OpenAI
Ta strona została przetłumaczona maszynowo. Wyświetl oryginalny artykuł w języku angielskim.

FAQ dotyczące rozwiązywania problemów z wdrażaniem EKM

Typowe błędy podczas wdrażania EKM i sposoby ich rozwiązania dla AWS, GCP i Azure

Zaktualizowano: 13 days ago

AWS

Brak uprawnień do wykonania: sts:AssumeRole

Użytkownik: arn:aws:sts::xxxxx:assumed-role/EnterpriseKeyManagement/OpenAI-EKM-Service nie jest upoważniony do wykonania: sts:AssumeRole na zasobie: arn:aws:iam::xxxxx:role/xxxxxx

Zweryfikuj principal i ExternalId w polityce zaufania

Upewnij się, że postąpiono zgodnie z tą sekcją dokumentacji, w tym że rozpoznano principal OpenAI ORAZ skonfigurowano sts:ExternalId

Jeśli sts:ExternalId został już dodany, upewnij się, że jest to ten sam identyfikator organizacji OpenAI, do którego stosujesz EKM, a nie identyfikator innej organizacji, np. osobistej.

Zweryfikuj powiązanie polityki zaufania z ARN roli

Zweryfikuj, czy polityka zaufania została poprawnie zapisana dla podanego ARN roli

Sprawdź też, czy podano prawidłowy ARN roli. Jeśli ARN zawiera literówkę i nie istnieje, otrzymamy ten sam błąd, co w przypadku, gdy rola istnieje, ale odmawia uprawnień.

AWS IAM role details with Trust relationships tab open and the role ARN highlighted

Brak uprawnień do wykonania: kms:Encrypt na zasobie

Użytkownik: xxxxx nie jest upoważniony do wykonania: kms:Encrypt na zasobie

Upewnij się, że polityka IAM przyznaje roli OpenAI uprawnienia kms:Encrypt i kms:Decrypt

Jeśli dodano również politykę klucza, upewnij się, że także ona przyznaje roli OpenAI uprawnienia kms:Encrypt i kms:Decrypt.

GCP

Nie udało się uzyskać tokenu GCP STS dla odbiorcy

Nie udało się uzyskać tokenu GCP STS dla odbiorcy //iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx: {'error': 'invalid_request', 'error_description': 'Nieprawidłowa wartość dla quot;audiencequot;. Ta wartość powinna być pełną nazwą zasobu dostawcy tożsamości. Zobacz https://cloud.google.com/iam/docs/reference/sts/rest/v1/TopLevel/token, aby uzyskać listę możliwych formatów.

GCP oczekuje odbiorcy w formacie 

iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx

Upewnij się, że podczas rejestrowania klucza w OpenAI przy użyciu External Keys in the Management API podano prawidłowe parametry 

  • Upewnij się, że workload_identity_project_number to 12-cyfrowy numer projektu GCP

  • Upewnij się, że workload_identity_pool_id jest prawidłowy

  • Upewnij się, że workload_identity_provider_id jest prawidłowy

Odbiorca w tokenie ID nie odpowiada oczekiwanemu odbiorcy

Nie udało się uzyskać tokenu GCP STS dla odbiorcy //iam.googleapis.com/projects/xxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxx: {'error': 'invalid_grant', 'error_description': 'Odbiorca w tokenie ID [xxxxx] nie odpowiada oczekiwanemu odbiorcy xxxxxxx.'}

Upewnij się, że pole audience, które podajesz podczas rejestrowania konfiguracji w OpenAI (External Keys in the Management API), znajduje się wśród dozwolonych odbiorców dla dostawcy tożsamości obciążenia. Zalecamy użycie identyfikatora organizacji OpenAI.

Azure

Aplikacja kliencka nie ma service principal

Aplikacja kliencka xxxxx nie ma service principal w dzierżawie xxxxx. Instrukcje są tutaj: https://go.microsoft.com/fwlink/?linkid=2225119

Upewnij się, że dokładnie wykonano kroki tworzenia service principal opisane w instrukcji integracji OpenAI / Azure EKM.

Wywołujący nie jest upoważniony do wykonania akcji na zasobie

Wywołujący nie jest upoważniony do wykonania akcji na zasobie. Jeśli przypisania ról, przypisania odmowy lub definicje ról zostały niedawno zmienione, uwzględnij czas propagacji.

Ten sam błąd może pojawić się z kilku powodów

  • Podano nieprawidłową nazwę klucza lub URI magazynu, albo taki, który nie istnieje

  • Nie utworzono roli z tymi akcjami danych ORAZ nie przypisano tej roli do service principal OpenAI

    • Microsoft.KeyVault/vaults/keys/encrypt/action

    • Microsoft.KeyVault/vaults/keys/decrypt/action

Nazwa klucza nie pasuje do wzorca

„Nieprawidłowy element 'key_name': ciąg nie pasuje do wzorca. Oczekiwano ciągu pasującego do wzorca '^org-[0-9a-zA-Z-]*--[0-9a-zA-Z-]*$'.”

Dodaj do nazwy klucza Key Vault prefiks z identyfikatorem organizacji OpenAI.

To najlepsza praktyka zalecana przez zespół bezpieczeństwa, aby zapobiec zarejestrowaniu klucza magazynu przez innego użytkownika. Sprawdzamy zgodność identyfikatora organizacji podczas rejestracji klucza i przy każdym żądaniu do magazynu kluczy.

Czy ten artykuł był pomocny?