OpenAI

FAQ sulla risoluzione dei problemi relativi all'onboarding di EKM

Errori comuni nell'onboarding di EKM e come risolverli per AWS, GCP e Azure

Aggiornato: 13 days ago

AWS

Non autorizzato a eseguire: sts:AssumeRole

Utente: arn:aws:sts::xxxxx:assumed-role/EnterpriseKeyManagement/OpenAI-EKM-Service non è autorizzato a eseguire sts:AssumeRole sulla risorsa arn:aws:iam::xxxxx:role/xxxxxx

Verifica il principal e l'ID esterno nella policy di attendibilità

Assicurati di aver seguito questa sezione della documentazione, incluso sia il riconoscimento del principal di OpenAI sia la configurazione di un sts:ExternalId

Se hai già inserito un sts:ExternalId, assicurati che sia lo stesso ID organizzazione OpenAI a cui stai applicando EKM, e non quello di un'altra organizzazione, ad esempio un'organizzazione personale.

Verifica l'associazione della policy di attendibilità con l'ARN del ruolo

Verifica che la policy di attendibilità sia stata salvata correttamente nell'ARN del ruolo fornito

Verifica anche di aver fornito il l'ARN del ruolo corretto. Se il tuo ARN è scritto in modo errato e non esiste, otterremo lo stesso errore che si verifica se il ruolo esiste ma nega le autorizzazioni.

AWS IAM role details with Trust relationships tab open and the role ARN highlighted

Non autorizzato a eseguire: kms:Encrypt sulla risorsa

Utente: xxxxx non è autorizzato a eseguire: kms:Encrypt sulla risorsa

Assicurati che la tua policy IAM conceda kms:Encrypt e kms:Decrypt al ruolo di OpenAI. 

Se hai aggiunto anche una policy della chiave, assicurati che conceda kms:Encrypt e kms:Decrypt al ruolo di OpenAI.

GCP

Impossibile acquisire il token GCP STS per il pubblico

Impossibile acquisire il token STS di GCP per il pubblico //iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx: {'error': 'invalid_request', 'error_description': 'Valore non valido per \"audience\". Questo valore deve essere il nome completo della risorsa del provider di identità. Consulta https://cloud.google.com/iam/docs/reference/sts/rest/v1/TopLevel/token per l'elenco dei formati possibili.

GCP si aspetta un pubblico con il formato 

iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx

Assicurati di aver fornito i parametri corretti durante la registrazione della tua chiave con OpenAI utilizzando Chiavi esterne nell'API di gestione

  • Assicurati che il workload_identity_project_number sia il numero di progetto GCP di 12 cifre

  • Assicurati che workload_identity_pool_id sia corretto

  • Assicurati che workload_identity_provider_id sia corretto

Il pubblico nel token ID non corrisponde al pubblico previsto

Impossibile acquisire il token STS GCP per il pubblico //iam.googleapis.com/projects/xxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxx: {'error': 'invalid_grant', 'error_description': 'Il pubblico nel Token ID [xxxxx] non corrisponde al pubblico previsto xxxxxxx.'}

Assicurati che il campo pubblico che fornisci quando registri la tua configurazione con OpenAI (Chiavi esterne nell'API di gestione ) sia incluso in uno dei Destinatari consentiti per il tuo provider di identità del carico di lavoro. Consigliamo di utilizzare il tuo ID organizzazione OpenAI.

Azure

L'applicazione client non dispone di un principal del servizio

L'applicazione client xxxxx non dispone di un principal del servizio nel tenant xxxxx. Consulta le istruzioni qui: https://go.microsoft.com/fwlink/?linkid=2225119

Assicurati di aver seguito correttamente la procedura di creazione del principal del servizio come indicato nelle Istruzioni per l'integrazione OpenAI / Azure EKM.

Il chiamante non è autorizzato a eseguire l'azione sulla risorsa

Il chiamante non è autorizzato a eseguire l'azione sulla risorsa. Se le assegnazioni di ruolo, le assegnazioni di negazione o le definizioni di ruolo sono state modificate di recente, tenere conto del tempo di propagazione.

Questo stesso errore può comparire per diversi motivi

  • Hai fornito un nome della chiave o un URI del vault errato, oppure uno che non esiste

  • Non hai creato un ruolo con queste azioni sui dati e assegnato tale ruolo al principal del servizio di OpenAI

    • Microsoft.KeyVault/vaults/keys/encrypt/action

    • Microsoft.KeyVault/vaults/keys/decrypt/action

Il nome della chiave non corrisponde al pattern

"key_name non valido: la stringa non corrisponde al pattern. Era prevista una stringa corrispondente al pattern ^org-[0-9a-zA-Z-]*--[0-9a-zA-Z-]*$."

Anteponi al nome della chiave di Key Vault il tuo ID organizzazione OpenAI.

Questa è la procedura consigliata dal team della sicurezza per impedire che la chiave di Key Vault venga registrata da un altro utente. Verifichiamo che l'ID organizzazione corrisponda durante la registrazione della chiave e a ogni richiesta al tuo Key Vault.

Questo articolo è stato utile?