Encrypt sa resource

Siguraduhing nagbibigay ang IAM policy ng kms:Encrypt at kms:Decrypt sa role ng OpenAI.

Kung nagdagdag ka rin ng key policy, siguraduhing nagbibigay din ito ng kms:Encrypt at kms:Decrypt sa role ng OpenAI.

GCP

Nabigong kumuha ng GCP STS token para sa audience

Nabigong kumuha ng GCP STS token para sa audience //iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx: {'error': 'invalid_request', 'error_description': 'Di-wastong value para sa \"audience\". Dapat ang value na ito ay ang buong resource name ng Identity Provider. Tingnan ang https://cloud.google.com/iam/docs/reference/sts/rest/v1/TopLevel/token para sa listahan ng mga posibleng format.

Inaasahan ng GCP ang audience na may format na

iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx

Siguraduhing ibinigay mo ang mga tamang parameter kapag nirerehistro ang iyong key sa OpenAI gamit ang Mga External Key sa Management API

  • Tiyaking ang workload_identity_project_number ay ang iyong 12-digit na GCP project number

  • Tiyaking tama ang workload_identity_pool_id

  • Tiyaking tama ang workload_identity_provider_id

Ang audience sa ID token ay hindi tumutugma sa inaasahang audience

Nabigong kumuha ng GCP STS token para sa audience //iam.googleapis.com/projects/xxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxx: {'error': 'invalid_grant', 'error_description': 'Ang audience sa ID Token [xxxxx] ay hindi tumutugma sa inaasahang audience xxxxxxx.'}

Siguraduhing ang field na audience na ibibigay mo kapag inirehistro mo ang iyong config sa OpenAI (Mga External Key sa Management API ) ay nasa isa sa iyong Allowed Audiences para sa workload identity provider mo. Inirerekomenda naming gamitin ang OpenAI organization ID mo.

Azure

Walang service principal ang client application

Ang client application xxxxx ay walang service principal sa tenant xxxxx. Tingnan ang mga tagubilin dito: https://go.microsoft.com/fwlink/?linkid=2225119

Siguraduhing tama mong nasunod ang paggawa ng service principal gaya ng nakasaad sa Mga Tagubilin sa Integrasyon ng OpenAI / Azure EKM.

Hindi awtorisado ang caller na magsagawa ng action sa resource

Hindi awtorisado ang caller na magsagawa ng action sa resource. Kung kamakailan lang binago ang mga role assignment, deny assignment, o role definition, pakihintay ang propagation time.

Maaaring lumabas ang parehong error na ito sa ilang dahilan

  • Nagbigay ka ng maling key name o vault uri, o ng hindi umiiral

  • Hindi ka gumawa ng role na may mga data action na ito AT itinalaga ang role na iyon sa service principal ng OpenAI

    • Microsoft.KeyVault/vaults/keys/encrypt/action

    • Microsoft.KeyVault/vaults/keys/decrypt/action

Hindi tumutugma ang key name sa pattern

"Hindi valid ang 'key_name': hindi tumutugma ang string sa pattern. Inaasahan ang string na tumutugma sa pattern na '^org-[0-9a-zA-Z-]*--[0-9a-zA-Z-]*$'."

Pakilagyan ng prefix ang iyong Key Vault key name gamit ang OpenAI organization ID.

Ito ang pinakamainam na kasanayang inirerekomenda ng security para maiwasang mairehistro ng ibang user ang iyong key vault key. Bine-validate namin na tumutugma ang org id sa pagrerehistro ng key at sa bawat request sa iyong key vault.

Nakatulong ba ang artikulong ito?