AWS
Non autorisé à effectuer : sts:AssumeRole
L’utilisateur arn:aws:sts::xxxxx:assumed-role/EnterpriseKeyManagement/OpenAI-EKM-Service n’est pas autorisé à effectuer : sts:AssumeRole sur la ressource : arn:aws:iam::xxxxx:role/xxxxxxVérifiez le principal et l’ExternalId dans votre politique de confiance
Assurez-vous d’avoir suivi cette section de la documentation, y compris à la fois la reconnaissance du principal d’OpenAI et la configuration d’un sts:ExternalId
Si vous avez déjà indiqué un sts:ExternalId, assurez-vous qu’il s’agit du même ID d’organisation OpenAI auquel vous appliquez EKM, et non d’une autre organisation, comme une organisation personnelle.
Vérifier l’association de la politique de confiance avec l’ARN du rôle
Vérifiez que votre politique de confiance a bien été enregistrée dans l’ARN du rôle que vous avez fourni
Vérifiez aussi que vous avez fourni le bon ARN de rôle. Si votre ARN contient une faute de frappe et n’existe pas, nous obtiendrons la même erreur que si le rôle existe, mais refuse les autorisations.

Non autorisé à effectuer : kms:Encrypt sur la ressource
L’utilisateur xxxxx n’est pas autorisé à effectuer : kms:Encrypt sur la ressourceAssurez-vous que votre politique IAM accorde kms:Encrypt et kms:Decrypt au rôle d’OpenAI.
Si vous avez également ajouté une politique de clé, assurez-vous qu’elle accorde aussi kms:Encrypt et kms:Decrypt au rôle d’OpenAI.
GCP
Impossible d’obtenir le token STS GCP pour l’audience
Impossible d’obtenir le token STS GCP pour l’audience //iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx : {'error': 'invalid_request', 'error_description': 'Valeur non valide pour « audience ». Cette valeur doit être le nom de ressource complet du fournisseur d’identité. Consultez https://cloud.google.com/iam/docs/reference/sts/rest/v1/TopLevel/token pour la liste des formats possibles.GCP attend une audience au format suivant
iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx
Assurez-vous d’avoir fourni les bons paramètres lors de l’enregistrement de votre clé auprès d’OpenAI à l’aide de Clés externes dans l’API de gestion
Assurez-vous que workload_identity_project_number correspond au numéro à 12 chiffres de votre projet GCP
Assurez-vous que workload_identity_pool_id est correct
Assurez-vous que workload_identity_provider_id est correct
L’audience du token d’ID ne correspond pas à l’audience attendue
Impossible d’obtenir le token STS GCP pour l’audience //iam.googleapis.com/projects/xxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxx : {'error': 'invalid_grant', 'error_description': 'L’audience du token d’ID [xxxxx] ne correspond pas à l’audience attendue xxxxxxx.'}Assurez-vous que le champ audience fourni lorsque vous enregistrez votre configuration auprès d’OpenAI (Clés externes dans l’API de gestion) figure parmi les audiences autorisées de votre fournisseur d’identité de charge de travail. Nous vous recommandons d’utiliser l’ID de votre organisation OpenAI.
Azure
Il manque un principal de service à l’application cliente
Il manque un principal de service à l’application cliente xxxxx dans le locataire xxxxx. Consultez les instructions ici : https://go.microsoft.com/fwlink/?linkid=2225119Assurez-vous d’avoir suivi correctement les étapes de création du principal de service décrites dans les instructions d’intégration OpenAI / Azure EKM.
L’appelant n’est pas autorisé à effectuer l’action sur la ressource
L’appelant n’est pas autorisé à effectuer l’action sur la ressource. Si des attributions de rôles, des attributions de refus ou des définitions de rôles ont été modifiées récemment, veuillez tenir compte du délai de propagation.Cette même erreur peut s’afficher pour plusieurs raisons
Vous avez fourni un mauvais nom de clé ou URI de coffre, ou une valeur qui n’existe pas
Vous n’avez pas créé un rôle avec ces actions de données ET attribué ce rôle au principal de service d’OpenAI
Microsoft.KeyVault/vaults/keys/encrypt/action
Microsoft.KeyVault/vaults/keys/decrypt/action
Le nom de clé ne correspond pas au modèle
« 'key_name' non valide : la chaîne ne correspond pas au modèle. Chaîne attendue correspondant au modèle '^org-[0-9a-zA-Z-]*--[0-9a-zA-Z-]*$'. »Veuillez faire précéder le nom de votre clé Key Vault de l’ID de votre organisation OpenAI.
Il s’agit de la bonne pratique recommandée par l’équipe de sécurité pour empêcher qu’un autre utilisateur enregistre votre clé Key Vault. Nous vérifions que l’ID de l’organisation correspond lors de l’enregistrement de la clé et à chaque requête vers votre coffre de clés.
