OpenAI

Pertanyaan Umum Pemecahan Masalah Onboarding EKM

Kesalahan umum dalam proses onboarding EKM dan cara mengatasinya untuk AWS, GCP, dan Azure

Diperbarui: 13 days ago

AWS

Tidak diizinkan untuk melakukan: sts:AssumeRole

Pengguna: arn:aws:sts::xxxxx:assumed-role/EnterpriseKeyManagement/OpenAI-EKM-Service tidak diizinkan untuk melakukan: sts:AssumeRole pada sumber daya: arn:aws:iam::xxxxx:role/xxxxxx

Verifikasi principal dan ExternalId dalam trust policy Anda

Pastikan Anda telah mengikuti bagian dokumen ini, termasuk KEDUA hal berikut: mengenali principal OpenAI dan mengonfigurasi sts:ExternalId

Jika Anda sudah memasukkan sts:ExternalId, pastikan bahwa itu adalah ID organisasi OpenAI yang sama yang Anda gunakan untuk menerapkan EKM, bukan organisasi lain seperti organisasi pribadi.

Verifikasi asosiasi trust policy dengan role ARN

Verifikasi bahwa trust policy Anda telah disimpan dengan benar ke role ARN yang telah Anda berikan

Pastikan juga bahwa Anda telah memberikan role ARN yang benar. Jika ARN Anda salah eja dan tidak ada, kami akan mendapatkan kesalahan yang sama seperti jika role tersebut ada tetapi menolak izin.

AWS IAM role details with Trust relationships tab open and the role ARN highlighted

Tidak diizinkan untuk melakukan: kms:Encrypt pada sumber daya

Pengguna: xxxxx tidak memiliki izin untuk melakukan tindakan: kms:Encrypt pada sumber daya

Pastikan bahwa kebijakan IAM Anda memberikan kms:Encrypt dan kms:Decrypt kepada role OpenAI. 

Jika Anda juga telah menambahkan kebijakan utama, pastikan kebijakan tersebut juga memberikan kms:Encrypt dan kms:Decrypt kepada role OpenAI.

GCP

Gagal memperoleh token GCP STS untuk audiens

Gagal memperoleh token GCP STS untuk audiens //iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx: {'error': 'invalid_request', 'error_description': 'Nilai tidak valid untuk \"audience\". Nilai ini harus berupa nama sumber daya lengkap dari Penyedia Identitas. Lihat https://cloud.google.com/iam/docs/reference/sts/rest/v1/TopLevel/token untuk daftar format yang memungkinkan.

GCP mengharapkan audiens dengan format 

iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx

Pastikan Anda telah memberikan parameter yang benar saat mendaftarkan kunci Anda ke OpenAI menggunakan Kunci Eksternal di API Manajemen

  • Pastikan workload_identity_project_number adalah nomor proyek GCP Anda yang terdiri dari 12 digit

  • Pastikan workload_identity_pool_id sudah benar

  • Pastikan workload_identity_provider_id sudah benar

Audiens pada token ID tidak sesuai dengan audiens yang diharapkan

Gagal memperoleh token GCP STS untuk audiens //iam.googleapis.com/projects/xxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxx: {'error': 'invalid_grant', 'error_description': 'Audiens dalam Token ID [xxxxx] tidak sesuai dengan audiens yang diharapkan xxxxxxx.'}

Pastikan kolom audiens yang Anda berikan saat mendaftarkan konfigurasi Anda ke OpenAI (Kunci Eksternal di API Manajemen ) termasuk dalam salah satu audiens yang diizinkan untuk penyedia identitas beban kerja Anda. Kami menyarankan untuk menggunakan ID organisasi OpenAI Anda.

Azure

Aplikasi klien tidak memiliki service principal

Aplikasi klien xxxxx tidak memiliki service principal pada tenant xxxxx. Lihat petunjuk di sini: https://go.microsoft.com/fwlink/?linkid=2225119

Pastikan Anda telah mengikuti proses pembuatan service principal dengan akurat seperti yang diuraikan dalam Petunjuk Integrasi OpenAI / Azure EKM.

Pemanggil tidak diizinkan untuk melakukan tindakan pada sumber daya

Pemanggil tidak diizinkan untuk melakukan tindakan pada sumber daya. Jika penetapan peran (role), penolakan akses, atau definisi role baru saja diubah, harap perhatikan waktu propagasi.

Kesalahan ini dapat muncul karena beberapa alasan

  • Anda memberikan nama kunci atau uri vault yang salah, atau yang tidak ada

  • Anda tidak membuat role dengan tindakan data ini DAN menetapkan role tersebut kepada service principal OpenAI

    • Microsoft.KeyVault/vaults/keys/encrypt/action

    • Microsoft.KeyVault/vaults/keys/decrypt/action

Nama kunci tidak sesuai dengan pola

"'key_name' tidak valid: string tidak sesuai dengan pola. Diharapkan string yang sesuai dengan pola '^org-[0-9a-zA-Z-]*--[0-9a-zA-Z-]*$'.

Harap tambahkan awalan berupa ID Organisasi OpenAI Anda pada nama kunci Key Vault Anda.

Ini adalah praktik terbaik yang direkomendasikan oleh tim keamanan untuk mencegah kunci key vault Anda didaftarkan oleh pengguna lain. Kami memvalidasi kesesuaian ID organisasi pada saat pendaftaran kunci dan setiap permintaan ke key vault Anda.

Apakah artikel ini membantu?