OpenAI
Cette page a été traduite automatiquement. Afficher l’article original en anglais.

FAQ de dépannage de l’intégration EKM

Erreurs courantes d’intégration EKM et comment les résoudre pour AWS, GCP et Azure

Mise à jour : 13 days ago

AWS

Non autorisé à effectuer : sts:AssumeRole

L’utilisateur : arn:aws:sts::xxxxx:assumed-role/EnterpriseKeyManagement/OpenAI-EKM-Service n’est pas autorisé à effectuer : sts:AssumeRole sur la ressource : arn:aws:iam::xxxxx:role/xxxxxx

Vérifiez le principal et l’ExternalId dans votre politique d’approbation

Assurez-vous d’avoir suivi cette section de la documentation, y compris les DEUX étapes : reconnaître le principal d’OpenAI et configurer un sts:ExternalId

Si vous avez déjà indiqué un sts:ExternalId, assurez-vous qu’il s’agit du même ID d’organisation OpenAI auquel vous appliquez EKM, et non d’une autre organisation, comme une organisation personnelle.

Vérifiez l’association de la politique d’approbation avec l’ARN du rôle

Vérifiez que votre politique d’approbation a bien été enregistrée pour l’ARN du rôle que vous avez fourni

Vérifiez également que vous avez fourni le bon ARN du rôle. Si votre ARN contient une faute et n’existe pas, nous obtiendrons la même erreur que si le rôle existe, mais refuse les autorisations.

AWS IAM role details with Trust relationships tab open and the role ARN highlighted

Non autorisé à effectuer : kms:Encrypt sur la ressource

L’utilisateur : xxxxx n’est pas autorisé à effectuer : kms:Encrypt sur la ressource

Assurez-vous que votre politique IAM accorde kms:Encrypt et kms:Decrypt au rôle d’OpenAI. 

Si vous avez aussi ajouté une politique de clé, assurez-vous qu’elle accorde également kms:Encrypt et kms:Decrypt au rôle d’OpenAI.

GCP

Échec de l’acquisition du token STS GCP pour l’audience

Échec de l’acquisition du token STS GCP pour l’audience //iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx: {'error': 'invalid_request', 'error_description': 'Valeur non valide pour quot;audiencequot;. Cette valeur doit être le nom complet de la ressource du fournisseur d’identité. Consultez https://cloud.google.com/iam/docs/reference/sts/rest/v1/TopLevel/token pour la liste des formats possibles.

GCP attend une audience au format suivant 

iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx

Assurez-vous d’avoir fourni les bons paramètres lorsque vous avez enregistré votre clé auprès d’OpenAI à l’aide de Clés externes dans l’API de gestion

  • Assurez-vous que workload_identity_project_number correspond à votre numéro de projet GCP à 12 chiffres

  • Assurez-vous que workload_identity_pool_id est correct

  • Assurez-vous que workload_identity_provider_id est correct

L’audience dans le ID token ne correspond pas à l’audience attendue

Échec de l’acquisition du token STS GCP pour l’audience //iam.googleapis.com/projects/xxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxx: {'error': 'invalid_grant', 'error_description': 'L’audience dans le ID Token [xxxxx] ne correspond pas à l’audience attendue xxxxxxx.'}

Assurez-vous que le champ audience que vous fournissez lorsque vous enregistrez votre configuration auprès d’OpenAI (Clés externes dans l’API de gestion ) figure parmi les audiences autorisées de votre fournisseur d’identité de charge de travail. Nous recommandons d’utiliser votre ID d’organisation OpenAI.

Azure

L’application cliente n’a pas de principal de service

L’application cliente xxxxx n’a pas de principal de service dans le locataire xxxxx. Consultez les instructions ici : https://go.microsoft.com/fwlink/?linkid=2225119

Assurez-vous d’avoir suivi avec exactitude la création du principal de service comme indiqué dans les instructions d’intégration EKM OpenAI / Azure.

L’appelant n’est pas autorisé à effectuer l’action sur la ressource

L’appelant n’est pas autorisé à effectuer l’action sur la ressource. Si des attributions de rôles, des attributions de refus ou des définitions de rôles ont été modifiées récemment, veuillez prévoir le délai de propagation.

Cette même erreur peut survenir pour plusieurs raisons

  • Vous avez fourni un nom de clé ou une URI de coffre erroné, ou qui n’existe pas

  • Vous n’avez pas créé de rôle avec ces actions de données ET attribué ce rôle au principal de service d’OpenAI

    • Microsoft.KeyVault/vaults/keys/encrypt/action

    • Microsoft.KeyVault/vaults/keys/decrypt/action

Le nom de la clé ne correspond pas au motif

"« key_name » non valide : la chaîne ne correspond pas au motif. Une chaîne correspondant au motif '^org-[0-9a-zA-Z-]*--[0-9a-zA-Z-]*$' est attendue."

Veuillez ajouter votre ID d’organisation OpenAI comme préfixe au nom de votre clé Key Vault.

Il s’agit de la meilleure pratique recommandée par l’équipe de sécurité pour éviter que votre clé Key Vault soit enregistrée par un autre utilisateur. Nous vérifions que l’ID d’organisation correspond lors de l’enregistrement de la clé et à chaque requête adressée à votre coffre de clés.

Cet article vous a-t-il été utile?