AWS
Hindi awtorisadong magsagawa ng: sts:AssumeRole
User: arn:aws:sts::xxxxx:assumed-role/EnterpriseKeyManagement/OpenAI-EKM-Service ay hindi awtorisadong magsagawa ng: sts:AssumeRole sa resource: arn:aws:iam::xxxxx:role/xxxxxxSuriin ang principal at ExternalId sa iyong trust policy
Siguraduhing nasunod mo ang seksyong ito ng docs, kabilang ang PAREHONG pagkilala sa principal ng OpenAI at pag-configure ng sts:ExternalId
Kung naglagay ka na ng sts:ExternalId, tiyaking ito ay ang parehong OpenAI organization ID na ina-apply-an mo ng EKM, hindi ibang org tulad ng personal na org.
Suriin ang pagkakaugnay ng trust policy sa role ARN
Suriin kung maayos na na-save ang iyong trust policy sa role ARN na ibinigay mo
Tiyakin din na ibinigay mo ang tamang role ARN. Kung mali ang baybay ng ARN mo at hindi ito umiiral, makukuha natin ang parehong error na parang umiiral ang role pero tumatanggi sa mga pahintulot.

Hindi awtorisadong magsagawa ng: kms:Encrypt sa resource
User: xxxxx ay hindi awtorisadong magsagawa ng: kms:Encrypt sa resourceSiguraduhing nagbibigay ang IAM policy ng kms:Encrypt at kms:Decrypt sa role ng OpenAI.
Kung nagdagdag ka rin ng key policy, siguraduhing nagbibigay din ito ng kms:Encrypt at kms:Decrypt sa role ng OpenAI.
GCP
Nabigong kumuha ng GCP STS token para sa audience
Nabigong kumuha ng GCP STS token para sa audience //iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx: {'error': 'invalid_request', 'error_description': 'Di-wastong value para sa \"audience\". Dapat ang value na ito ay ang buong resource name ng Identity Provider. Tingnan ang https://cloud.google.com/iam/docs/reference/sts/rest/v1/TopLevel/token para sa listahan ng mga posibleng format.Inaasahan ng GCP ang audience na may format na
iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx
Siguraduhing ibinigay mo ang mga tamang parameter kapag nirerehistro ang iyong key sa OpenAI gamit ang Mga External Key sa Management API
Tiyaking ang workload_identity_project_number ay ang iyong 12-digit na GCP project number
Tiyaking tama ang workload_identity_pool_id
Tiyaking tama ang workload_identity_provider_id
Ang audience sa ID token ay hindi tumutugma sa inaasahang audience
Nabigong kumuha ng GCP STS token para sa audience //iam.googleapis.com/projects/xxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxx: {'error': 'invalid_grant', 'error_description': 'Ang audience sa ID Token [xxxxx] ay hindi tumutugma sa inaasahang audience xxxxxxx.'}Siguraduhing ang field na audience na ibibigay mo kapag inirehistro mo ang iyong config sa OpenAI (Mga External Key sa Management API ) ay nasa isa sa iyong Allowed Audiences para sa workload identity provider mo. Inirerekomenda naming gamitin ang OpenAI organization ID mo.
Azure
Walang service principal ang client application
Ang client application xxxxx ay walang service principal sa tenant xxxxx. Tingnan ang mga tagubilin dito: https://go.microsoft.com/fwlink/?linkid=2225119Siguraduhing tama mong nasunod ang paggawa ng service principal gaya ng nakasaad sa Mga Tagubilin sa Integrasyon ng OpenAI / Azure EKM.
Hindi awtorisado ang caller na magsagawa ng action sa resource
Hindi awtorisado ang caller na magsagawa ng action sa resource. Kung kamakailan lang binago ang mga role assignment, deny assignment, o role definition, pakihintay ang propagation time.Maaaring lumabas ang parehong error na ito sa ilang dahilan
Nagbigay ka ng maling key name o vault uri, o ng hindi umiiral
Hindi ka gumawa ng role na may mga data action na ito AT itinalaga ang role na iyon sa service principal ng OpenAI
Microsoft.KeyVault/vaults/keys/encrypt/action
Microsoft.KeyVault/vaults/keys/decrypt/action
Hindi tumutugma ang key name sa pattern
"Hindi valid ang 'key_name': hindi tumutugma ang string sa pattern. Inaasahan ang string na tumutugma sa pattern na '^org-[0-9a-zA-Z-]*--[0-9a-zA-Z-]*$'."Pakilagyan ng prefix ang iyong Key Vault key name gamit ang OpenAI organization ID.
Ito ang pinakamainam na kasanayang inirerekomenda ng security para maiwasang mairehistro ng ibang user ang iyong key vault key. Bine-validate namin na tumutugma ang org id sa pagrerehistro ng key at sa bawat request sa iyong key vault.
