OpenAI

EKM ऑनबोर्डिंग ट्रबलशूटिंग के अक्सर पूछे जाने वाले सवाल

AWS, GCP और Azure के लिए सामान्य EKM ऑनबोर्डिंग त्रुटियाँ और उन्हें कैसे हल करें

अपडेट किया गया: 10 hours ago

AWS

यह कार्रवाई करने के लिए अधिकृत नहीं हैं: sts:AssumeRole

यूज़र: arn:aws:sts::xxxxx:assumed-role/EnterpriseKeyManagement/OpenAI-EKM-Service को resource: arn:aws:iam::xxxxx:role/xxxxxx पर sts:AssumeRole करने की अनुमति नहीं है.

अपनी ट्रस्ट पॉलिसी में प्रिंसिपल और एक्सटर्नलआईडी को सत्यापित करें

यह सुनिश्चित करें कि तुम दस्तावेज़ों के इस सेक्शन का पालन कर चुके हो, जिसमें OpenAI के प्रिंसिपल को पहचानना और sts:ExternalIdको कॉन्फ़िगर करना, इन दोनों शामिल हैं.

अगर आपने पहले से ही sts:ExternalId दर्ज किया है, तो सुनिश्चित करें कि वह वही OpenAI संगठन ID हो जिस पर आप EKM लागू कर रहे हैं, कोई अलग संगठन नहीं, जैसे कि आपका व्यक्तिगत संगठन.

रोल ARN के साथ ट्रस्ट पॉलिसी की संबद्धता सत्यापित करें

सत्यापित करें कि आपकी ट्रस्ट पॉलिसी आपके द्वारा प्रदान किए गए रोल ARN में सही तरीके से सेव की गई है

यह भी सत्यापित करें कि आपने सही role ARN दिया है. अगर आपका ARN गलत लिखा गया है और मौजूद नहीं है, तो हमें वही त्रुटि मिलेगी जो तब मिलती है जब रोल मौजूद हो लेकिन अनुमतियाँ न देता हो.

AWS IAM role details with Trust relationships tab open and the role ARN highlighted

संसाधन पर kms:Encrypt करने के लिए अधिकृत नहीं है

उपयोगकर्ता: xxxxx को संसाधन पर kms:Encrypt ऑपरेशन करने की अनुमति नहीं है.

यह सुनिश्चित करें कि आपकी IAM policy OpenAI की भूमिका को kms:Encrypt और kms:Decrypt प्रदान करती है. 

अगर आपने कोई कुंजी नीति भी जोड़ी है, तो यह सुनिश्चित करें कि वह OpenAI की भूमिका को kms:Encrypt और kms:Decrypt भी प्रदान करती है.

GCP

दर्शक के लिए GCP STS टोकन प्राप्त नहीं किया जा सका.

ऑडियंस //iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx के लिए GCP STS टोकन प्राप्त करने में विफल: {'error': 'invalid_request', 'error_description': 'audience के लिए अमान्य मान. यह वैल्यू आइडेंटिटी प्रोवाइडर का पूरा रिसोर्स नाम होना चाहिए. https://cloud.google.com/iam/docs/reference/sts/rest/v1/TopLevel/token देखें संभावित फ़ॉर्मैट की सूची के लिए.

GCP एक विशेष फ़ॉर्मैट में दर्शकों की अपेक्षा कर रहा है. 

iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx

सुनिश्चित करें कि आप Management API में External Keys का उपयोग करके OpenAI के साथ अपनी की को रजिस्टर करते समय सही पैरामीटर प्रदान करते हैं 

  • सुनिश्चित करें कि workload_identity_project_number आपका 12-अंकों वाला GCP प्रोजेक्ट नंबर है

  • सुनिश्चित करें कि workload_identity_pool_id सही है

  • पक्का करें कि workload_identity_provider_id सही है

ID टोकन में ऑडियंस अपेक्षित ऑडियंस से मेल नहीं खाती

audience //iam.googleapis.com/projects/xxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxx के लिए GCP STS टोकन प्राप्त करने में विफल रहा: {'error': 'invalid_grant', 'error_description': 'ID टोकन [xxxxx] में ऑडियंस अपेक्षित ऑडियंस xxxxxxx से मेल नहीं खाता है।'}

सुनिश्चित करें कि जब आप अपना कॉन्फ़िग OpenAI के साथ रजिस्टर करते हैं, तो जो audience फ़ील्ड आप देते हैं (Management API में External Keys ) वह आपके workload identity provider की Allowed Audiences में से किसी एक में हो. हम आपके OpenAI संगठन आईडी का उपयोग करने की सलाह देते हैं.

Azure

क्लाइंट एप्लिकेशन में सर्विस प्रिंसिपल अनुपस्थित है

क्लाइंट एप्लिकेशन xxxxx में टेनेंट xxxxx के लिए सर्विस प्रिंसिपल मौजूद नहीं है. निर्देश यहां देखें: https://go.microsoft.com/fwlink/?linkid=2225119

यह सुनिश्चित करें कि आपने OpenAI / Azure EKM इंटीग्रेशन निर्देशोंमें बताए गए अनुसार सर्विस प्रिंसिपल बनाते समय निर्देशों का सही तरीके से पालन किया है.

कॉलर संसाधन पर कार्रवाई करने के लिए अधिकृत नहीं है

कॉलर संसाधन पर कार्रवाई करने के लिए अधिकृत नहीं है. यदि रोल असाइनमेंट, डिनाय असाइनमेंट या रोल डेफिनिशन हाल ही में बदले गए हैं, तो कृपया प्रोपेगेशन समय का ध्यान रखें.

यही त्रुटि कई कारणों से दिखाई दे सकती है

  • आपने गलत कुंजी नाम या vault URI दिया है, या ऐसा दिया है जो मौजूद नहीं है.

  • आपने इन डेटा क्रियाओं के साथ कोई भूमिका नहीं बनाई और उस भूमिका को OpenAI के सेवा प्रिंसिपल को असाइन नहीं किया.

    • Microsoft.KeyVault/vaults/keys/encrypt/action

    • Microsoft.KeyVault/vaults/keys/decrypt/action

कुंजी नाम पैटर्न से मेल नहीं खाता है.

"अमान्य 'key_name': स्ट्रिंग पैटर्न से मेल नहीं खाती. ऐसी स्ट्रिंग अपेक्षित थी जो '^org-[0-9a-zA-Z-]*--[0-9a-zA-Z-]*$'. पैटर्न से मेल खाती हो.

कृपया अपने Key Vault कुंजी नाम के आगे अपनी OpenAI संगठन आईडी जोड़ें.

यह आपकी की वॉल्ट कुंजी को किसी भिन्न उपयोगकर्ता द्वारा पंजीकृत होने से रोकने के लिए सुरक्षा द्वारा अनुशंसित सर्वोत्तम प्रथा है. हम कुंजी पंजीकरण के समय और आपके की वॉल्ट के लिए हर अनुरोध पर यह सत्यापित करते हैं कि संगठन ID समान है.

क्या यह लेख मददगार था?