OpenAI
Deze pagina is automatisch vertaald. Bekijk het oorspronkelijke Engelstalige artikel.

FAQ voor probleemoplossing bij EKM-onboarding

Veelvoorkomende EKM-onboardingfouten en hoe u ze oplost voor AWS, GCP en Azure

Bijgewerkt: 4 hours ago

AWS

Niet gemachtigd om uit te voeren: sts:AssumeRole

Gebruiker: arn:aws:sts::xxxxx:assumed-role/EnterpriseKeyManagement/OpenAI-EKM-Service is niet gemachtigd om uit te voeren: sts:AssumeRole op resource: arn:aws:iam::xxxxx:role/xxxxxx

Controleer de principal en ExternalId in uw vertrouwensbeleid

Zorg ervoor dat u dit gedeelte van de documentatie hebt gevolgd, inclusief BEIDE: het opnemen van de principal van OpenAI en het configureren van een sts:ExternalId

Als u al een sts:ExternalId hebt ingevuld, zorg er dan voor dat dit dezelfde OpenAI-organisatie-ID is waarop u EKM toepast, en niet een andere org zoals een persoonlijke org.

Controleer de koppeling van het vertrouwensbeleid met de rol-ARN

Controleer of uw vertrouwensbeleid correct is opgeslagen voor de rol-ARN die u hebt opgegeven

Controleer ook of u de juiste rol-ARN hebt opgegeven. Als uw ARN verkeerd is gespeld en niet bestaat, krijgen we dezelfde fout als wanneer de rol wel bestaat maar machtigingen weigert.

AWS IAM role details with Trust relationships tab open and the role ARN highlighted

Niet gemachtigd om uit te voeren: kms:Encrypt op resource

Gebruiker: xxxxx is niet gemachtigd om uit te voeren: kms:Encrypt op resource

Zorg ervoor dat uw IAM-beleid kms:Encrypt en kms:Decrypt toekent aan de rol van OpenAI.

Als u ook een sleutelbeleid hebt toegevoegd, zorg er dan voor dat dit ook kms:Encrypt en kms:Decrypt toekent aan de rol van OpenAI.

GCP

Kan geen GCP STS-token verkrijgen voor audience

Kan geen GCP STS-token verkrijgen voor audience //iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx: {'error': 'invalid_request', 'error_description': 'Ongeldige waarde voor \"audience\". Deze waarde moet de volledige resourcenaam van de identiteitsprovider zijn. Zie https://cloud.google.com/iam/docs/reference/sts/rest/v1/TopLevel/token voor de lijst met mogelijke indelingen.

GCP verwacht een audience met de indeling

iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx

Zorg ervoor dat u de juiste parameters hebt opgegeven bij het registreren van uw sleutel bij OpenAI met Externe sleutels in de Management API

  • Zorg ervoor dat workload_identity_project_number uw 12-cijferige GCP-projectnummer is

  • Zorg ervoor dat workload_identity_pool_id correct is

  • Zorg ervoor dat workload_identity_provider_id correct is

De audience in het ID-token komt niet overeen met de verwachte audience

Kan geen GCP STS-token verkrijgen voor audience //iam.googleapis.com/projects/xxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxx: {'error': 'invalid_grant', 'error_description': 'De audience in ID-token [xxxxx] komt niet overeen met de verwachte audience xxxxxxx.'}

Zorg ervoor dat het veld audience dat u opgeeft wanneer u uw configuratie bij OpenAI registreert (Externe sleutels in de Management API ) een van de toegestane audiences is voor uw workload identity-provider. We raden aan uw OpenAI-organisatie-ID te gebruiken.

Azure

In de clienttoepassing ontbreekt de service-principal

In de clienttoepassing xxxxx ontbreekt de service-principal in de tenant xxxxx. Zie de instructies hier: https://go.microsoft.com/fwlink/?linkid=2225119

Zorg ervoor dat u de service-principal nauwkeurig hebt aangemaakt zoals beschreven in de OpenAI / Azure EKM-integratie-instructies.

De aanroeper is niet gemachtigd om actie uit te voeren op de resource

De aanroeper is niet gemachtigd om actie uit te voeren op de resource. Als roltoewijzingen, weigeringstoewijzingen of roldefinities onlangs zijn gewijzigd, houd dan rekening met propagatietijd.

Dezezelfde fout kan om meerdere redenen optreden

  • U hebt de verkeerde sleutelnaam of vault-URI opgegeven, of een die niet bestaat

  • U hebt geen rol gemaakt met deze data actions EN die rol toegewezen aan de service-principal van OpenAI

    • Microsoft.KeyVault/vaults/keys/encrypt/action

    • Microsoft.KeyVault/vaults/keys/decrypt/action

Sleutelnaam komt niet overeen met patroon

"Ongeldige 'key_name': tekenreeks komt niet overeen met patroon. Verwacht wordt een tekenreeks die overeenkomt met het patroon '^org-[0-9a-zA-Z-]*--[0-9a-zA-Z-]*$'."

Laat de naam van uw Key Vault-sleutel voorafgaan door uw OpenAI-organisatie-ID.

Dit is de best practice die door security wordt aanbevolen om te voorkomen dat uw Key Vault-sleutel door een andere gebruiker wordt geregistreerd. We valideren dat de organisatie-ID overeenkomt bij sleutelregistratie en bij elke aanvraag naar uw Key Vault.

Was dit artikel nuttig?