OpenAI
Šis puslapis buvo išverstas mašininiu būdu. Peržiūrėti originalų straipsnį anglų kalba.

EKM diegimo trikčių šalinimo DUK

Dažnos EKM diegimo klaidos ir jų sprendimas AWS, GCP ir Azure

Atnaujinta: 8 days ago

AWS

Nėra teisės atlikti: sts:AssumeRole

Naudotojas: arn:aws:sts::xxxxx:assumed-role/EnterpriseKeyManagement/OpenAI-EKM-Service neturi teisės atlikti: sts:AssumeRole su ištekliumi: arn:aws:iam::xxxxx:role/xxxxxx

Patikrinkite pagrindinį subjektą ir ExternalId savo pasitikėjimo politikoje

Įsitikinkite, kad laikėtės šio dokumentacijos skyriaus, įskaitant abu dalykus: OpenAI principal atpažinimą ir sts:ExternalId konfigūravimą

Jei jau įtraukėte sts:ExternalId, įsitikinkite, kad tai yra tas pats OpenAI organizacijos ID, kuriam taikote EKM, o ne kita organizacija, pvz., asmeninė.

Patikrinkite pasitikėjimo politikos susiejimą su vaidmens ARN

Patikrinkite, ar jūsų pasitikėjimo politika tinkamai įrašyta prie jūsų pateikto vaidmens ARN

Taip pat patikrinkite, ar pateikėte teisingą vaidmens ARN. Jei jūsų ARN parašytas neteisingai ir neegzistuoja, gausime tokią pačią klaidą, kaip ir tada, kai vaidmuo egzistuoja, bet nesuteikia teisių.

AWS IAM role details with Trust relationships tab open and the role ARN highlighted

Nėra teisės atlikti: kms:Encrypt su ištekliumi

Naudotojas: xxxxx neturi teisės atlikti: kms:Encrypt su ištekliumi

Įsitikinkite, kad jūsų IAM politika suteikia kms:Encrypt ir kms:Decrypt OpenAI vaidmeniui.

Jei taip pat pridėjote rakto politiką, įsitikinkite, kad ji taip pat suteikia kms:Encrypt ir kms:Decrypt OpenAI vaidmeniui.

GCP

Nepavyko gauti GCP STS žetono auditorijai

Nepavyko gauti GCP STS žetono auditorijai //iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx: {'error': 'invalid_request', 'error_description': 'Netinkama \"audience\" reikšmė. Ši reikšmė turi būti visas tapatybės teikėjo ištekliaus pavadinimas. Galimų formatų sąrašą rasite https://cloud.google.com/iam/docs/reference/sts/rest/v1/TopLevel/token.

GCP tikisi auditorijos tokiu formatu

iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx

Įsitikinkite, kad registruodami raktą OpenAI naudodami Išorinius raktus valdymo API pateikėte teisingus parametrus

  • Įsitikinkite, kad workload_identity_project_number yra jūsų 12 skaitmenų GCP projekto numeris

  • Įsitikinkite, kad workload_identity_pool_id yra teisingas

  • Įsitikinkite, kad workload_identity_provider_id yra teisingas

ID žetono auditorija neatitinka numatytos auditorijos

Nepavyko gauti GCP STS žetono auditorijai //iam.googleapis.com/projects/xxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxx: {'error': 'invalid_grant', 'error_description': 'ID žetono auditorija [xxxxx] neatitinka numatytos auditorijos xxxxxxx.'}

Įsitikinkite, kad audience laukas, kurį pateikiate registruodami savo konfigūraciją OpenAI (Išoriniai raktai valdymo API ), patenka į vieną iš jūsų darbo krūvio tapatybės teikėjo leidžiamųjų auditorijų. Rekomenduojame naudoti jūsų OpenAI organizacijos ID.

Azure

Kliento programai trūksta tarnybos pagrindinio objekto

Kliento programai xxxxx trūksta tarnybos pagrindinio objekto nuomotojuje xxxxx. Žr. instrukcijas čia: https://go.microsoft.com/fwlink/?linkid=2225119

Įsitikinkite, kad tiksliai atlikote tarnybos pagrindinio objekto kūrimo veiksmus, aprašytus OpenAI / Azure EKM integravimo instrukcijose.

Skambinantysis neturi teisės atlikti veiksmo su ištekliumi

Skambinantysis neturi teisės atlikti veiksmo su ištekliumi. Jei vaidmenų priskyrimai, draudimo priskyrimai arba vaidmenų apibrėžtys buvo neseniai pakeisti, palaukite, kol pakeitimai išplis.

Ta pati klaida gali pasirodyti dėl kelių priežasčių

  • Nurodėte neteisingą rakto pavadinimą arba saugyklos URI, arba tokį, kurio nėra

  • Nesukūrėte vaidmens su šiais duomenų veiksmais IR nepriskyrėte to vaidmens OpenAI tarnybos pagrindiniam objektui

    • Microsoft.KeyVault/vaults/keys/encrypt/action

    • Microsoft.KeyVault/vaults/keys/decrypt/action

Rakto pavadinimas neatitinka šablono

„Netinkamas „key_name“: eilutė neatitinka šablono. Tikėtasi eilutės, atitinkančios šabloną „^org-[0-9a-zA-Z-]*--[0-9a-zA-Z-]*$“.“

Prie Key Vault rakto pavadinimo pradžios pridėkite savo OpenAI organizacijos ID.

Tai saugos rekomenduojama geriausia praktika, neleidžianti kitam naudotojui užregistruoti jūsų Key Vault rakto. Registruojant raktą ir kiekvienoje užklausoje į jūsų Key Vault patikriname, ar organizacijos ID sutampa.

Ar šis straipsnis buvo naudingas?