OpenAI
Ez az oldal gépi fordítással készült. Tekintsd meg az eredeti angol nyelvű cikket.

EKM bevezetési hibaelhárítási GYIK

Gyakori EKM bevezetési hibák és megoldásuk AWS, GCP és Azure esetén

Frissítve: 13 days ago

AWS

Nincs jogosultság a következő végrehajtására: sts:AssumeRole

A felhasználó: arn:aws:sts::xxxxx:assumed-role/EnterpriseKeyManagement/OpenAI-EKM-Service nem jogosult a következő végrehajtására: sts:AssumeRole ezen az erőforráson: arn:aws:iam::xxxxx:role/xxxxxx

Ellenőrizze a principalt és az ExternalId-t a megbízhatósági szabályzatban

Győződjön meg róla, hogy követte a dokumentáció ezen szakaszát, beleértve OpenAI principaljának felismerését ÉS egy sts:ExternalId beállítását is

Ha már megadott egy sts:ExternalId-t, győződjön meg róla, hogy ez ugyanaz az OpenAI szervezetazonosító, amelyre az EKM-et alkalmazza, nem pedig egy másik szervezeté, például egy személyes szervezeté.

Ellenőrizze a megbízhatósági szabályzat társítását a szerepkör ARN-jével

Ellenőrizze, hogy a megbízhatósági szabályzat megfelelően el lett-e mentve a megadott szerepkör ARN-jéhez

Ellenőrizze azt is, hogy a helyes szerepkör ARN-t adta-e meg. Ha az ARN el van írva és nem létezik, ugyanazt a hibát kapjuk, mint amikor a szerepkör létezik, de megtagadja a jogosultságokat.

AWS IAM role details with Trust relationships tab open and the role ARN highlighted

Nincs jogosultság a következő végrehajtására: kms:Encrypt ezen az erőforráson

A felhasználó: xxxxx nem jogosult a következő végrehajtására: kms:Encrypt ezen az erőforráson

Győződjön meg róla, hogy az IAM-szabályzata kms:Encrypt és kms:Decrypt jogosultságot ad OpenAI szerepkörének. 

Ha kulcsszabályzatot is hozzáadott, győződjön meg róla, hogy az is ad kms:Encrypt és kms:Decrypt jogosultságot OpenAI szerepkörének.

GCP

Nem sikerült lekérni a GCP STS tokent az audience-höz

Nem sikerült lekérni a GCP STS tokent a következő audience-höz: //iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx: {'error': 'invalid_request', 'error_description': 'Érvénytelen érték a(z) 2audience2 mezőhöz. Ennek az értéknek az Identity Provider teljes erőforrásnevének kell lennie. A lehetséges formátumok listáját lásd itt: https://cloud.google.com/iam/docs/reference/sts/rest/v1/TopLevel/token.

A GCP a következő formátumú audience-et várja: 

iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx

Győződjön meg róla, hogy a helyes paramétereket adta meg, amikor a kulcsát regisztrálta az OpenAI-nál az External Keys in the Management API használatával 

  • Győződjön meg róla, hogy a workload_identity_project_number az Ön 12 számjegyű GCP-projektszáma

  • Győződjön meg róla, hogy a workload_identity_pool_id helyes

  • Győződjön meg róla, hogy a workload_identity_provider_id helyes

Az ID tokenben szereplő audience nem egyezik a várt audience-szel

Nem sikerült lekérni a GCP STS tokent a következő audience-höz: //iam.googleapis.com/projects/xxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxx: {'error': 'invalid_grant', 'error_description': 'Az ID Tokenben szereplő audience [xxxxx] nem egyezik a várt audience értékkel: xxxxxxx.'}

Győződjön meg róla, hogy az a audience mező, amelyet akkor ad meg, amikor a konfigurációját regisztrálja az OpenAI-nál (External Keys in the Management API), szerepel a workload identity provider Allowed Audiences értékei között. Javasoljuk, hogy az OpenAI szervezetazonosítóját használja.

Azure

Az ügyfélalkalmazásból hiányzik a szolgáltatásnév

Az xxxxx ügyfélalkalmazásból hiányzik a szolgáltatásnév az xxxxx bérlőben. Az útmutató itt található: https://go.microsoft.com/fwlink/?linkid=2225119

Győződjön meg róla, hogy pontosan követte a szolgáltatásnév létrehozásának lépéseit, ahogyan az OpenAI / Azure EKM integrációs útmutatóban szerepel.

A hívó nem jogosult művelet végrehajtására ezen az erőforráson

A hívó nem jogosult művelet végrehajtására ezen az erőforráson. Ha a szerepkör-hozzárendeléseket, tiltó hozzárendeléseket vagy szerepkör-definíciókat nemrég módosították, kérjük, vegye figyelembe a propagációs időt.

Ugyanez a hiba több okból is megjelenhet

  • Rossz kulcsnevet vagy vault URI-t adott meg, vagy olyat, amely nem létezik

  • Nem hozott létre szerepkört ezekkel az adatműveletekkel, ÉS nem rendelte hozzá ezt a szerepkört OpenAI szolgáltatásnevéhez

    • Microsoft.KeyVault/vaults/keys/encrypt/action

    • Microsoft.KeyVault/vaults/keys/decrypt/action

A kulcsnév nem felel meg a mintának

„Érvénytelen 'key_name': a karakterlánc nem felel meg a mintának. Olyan karakterlánc várt, amely megfelel a(z) '^org-[0-9a-zA-Z-]*--[0-9a-zA-Z-]*$' mintának.”

Kérjük, írja az OpenAI szervezetazonosítóját a Key Vault-kulcs neve elé előtagként.

Ez a biztonsági csapat által javasolt bevált gyakorlat annak megakadályozására, hogy a kulcstárkulcsát egy másik felhasználó regisztrálja. Ellenőrizzük, hogy az org id egyezik-e a kulcs regisztrálásakor és a kulcstárához intézett minden kérésnél.

Hasznos volt ez a cikk?