OpenAI

EKM ऑनबोर्डिंग ट्रबलशूटिंग के अक्सर पूछे जाने वाले सवाल

AWS, GCP और Azure के लिए सामान्य EKM ऑनबोर्डिंग त्रुटियाँ और उन्हें कैसे हल करें

अपडेट किया गया: 19 hours ago

AWS

यह कार्रवाई करने के लिए अधिकृत नहीं हैं: sts:AssumeRole

यूज़र: arn:aws:sts::xxxxx:assumed-role/EnterpriseKeyManagement/OpenAI-EKM-Service को resource: arn:aws:iam::xxxxx:role/xxxxxx पर sts:AssumeRole करने की अनुमति नहीं है.

अपनी ट्रस्ट पॉलिसी में प्रिंसिपल और एक्सटर्नलआईडी को सत्यापित करें

सुनिश्चित करें कि आपने दस्तावेज़ों के इस सेक्शन का पालन किया है, जिसमें OpenAI के प्रिंसिपल को पहचानना और sts:ExternalId को कॉन्फ़िगर करना—दोनों शामिल हैं.

अगर आपने पहले से ही sts:ExternalId दर्ज किया है, तो सुनिश्चित करें कि वह वही OpenAI संगठन ID हो जिस पर आप EKM लागू कर रहे हैं, कोई अलग संगठन नहीं, जैसे कि आपका व्यक्तिगत संगठन.

रोल ARN के साथ ट्रस्ट पॉलिसी की संबद्धता सत्यापित करें

पक्का करें कि आपकी ट्रस्ट पॉलिसी भूमिका ARN में सही तरीके से सेव हुई है जो आपने दी है.

यह भी पक्का करें कि आपने सही भूमिका ARN दिया है. अगर आपका ARN गलत लिखा गया है और मौजूद नहीं है, तो हमें वही त्रुटि मिलेगी जो तब मिलती है जब रोल मौजूद हो लेकिन अनुमतियाँ न देता हो.

AWS IAM role details with Trust relationships tab open and the role ARN highlighted

संसाधन पर kms:Encrypt करने के लिए अधिकृत नहीं है

उपयोगकर्ता: xxxxx को संसाधन पर kms:Encrypt ऑपरेशन करने की अनुमति नहीं है.

यह सुनिश्चित करें कि आपकी IAM नीति OpenAI की भूमिका को kms:Encrypt और kms:Decrypt प्रदान करती है.

अगर आपने कोई कुंजी नीति भी जोड़ी है, तो यह सुनिश्चित करें कि वह OpenAI की भूमिका को kms:Encrypt और kms:Decrypt भी प्रदान करती है.

GCP

दर्शक के लिए GCP STS टोकन प्राप्त नहीं किया जा सका.

ऑडियंस //iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx के लिए GCP STS टोकन प्राप्त करने में विफल: {'error': 'invalid_request', 'error_description': 'audience के लिए अमान्य मान. यह वैल्यू आइडेंटिटी प्रोवाइडर का पूरा रिसोर्स नाम होना चाहिए. https://cloud.google.com/iam/docs/reference/sts/rest/v1/TopLevel/token देखें संभावित फ़ॉर्मैट की सूची के लिए.

GCP इस प्रारूप वाली ऑडियंस की अपेक्षा कर रहा है

iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx

सुनिश्चित करें कि मैनेजमेंट API में बाहरी कुंजियाँ का उपयोग करके OpenAI के साथ अपनी कुंजी को रजिस्टर करते समय आपने सही पैरामीटर प्रदान किए हैं

  • सुनिश्चित करें कि workload_identity_project_number आपका 12-अंकों वाला GCP प्रोजेक्ट नंबर है

  • सुनिश्चित करें कि workload_identity_pool_id सही है

  • पक्का करें कि workload_identity_provider_id सही है

ID टोकन में ऑडियंस अपेक्षित ऑडियंस से मेल नहीं खाती

audience //iam.googleapis.com/projects/xxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxx के लिए GCP STS टोकन प्राप्त करने में विफल रहा: {'error': 'invalid_grant', 'error_description': 'ID टोकन [xxxxx] में ऑडियंस अपेक्षित ऑडियंस xxxxxxx से मेल नहीं खाता है।'}

सुनिश्चित करें कि जब आप अपना कॉन्फ़िग OpenAI के साथ रजिस्टर करते हो, तो जो ऑडियंस फ़ील्ड आप सप्लाई करते हैं (मैनेजमेंट API में बाहरी कुंजियाँ ) वह आपके वर्कलोड आइडेंटिटी प्रोवाइडर की अनुमत ऑडियंस में से एक हो. हम आपके OpenAI संगठन ID का उपयोग करने की सलाह देते हैं.

Azure

क्लाइंट एप्लिकेशन में सर्विस प्रिंसिपल अनुपस्थित है

क्लाइंट एप्लिकेशन xxxxx में टेनेंट xxxxx के लिए सर्विस प्रिंसिपल मौजूद नहीं है. निर्देश यहां देखें: https://go.microsoft.com/fwlink/?linkid=2225119

यह सुनिश्चित करें कि आपने OpenAI / Azure EKM इंटीग्रेशन निर्देशों में बताए गए अनुसार सर्विस प्रिंसिपल बनाते समय निर्देशों का सही तरीके से पालन किया है.

कॉलर संसाधन पर कार्रवाई करने के लिए अधिकृत नहीं है

कॉलर संसाधन पर कार्रवाई करने के लिए अधिकृत नहीं है. यदि रोल असाइनमेंट, डिनाय असाइनमेंट या रोल डेफिनिशन हाल ही में बदले गए हैं, तो कृपया प्रोपेगेशन समय का ध्यान रखें.

यही त्रुटि कई कारणों से दिखाई दे सकती है

  • आपने गलत कुंजी नाम या vault URI दिया है, या ऐसा दिया है जो मौजूद नहीं है.

  • आपने इन डेटा क्रियाओं के साथ कोई भूमिका नहीं बनाई और उस भूमिका को OpenAI के सेवा प्रिंसिपल को असाइन नहीं किया.

    • Microsoft.KeyVault/vaults/keys/encrypt/action

    • Microsoft.KeyVault/vaults/keys/decrypt/action

कुंजी नाम पैटर्न से मेल नहीं खाता है.

"अमान्य 'key_name': स्ट्रिंग पैटर्न से मेल नहीं खाती. ऐसी स्ट्रिंग अपेक्षित थी जो '^org-[0-9a-zA-Z-]*--[0-9a-zA-Z-]*$'. पैटर्न से मेल खाती हो.

कृपया अपने Key Vault कुंजी नाम के आगे अपनी OpenAI संगठन आईडी जोड़ें.

यह आपकी की वॉल्ट कुंजी को किसी भिन्न उपयोगकर्ता द्वारा पंजीकृत होने से रोकने के लिए सुरक्षा द्वारा अनुशंसित सर्वोत्तम प्रथा है. हम कुंजी पंजीकरण के समय और आपके की वॉल्ट के लिए हर अनुरोध पर यह सत्यापित करते हैं कि संगठन ID समान है.

क्या यह लेख मददगार था?