OpenAI
Deze pagina is automatisch vertaald. Bekijk het oorspronkelijke Engelstalige artikel.

FAQ probleemoplossing EKM-onboarding

Veelvoorkomende fouten bij EKM-onboarding en hoe je ze oplost voor AWS, GCP en Azure

Bijgewerkt: 13 days ago

AWS

Niet gemachtigd om uit te voeren: sts:AssumeRole

Gebruiker: arn:aws:sts::xxxxx:assumed-role/EnterpriseKeyManagement/OpenAI-EKM-Service is niet gemachtigd om uit te voeren: sts:AssumeRole op resource: arn:aws:iam::xxxxx:role/xxxxxx

Controleer de principal en ExternalId in je trust policy

Zorg dat je dit gedeelte van de documentatie hebt gevolgd, inclusief ZOWEL het herkennen van OpenAI's principal als het configureren van een sts:ExternalId

Als je al een sts:ExternalId hebt ingesteld, zorg dan dat dit dezelfde OpenAI-organisatie-ID is waarop je EKM toepast, en niet een andere organisatie zoals een persoonlijke organisatie.

Controleer de koppeling van de trust policy met de rol-ARN

Controleer of je trust policy correct is opgeslagen in de rol-ARN die je hebt opgegeven

Controleer ook of je de juiste rol-ARN hebt opgegeven. Als je ARN verkeerd gespeld is en niet bestaat, krijgen we dezelfde fout als wanneer de rol wel bestaat maar machtigingen weigert.

AWS IAM role details with Trust relationships tab open and the role ARN highlighted

Niet gemachtigd om uit te voeren: kms:Encrypt op resource

Gebruiker: xxxxx is niet gemachtigd om uit te voeren: kms:Encrypt op resource

Zorg dat je IAM-policy kms:Encrypt en kms:Decrypt aan de rol van OpenAI verleent. 

Als je ook een key policy hebt toegevoegd, zorg dan dat die eveneens kms:Encrypt en kms:Decrypt aan de rol van OpenAI verleent.

GCP

Kan GCP STS-token voor audience niet ophalen

Kan GCP STS-token voor audience //iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx niet ophalen: {'error': 'invalid_request', 'error_description': 'Ongeldige waarde voor \\"audience\\". Deze waarde moet de volledige resourcenaam van de Identity Provider zijn. Zie https://cloud.google.com/iam/docs/reference/sts/rest/v1/TopLevel/token voor de lijst met mogelijke indelingen.

GCP verwacht een audience met de indeling 

iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx

Zorg dat je de juiste parameters hebt opgegeven toen je je sleutel bij OpenAI registreerde met Externe sleutels in de Management API

  • Zorg dat workload_identity_project_number je 12-cijferige GCP-projectnummer is

  • Zorg dat de workload_identity_pool_id correct is

  • Zorg dat de workload_identity_provider_id correct is

De audience in het ID-token komt niet overeen met de verwachte audience

Kan GCP STS-token voor audience //iam.googleapis.com/projects/xxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxx niet ophalen: {'error': 'invalid_grant', 'error_description': 'De audience in ID-token [xxxxx] komt niet overeen met de verwachte audience xxxxxxx.'}

Zorg dat het veld audience dat je opgeeft wanneer je je configuratie registreert bij OpenAI (Externe sleutels in de Management API ) een van de Allowed Audiences is voor je workload identity provider. We raden aan je OpenAI-organisatie-ID te gebruiken.

Azure

De clienttoepassing mist een service principal

De clienttoepassing xxxxx mist een service principal in de tenant xxxxx. Zie de instructies hier: https://go.microsoft.com/fwlink/?linkid=2225119

Zorg dat je het aanmaken van de service principal nauwkeurig hebt gevolgd zoals beschreven in de OpenAI / Azure EKM-integratie-instructies.

Aanroeper is niet gemachtigd om actie uit te voeren op resource

Aanroeper is niet gemachtigd om actie uit te voeren op resource. Als roltoewijzingen, deny assignments of roldefinities onlangs zijn gewijzigd, houd dan rekening met de propagatietijd.

Dezelfde fout kan om meerdere redenen optreden

  • Je hebt de verkeerde sleutelnaam of vault-URI opgegeven, of een die niet bestaat

  • Je hebt geen rol gemaakt met deze dataacties EN die rol niet toegewezen aan de service principal van OpenAI

    • Microsoft.KeyVault/vaults/keys/encrypt/action

    • Microsoft.KeyVault/vaults/keys/decrypt/action

Sleutelnaam komt niet overeen met patroon

“Ongeldige ‘key_name’: tekenreeks komt niet overeen met patroon. Verwacht werd een tekenreeks die overeenkomt met het patroon ‘^org-[0-9a-zA-Z-]*--[0-9a-zA-Z-]*$’.“

Plaats je OpenAI-organisatie-ID als voorvoegsel voor je Key Vault-sleutelnaam.

Dit is de best practice die door security wordt aanbevolen om te voorkomen dat je key vault-sleutel door een andere gebruiker wordt geregistreerd. We controleren of de organisatie-ID overeenkomt bij sleutelregistratie en bij elk verzoek aan je key vault.

Was dit artikel nuttig?