AWS
Brak uprawnień do wykonania: sts:AssumeRole
Użytkownik: arn:aws:sts::xxxxx:assumed-role/EnterpriseKeyManagement/OpenAI-EKM-Service nie ma uprawnień do wykonania: sts:AssumeRole na zasobie: arn:aws:iam::xxxxx:role/xxxxxxZweryfikuj element principal i ExternalId w zasadach zaufania
Upewnij się, że wykonano tę sekcję dokumentacji, w tym OBA wymagane kroki: rozpoznanie elementu principal OpenAI oraz skonfigurowanie sts:ExternalId
Jeśli dodano już sts:ExternalId, upewnij się, że jest to ten sam identyfikator organizacji OpenAI, do której stosujesz EKM, a nie inna organizacja, np. osobista.
Zweryfikuj powiązanie zasad zaufania z ARN roli
Sprawdź, czy zasady zaufania zostały prawidłowo zapisane dla podanego ARN roli
Sprawdź też, czy podano właściwy ARN roli. Jeśli Twój ARN zawiera literówkę i nie istnieje, otrzymamy ten sam błąd, co wtedy, gdy rola istnieje, ale odmawia uprawnień.
Brak uprawnień do wykonania: kms:Encrypt na zasobie
Użytkownik: xxxxx nie ma uprawnień do wykonania: kms:Encrypt na zasobieUpewnij się, że Twoje zasady IAM przyznają roli OpenAI uprawnienia kms:Encrypt i kms:Decrypt.
Jeśli dodano również zasady klucza, upewnij się, że one także przyznają roli OpenAI uprawnienia kms:Encrypt i kms:Decrypt.
GCP
Nie udało się uzyskać tokenu GCP STS dla odbiorcy
Nie udało się uzyskać tokenu GCP STS dla odbiorcy //iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx: {'error': 'invalid_request', 'error_description': 'Nieprawidłowa wartość \"audience\". Ta wartość powinna być pełną nazwą zasobu dostawcy tożsamości. Listę możliwych formatów znajdziesz na https://cloud.google.com/iam/docs/reference/sts/rest/v1/TopLevel/tokenGCP oczekuje odbiorcy w formacie
iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx
Upewnij się, że podczas rejestrowania klucza w OpenAI za pomocą Kluczy zewnętrznych w interfejsie Management API podano prawidłowe parametry
Upewnij się, że workload_identity_project_number to 12-cyfrowy numer projektu GCP
Upewnij się, że workload_identity_pool_id jest poprawny
Upewnij się, że workload_identity_provider_id jest poprawny
Odbiorca w tokenie ID nie odpowiada oczekiwanemu odbiorcy
Nie udało się uzyskać tokenu GCP STS dla odbiorcy //iam.googleapis.com/projects/xxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxx: {'error': 'invalid_grant', 'error_description': 'Odbiorca w tokenie ID [xxxxx] nie odpowiada oczekiwanemu odbiorcy xxxxxxx.'}Upewnij się, że pole audience podawane podczas rejestrowania konfiguracji w OpenAI (Klucze zewnętrzne w interfejsie Management API) jest jedną z dozwolonych wartości odbiorców dla dostawcy tożsamości obciążenia. Zalecamy użycie identyfikatora organizacji OpenAI.
Azure
W aplikacji klienckiej brakuje jednostki usługi
W aplikacji klienckiej xxxxx brakuje jednostki usługi w dzierżawie xxxxx. Instrukcje znajdziesz tutaj: https://go.microsoft.com/fwlink/?linkid=2225119Upewnij się, że dokładnie wykonano procedurę tworzenia jednostki usługi opisaną w instrukcji integracji OpenAI / Azure EKM.
Wywołujący nie ma uprawnień do wykonania działania na zasobie
Wywołujący nie ma uprawnień do wykonania działania na zasobie. Jeśli przypisania ról, przypisania odmowy lub definicje ról zostały niedawno zmienione, uwzględnij czas propagacji.Ten sam błąd może pojawić się z kilku powodów
Podano nieprawidłową nazwę klucza lub identyfikator URI magazynu albo wartość, która nie istnieje
Nie utworzono roli z tymi akcjami danych ORAZ nie przypisano tej roli do jednostki usługi OpenAI
Microsoft.KeyVault/vaults/keys/encrypt/action
Microsoft.KeyVault/vaults/keys/decrypt/action
Nazwa klucza nie pasuje do wzorca
"Nieprawidłowy 'key_name': ciąg nie pasuje do wzorca. Oczekiwano ciągu pasującego do wzorca '^org-[0-9a-zA-Z-]*--[0-9a-zA-Z-]*$'."Poprzedź nazwę klucza Key Vault identyfikatorem organizacji OpenAI.
To zalecana przez zespół ds. bezpieczeństwa najlepsza praktyka, która zapobiega zarejestrowaniu klucza z magazynu kluczy przez innego użytkownika. Sprawdzamy zgodność identyfikatora organizacji podczas rejestracji klucza i przy każdym żądaniu do Twojego magazynu kluczy.