OpenAI

EKM 온보딩 문제 해결 FAQ

AWS, GCP, Azure에서 발생하는 일반적인 EKM 온보딩 오류와 해결 방법

마지막 수정: 11 hours ago

AWS

수행할 권한 없음: sts:AssumeRole

사용자 arn:aws:sts::xxxxx:assumed-role/EnterpriseKeyManagement/OpenAI-EKM-Service에게는 리소스 arn:aws:iam::xxxxx:role/xxxxxx에 대해 sts:AssumeRole 작업을 수행할 권한이 없습니다.

신뢰 정책의 principal과 ExternalId를 확인하세요.

문서의 이 섹션을 따라 진행했는지 확인하세요. 여기에는 OpenAI의 principal 인식과 sts:ExternalId 구성이 모두 포함됩니다.

이미 sts:ExternalId를 입력했다면 해당 값이 EKM을 적용할 OpenAI 조직 ID와 동일한지 확인하세요. 개인 조직 등 다른 조직의 ID를 입력하면 안 됩니다.

Role ARN과 신뢰 정책의 연관성을 확인하세요.

제공한 Role ARN에 신뢰 정책이 올바르게 저장되었는지 확인하세요.

또한 올바른 Role ARN을 입력했는지 확인하세요. ARN에 오타가 있어 존재하지 않는 경우, 역할이 존재하지만 권한을 거부하는 경우와 동일한 오류가 발생합니다.

AWS IAM role details with Trust relationships tab open and the role ARN highlighted

리소스에서 kms:Encrypt 작업을 수행할 권한이 없습니다.

사용자: xxxxx은(는) 리소스에서 kms:Encrypt를 수행할 권한이 없습니다.

IAM 정책이 OpenAI 역할에 kms:Encrypt kms:Decrypt 권한을 부여했는지 확인하세요. 

키 정책도 추가한 경우, 해당 정책에서도 OpenAI의 역할에 kms:Encrypt kms:Decrypt 권한을 부여하는지 확인하세요.

GCP

대상에 대한 GCP STS 토큰을 가져오지 못했습니다.

대상 //iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx에 대한 GCP STS 토큰을 가져오지 못했습니다. {'error': 'invalid_request', 'error_description': 'Invalid value for \"audience\". 이 값은 ID 공급자의 전체 리소스 이름이어야 합니다. 가능한 형식 목록은 https://cloud.google.com/iam/docs/reference/sts/rest/v1/TopLevel/token 을 참조하세요.

GCP는 다음 형식의 대상 값을 예상합니다. 

iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx

Management API의 외부 키를 사용해 OpenAI에 키를 등록할 때 올바른 매개변수를 제공했는지 확인하세요. 

  • workload_identity_project_number가 12자리 GCP 프로젝트 번호인지 확인하세요.

  • workload_identity_pool_id가 올바른지 확인하세요.

  • workload_identity_provider_id가 올바른지 확인하세요.

ID 토큰의 대상이 예상 대상과 일치하지 않습니다.

대상 //iam.googleapis.com/projects/xxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxx에 대한 GCP STS 토큰을 가져오지 못했습니다. {'error': 'invalid_grant', 'error_description': 'The audience in ID Token [xxxxx] does not match the expected audience xxxxxxx.'}

OpenAI에 구성을 등록할 때 제공하는 audience 필드(Management API의 외부 키)가 워크로드 ID 공급자의 허용된 대상 중 하나에 포함되어 있는지 확인하세요. OpenAI 조직 ID를 사용하는 것을 권장합니다.

Azure

클라이언트 애플리케이션에 서비스 주체가 없습니다.

클라이언트 애플리케이션 xxxxx에 테넌트 xxxxx의 서비스 주체가 없습니다. 안내 사항은 여기(https://go.microsoft.com/fwlink/?linkid=2225119)에서 참조하세요.

OpenAI/Azure EKM 통합 안내에 제시된 서비스 주체 생성 절차를 정확히 따랐는지 확인하세요.

호출자는 리소스에 대해 작업을 수행할 권한이 없습니다.

호출자는 리소스에서 작업을 수행할 권한이 없습니다. 역할 할당, 거부 할당 또는 역할 정의가 최근에 변경된 경우 전파 시간을 고려하세요.

이와 같은 오류는 여러 가지 이유로 발생할 수 있습니다.

  • 잘못된 키 이름 또는 vault URI를 제공했거나, 존재하지 않는 값을 제공했습니다.

  • 이러한 데이터 작업이 포함된 역할을 생성하지 않았거나, 해당 역할을 OpenAI의 서비스 주체에 할당하지 않았습니다.

    • Microsoft.KeyVault/vaults/keys/encrypt/action

    • Microsoft.KeyVault/vaults/keys/decrypt/action

키 이름이 패턴과 일치하지 않습니다.

"잘못된 'key_name': 문자열이 패턴과 일치하지 않습니다. 패턴 '^org-[0-9a-zA-Z-]*--[0-9a-zA-Z-]*$'과 일치하는 문자열이어야 합니다."

키 보관소 키 이름 앞에 OpenAI 조직 ID를 접두사로 추가하세요.

이는 키 보관소 키가 다른 사용자에 의해 등록되는 것을 방지하기 위해 보안 팀에서 권장하는 모범 사례입니다. 키 등록 시점과 키 보관소에 대한 모든 요청에서 조직 ID가 일치하는지 확인합니다.

이 문서가 도움이 되었나요?