OpenAI
આ પેજનો અનુવાદ મશીન દ્વારા કરવામાં આવ્યો હતો. મૂળ અંગ્રેજી લેખ જુઓ.

EKM ઑનબોર્ડિંગ ટ્રબલશૂટિંગ FAQ

AWS, GCP અને Azure માટે સામાન્ય EKM ઑનબોર્ડિંગ ભૂલો અને તેમનું નિરાકરણ કેવી રીતે કરવું.

અપડેટ કર્યા તારીખ: 2 days ago

AWS

sts:AssumeRole કરવાની અધિકૃતિ નથી.

વપરાશકર્તા: arn:aws:sts::xxxxx:assumed-role/EnterpriseKeyManagement/OpenAI-EKM-Service ને રિસોર્સ: arn:aws:iam::xxxxx:role/xxxxxx પર sts:AssumeRole કરવાની અધિકૃતિ નથી.

તમારી ટ્રસ્ટ પોલિસીમાં principal અને ExternalId ચકાસો.

ખાતરી કરો કે તમે દસ્તાવેજોનો આ વિભાગ અનુસર્યો છે, જેમાં OpenAIના principal ને ઓળખવું અને sts:ExternalId ગોઠવવું એમ બંનેનો સમાવેશ થાય છે.

જો તમે પહેલેથી જ sts:ExternalId મૂક્યું હોય, તો ખાતરી કરો કે તે કોઈ વ્યક્તિગત org જેવી અલગ org નહીં, પરંતુ એ જ OpenAI સંસ્થા ID છે જેના પર તમે EKM લાગુ કરી રહ્યા છો.

રોલ ARN સાથે ટ્રસ્ટ પોલિસીનું જોડાણ ચકાસો.

તમે આપેલા રોલ ARNમાં તમારી ટ્રસ્ટ પોલિસી યોગ્ય રીતે સાચવાઈ છે તેની ચકાસણી કરો.

તમે સાચો રોલ ARN આપ્યો છે તેની પણ ચકાસણી કરો. જો તમારા ARNમાં જોડણીની ભૂલ હોય અને તે અસ્તિત્વમાં ન હોય, તો રોલ અસ્તિત્વમાં હોય પણ પરવાનગીઓ નકારતો હોય ત્યારે જેવી ભૂલ મળે છે તેવી જ ભૂલ મળશે.

AWS IAM role details with Trust relationships tab open and the role ARN highlighted

રિસોર્સ પર kms:Encrypt કરવાની અધિકૃતિ નથી.

વપરાશકર્તા: xxxxx ને રિસોર્સ પર kms:Encrypt કરવાની અધિકૃતિ નથી.

ખાતરી કરો કે તમારી IAM પોલિસી OpenAIના રોલને kms:Encrypt અને kms:Decrypt આપે છે.

જો તમે key policy પણ ઉમેરી હોય, તો ખાતરી કરો કે તે પણ OpenAIના રોલને kms:Encrypt અને kms:Decrypt આપે છે.

GCP

audience માટે GCP STS ટોકન મેળવવામાં નિષ્ફળ.

audience //iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx માટે GCP STS ટોકન મેળવવામાં નિષ્ફળ: {'error': 'invalid_request', 'error_description': '\"audience\" માટે અમાન્ય મૂલ્ય. આ મૂલ્ય Identity Providerનું સંપૂર્ણ રિસોર્સ નામ હોવું જોઈએ. સંભવિત ફોર્મેટની સૂચિ માટે https://cloud.google.com/iam/docs/reference/sts/rest/v1/TopLevel/token જુઓ.

GCP આ ફોર્મેટની audience અપેક્ષે છે

iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx

OpenAI સાથે Management APIમાં External Keys નો ઉપયોગ કરીને તમારી કી રજિસ્ટર કરતી વખતે તમે સાચા પેરામીટરો આપ્યા છે તેની ખાતરી કરો.

  • ખાતરી કરો કે workload_identity_project_number તમારો 12-અંકનો GCP પ્રોજેક્ટ નંબર છે.

  • ખાતરી કરો કે workload_identity_pool_id સાચું છે.

  • ખાતરી કરો કે workload_identity_provider_id સાચું છે.

ID ટોકનમાં રહેલી audience અપેક્ષિત audience સાથે મેળ ખાતી નથી.

audience //iam.googleapis.com/projects/xxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxx માટે GCP STS ટોકન મેળવવામાં નિષ્ફળ: {'error': 'invalid_grant', 'error_description': 'ID ટોકનમાં રહેલી audience [xxxxx] અપેક્ષિત audience xxxxxxx સાથે મેળ ખાતી નથી.'}

ખાતરી કરો કે જ્યારે તમે OpenAI સાથે તમારું config રજિસ્ટર કરો છો (Management APIમાં External Keys), ત્યારે તમે આપેલું audience ફીલ્ડ તમારા workload identity provider માટેની Allowed Audiencesમાંથી એકમાં હોય. અમે તમારું OpenAI સંસ્થા ID વાપરવાની ભલામણ કરીએ છીએ.

Azure

ક્લાયન્ટ ઍપ્લિકેશનમાં સર્વિસ પ્રિન્સિપલ નથી.

ક્લાયન્ટ ઍપ્લિકેશન xxxxxમાં tenant xxxxxમાં સર્વિસ પ્રિન્સિપલ નથી. અહીં સૂચનાઓ જુઓ: https://go.microsoft.com/fwlink/?linkid=2225119

ખાતરી કરો કે તમે OpenAI / Azure EKM Integration Instructions.માં દર્શાવ્યા મુજબ સર્વિસ પ્રિન્સિપલ બનાવવાની પ્રક્રિયા ચોક્કસપણે અનુસરી છે.

કૉલરને રિસોર્સ પર ક્રિયા કરવાની અધિકૃતિ નથી.

કૉલરને રિસોર્સ પર ક્રિયા કરવાની અધિકૃતિ નથી. જો role assignments, deny assignments અથવા role definitions તાજેતરમાં બદલાયા હોય, તો કૃપા કરીને propagation માટેનો સમય આપો.

આ જ ભૂલ ઘણા કારણોસર દેખાઈ શકે છે.

  • તમે ખોટું કી નામ અથવા vault URI આપ્યું છે, અથવા એવું નામ આપ્યું છે જે અસ્તિત્વમાં નથી.

  • તમે આ ડેટા ક્રિયાઓ સાથે રોલ બનાવ્યો નથી અને તે રોલ OpenAIના સર્વિસ પ્રિન્સિપલને સોંપ્યો નથી.

    • Microsoft.KeyVault/vaults/keys/encrypt/action

    • Microsoft.KeyVault/vaults/keys/decrypt/action

કી નામ pattern સાથે મેળ ખાતું નથી.

"અમાન્ય 'key_name': string pattern સાથે મેળ ખાતી નથી. '^org-[0-9a-zA-Z-]*--[0-9a-zA-Z-]*$' pattern સાથે મેળ ખાતી string અપેક્ષિત છે."

તમારા Key Vault કી નામની શરૂઆતમાં તમારું OpenAI સંસ્થા ID ઉમેરો.

તમારી key vault કી કોઈ બીજા વપરાશકર્તા દ્વારા રજિસ્ટર ન થાય તે માટે સુરક્ષા દ્વારા ભલામણ કરાયેલ આ શ્રેષ્ઠ રીત છે. કી રજિસ્ટ્રેશન વખતે અને તમારા key vault માટેની દરેક વિનંતી પર અમે org id મેળ ખાતું છે કે નહીં તે ચકાસીએ છીએ.

શું આ લેખ મદદરૂપ હતો?