OpenAI
Ova je stranica strojno prevedena. Pogledajte izvorni članak na engleskom jeziku.

ČPP za otklanjanje poteškoća pri EKM onboardingu

Česte pogreške pri EKM onboardingu i kako ih riješiti za AWS, GCP i Azure

Ažurirano: 5 days ago

AWS

Nema ovlaštenje za izvršavanje: sts:AssumeRole

Korisnik: arn:aws:sts::xxxxx:assumed-role/EnterpriseKeyManagement/OpenAI-EKM-Service nema ovlaštenje za izvršavanje: sts:AssumeRole na resursu: arn:aws:iam::xxxxx:role/xxxxxx

Provjerite principal i ExternalId u svojoj politici povjerenja

Provjerite jeste li slijedili ovaj odjeljak dokumentacije, uključujući OBOJE: prepoznavanje OpenAI-jevog principala i konfiguriranje sts:ExternalId

Ako ste već unijeli sts:ExternalId, provjerite da je to isti ID OpenAI organizacije na koji primjenjujete EKM, a ne druga organizacija poput osobne.

Provjerite povezanost politike povjerenja s ARN-om uloge

Provjerite je li vaša politika povjerenja ispravno spremljena uz ARN uloge koji ste naveli

Također provjerite jeste li naveli ispravan ARN uloge. Ako je vaš ARN pogrešno napisan i ne postoji, dobit ćemo istu pogrešku kao i kada uloga postoji, ali uskraćuje dozvole.

AWS IAM role details with Trust relationships tab open and the role ARN highlighted

Nema ovlaštenje za izvršavanje: kms:Encrypt na resursu

Korisnik: xxxxx nema ovlaštenje za izvršavanje: kms:Encrypt na resursu

Provjerite da vaša IAM politika dodjeljuje kms:Encrypt i kms:Decrypt OpenAI-jevoj ulozi. 

Ako ste dodali i politiku ključa, provjerite da i ona dodjeljuje kms:Encrypt i kms:Decrypt OpenAI-jevoj ulozi.

GCP

Neuspjelo dohvaćanje GCP STS tokena za audience

Neuspjelo dohvaćanje GCP STS tokena za audience //iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx: {'error': 'invalid_request', 'error_description': 'Nevažeća vrijednost za \\"audience\\". Ova vrijednost treba biti puni naziv resursa pružatelja identiteta. Popis mogućih formata potražite na https://cloud.google.com/iam/docs/reference/sts/rest/v1/TopLevel/token.

GCP očekuje audience u formatu 

iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx

Provjerite jeste li naveli ispravne parametre pri registraciji ključa u OpenAI-ju pomoću External Keys in the Management API

  • Provjerite da je workload_identity_project_number vaš 12-znamenkasti broj GCP projekta

  • Provjerite da je workload_identity_pool_id točan

  • Provjerite da je workload_identity_provider_id točan

Audience u ID tokenu ne podudara se s očekivanim audienceom

Neuspjelo dohvaćanje GCP STS tokena za audience //iam.googleapis.com/projects/xxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxx: {'error': 'invalid_grant', 'error_description': 'Audience u ID tokenu [xxxxx] ne podudara se s očekivanim audienceom xxxxxxx.'}

Provjerite da je polje audience koje navedete kada registrirate svoju konfiguraciju u OpenAI-ju (External Keys in the Management API ) jedno od dopuštenih audience polja za vašeg pružatelja identiteta radnog opterećenja. Preporučujemo upotrebu ID-a vaše OpenAI organizacije.

Azure

Aplikaciji klijenta nedostaje servisni principal

Aplikaciji klijenta xxxxx nedostaje servisni principal u klijentu xxxxx. Pogledajte upute ovdje: https://go.microsoft.com/fwlink/?linkid=2225119

Provjerite jeste li točno slijedili postupak izrade servisnog principala kako je navedeno u Uputama za integraciju OpenAI / Azure EKM.

Pozivatelj nema ovlaštenje za izvođenje radnje na resursu

Pozivatelj nema ovlaštenje za izvođenje radnje na resursu. Ako su dodjele uloga, dodjele zabrana ili definicije uloga nedavno promijenjene, pričekajte vrijeme propagacije.

Ista se pogreška može pojaviti iz nekoliko razloga

  • Naveli ste pogrešan naziv ključa ili URI trezora ili onaj koji ne postoji

  • Niste izradili ulogu s ovim podatkovnim radnjama I dodijelili tu ulogu OpenAI-jevom servisnom principalu

    • Microsoft.KeyVault/vaults/keys/encrypt/action

    • Microsoft.KeyVault/vaults/keys/decrypt/action

Naziv ključa ne odgovara uzorku

"Nevažeći 'key_name': niz ne odgovara uzorku. Očekivan je niz koji odgovara uzorku '^org-[0-9a-zA-Z-]*--[0-9a-zA-Z-]*$'."

Molimo, dodajte prefiks ID-a svoje OpenAI organizacije nazivu ključa u Key Vaultu.

To je najbolja praksa koju preporučuje sigurnosni tim kako bi se spriječilo da vaš ključ trezora ključeva registrira drugi korisnik. Provjeravamo podudara li se ID organizacije pri registraciji ključa i pri svakom zahtjevu prema vašem trezoru ključeva.

Je li vam ovaj članak bio koristan?