OpenAI
Ova je stranica strojno prevedena. Pogledajte izvorni članak na engleskom jeziku.

Česta pitanja za otklanjanje poteškoća pri uključivanju EKM-a

Uobičajene pogreške pri uključivanju EKM-a i kako ih riješiti za AWS, GCP i Azure

Ažurirano: 12 days ago

AWS

Nema ovlaštenja za izvršavanje: sts:AssumeRole

Korisnik: arn:aws:sts::xxxxx:assumed-role/EnterpriseKeyManagement/OpenAI-EKM-Service nije ovlašten za izvršavanje: sts:AssumeRole na resursu: arn:aws:iam::xxxxx:role/xxxxxx

Provjerite principal i ExternalId u svojem pravilu povjerenja

Provjerite jeste li slijedili ovaj odjeljak dokumentacije, uključujući oboje: prepoznavanje principala servisa OpenAI i konfiguriranje sts:ExternalId

Ako ste već unijeli sts:ExternalId, provjerite je li to isti ID OpenAI organizacije na koji primjenjujete EKM, a ne druga organizacija, npr. osobna.

Provjerite povezanost pravila povjerenja s ARN-om uloge

Provjerite je li vaše pravilo povjerenja pravilno spremljeno za ARN uloge koji ste naveli

Također provjerite jeste li naveli ispravan ARN uloge. Ako je vaš ARN pogrešno napisan i ne postoji, dobit ćemo istu pogrešku kao kad uloga postoji, ali uskraćuje dopuštenja.

AWS IAM role details with Trust relationships tab open and the role ARN highlighted

Nema ovlaštenja za izvršavanje: kms:Encrypt na resursu

Korisnik: xxxxx nije ovlašten za izvršavanje: kms:Encrypt na resursu

Provjerite dodjeljuje li vaša IAM politika kms:Encrypt i kms:Decrypt ulozi OpenAI.

Ako ste dodali i politiku ključa, provjerite dodjeljuje li i ona kms:Encrypt i kms:Decrypt ulozi OpenAI.

GCP

Nije uspjelo dohvaćanje GCP STS tokena za audience

Nije uspjelo dohvaćanje GCP STS tokena za audience //iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx: {'error': 'invalid_request', 'error_description': 'Nevažeća vrijednost za \"audience\". Ta bi vrijednost trebala biti puni naziv resursa davatelja identiteta. Pogledajte https://cloud.google.com/iam/docs/reference/sts/rest/v1/TopLevel/token za popis mogućih formata.

GCP očekuje vrijednost audience u formatu

iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx

Provjerite jeste li naveli ispravne parametre pri registraciji ključa u OpenAI-ju putem Vanjski ključevi u Management API-ju

  • Provjerite je li workload_identity_project_number vaš 12-znamenkasti broj GCP projekta

  • Provjerite je li workload_identity_pool_id ispravan

  • Provjerite je li workload_identity_provider_id ispravan

Vrijednost audience u ID tokenu ne odgovara očekivanoj vrijednosti audience

Nije uspjelo dohvaćanje GCP STS tokena za audience //iam.googleapis.com/projects/xxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxx: {'error': 'invalid_grant', 'error_description': 'Vrijednost audience u ID tokenu [xxxxx] ne odgovara očekivanoj vrijednosti audience xxxxxxx.'}

Provjerite nalazi li se polje audience koje navodite pri registraciji konfiguracije u OpenAI-ju (Vanjski ključevi u Management API-ju ) među dopuštenim vrijednostima audience za vašeg davatelja identiteta radnog opterećenja. Preporučujemo upotrebu ID-a vaše OpenAI organizacije.

Azure

Klijentskoj aplikaciji nedostaje principal servisa

Klijentskoj aplikaciji xxxxx nedostaje principal servisa u tenant-u xxxxx. Upute pogledajte ovdje: https://go.microsoft.com/fwlink/?linkid=2225119

Provjerite jeste li točno slijedili upute za stvaranje principala servisa kako je opisano u Uputama za integraciju OpenAI / Azure EKM.

Pozivatelj nije ovlašten za izvršavanje radnje na resursu

Pozivatelj nije ovlašten za izvršavanje radnje na resursu. Ako su dodjele uloga, dodjele uskraćivanja ili definicije uloga nedavno promijenjene, pričekajte da se promjene propagiraju.

Ista se pogreška može pojaviti iz nekoliko razloga

  • Naveli ste pogrešan naziv ključa ili URI vaulta, ili onaj koji ne postoji

  • Niste stvorili ulogu s ovim podatkovnim radnjama I dodijelili tu ulogu principalu servisa OpenAI

    • Microsoft.KeyVault/vaults/keys/encrypt/action

    • Microsoft.KeyVault/vaults/keys/decrypt/action

Naziv ključa ne odgovara uzorku

"Nevažeći 'key_name': niz ne odgovara uzorku. Očekuje se niz koji odgovara uzorku '^org-[0-9a-zA-Z-]*--[0-9a-zA-Z-]*$'."

Dodajte ID svoje OpenAI organizacije kao prefiks nazivu ključa u Key Vaultu.

To je najbolja praksa koju preporučuje sigurnosni tim kako bi se spriječilo da drugi korisnik registrira vaš ključ u Key Vaultu. Provjeravamo podudara li se ID organizacije pri registraciji ključa i pri svakom zahtjevu prema vašem Key Vaultu.

Je li vam ovaj članak bio koristan?