OpenAI
Cette page a été traduite automatiquement. Afficher l’article original en anglais.

FAQ de dépannage pour l’intégration EKM

Erreurs courantes d’intégration EKM et solutions pour AWS, GCP et Azure

Mise à jour : 5 days ago

AWS

Non autorisé à effectuer : sts:AssumeRole

L’utilisateur arn:aws:sts::xxxxx:assumed-role/EnterpriseKeyManagement/OpenAI-EKM-Service n’est pas autorisé à effectuer : sts:AssumeRole sur la ressource : arn:aws:iam::xxxxx:role/xxxxxx

Vérifiez le principal et l’ExternalId dans votre politique de confiance

Assurez-vous d’avoir suivi cette section de la documentation, y compris à la fois la reconnaissance du principal d’OpenAI et la configuration d’un sts:ExternalId

Si vous avez déjà indiqué un sts:ExternalId, assurez-vous qu’il s’agit du même ID d’organisation OpenAI auquel vous appliquez EKM, et non d’une autre organisation, comme une organisation personnelle.

Vérifier l’association de la politique de confiance avec l’ARN du rôle

Vérifiez que votre politique de confiance a bien été enregistrée dans l’ARN du rôle que vous avez fourni

Vérifiez aussi que vous avez fourni le bon ARN de rôle. Si votre ARN contient une faute de frappe et n’existe pas, nous obtiendrons la même erreur que si le rôle existe, mais refuse les autorisations.

AWS IAM role details with Trust relationships tab open and the role ARN highlighted

Non autorisé à effectuer : kms:Encrypt sur la ressource

L’utilisateur xxxxx n’est pas autorisé à effectuer : kms:Encrypt sur la ressource

Assurez-vous que votre politique IAM accorde kms:Encrypt et kms:Decrypt au rôle d’OpenAI.

Si vous avez également ajouté une politique de clé, assurez-vous qu’elle accorde aussi kms:Encrypt et kms:Decrypt au rôle d’OpenAI.

GCP

Impossible d’obtenir le token STS GCP pour l’audience

Impossible d’obtenir le token STS GCP pour l’audience //iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx : {'error': 'invalid_request', 'error_description': 'Valeur non valide pour « audience ». Cette valeur doit être le nom de ressource complet du fournisseur d’identité. Consultez https://cloud.google.com/iam/docs/reference/sts/rest/v1/TopLevel/token pour la liste des formats possibles.

GCP attend une audience au format suivant

iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx

Assurez-vous d’avoir fourni les bons paramètres lors de l’enregistrement de votre clé auprès d’OpenAI à l’aide de Clés externes dans l’API de gestion

  • Assurez-vous que workload_identity_project_number correspond au numéro à 12 chiffres de votre projet GCP

  • Assurez-vous que workload_identity_pool_id est correct

  • Assurez-vous que workload_identity_provider_id est correct

L’audience du token d’ID ne correspond pas à l’audience attendue

Impossible d’obtenir le token STS GCP pour l’audience //iam.googleapis.com/projects/xxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxx : {'error': 'invalid_grant', 'error_description': 'L’audience du token d’ID [xxxxx] ne correspond pas à l’audience attendue xxxxxxx.'}

Assurez-vous que le champ audience fourni lorsque vous enregistrez votre configuration auprès d’OpenAI (Clés externes dans l’API de gestion) figure parmi les audiences autorisées de votre fournisseur d’identité de charge de travail. Nous vous recommandons d’utiliser l’ID de votre organisation OpenAI.

Azure

Il manque un principal de service à l’application cliente

Il manque un principal de service à l’application cliente xxxxx dans le locataire xxxxx. Consultez les instructions ici : https://go.microsoft.com/fwlink/?linkid=2225119

Assurez-vous d’avoir suivi correctement les étapes de création du principal de service décrites dans les instructions d’intégration OpenAI / Azure EKM.

L’appelant n’est pas autorisé à effectuer l’action sur la ressource

L’appelant n’est pas autorisé à effectuer l’action sur la ressource. Si des attributions de rôles, des attributions de refus ou des définitions de rôles ont été modifiées récemment, veuillez tenir compte du délai de propagation.

Cette même erreur peut s’afficher pour plusieurs raisons

  • Vous avez fourni un mauvais nom de clé ou URI de coffre, ou une valeur qui n’existe pas

  • Vous n’avez pas créé un rôle avec ces actions de données ET attribué ce rôle au principal de service d’OpenAI

    • Microsoft.KeyVault/vaults/keys/encrypt/action

    • Microsoft.KeyVault/vaults/keys/decrypt/action

Le nom de clé ne correspond pas au modèle

« 'key_name' non valide : la chaîne ne correspond pas au modèle. Chaîne attendue correspondant au modèle '^org-[0-9a-zA-Z-]*--[0-9a-zA-Z-]*$'. »

Veuillez faire précéder le nom de votre clé Key Vault de l’ID de votre organisation OpenAI.

Il s’agit de la bonne pratique recommandée par l’équipe de sécurité pour empêcher qu’un autre utilisateur enregistre votre clé Key Vault. Nous vérifions que l’ID de l’organisation correspond lors de l’enregistrement de la clé et à chaque requête vers votre coffre de clés.

Cet article vous a-t-il été utile?