AWS
Não autorizado a executar: sts:AssumeRole
Usuário: arn:aws:sts::xxxxx:assumed-role/EnterpriseKeyManagement/OpenAI-EKM-Service não está autorizado a executar: sts:AssumeRole no recurso: arn:aws:iam::xxxxx:role/xxxxxxVerifique o principal e o ExternalID na sua política de confiança
Certifique-se de ter seguido esta seção da documentação, incluindo o reconhecimento da entidade principal da OpenAI e a configuração de um sts:ExternalId.
Se você já inseriu um sts:ExternalId, certifique-se de que seja o mesmo ID da organização OpenAI à qual você está aplicando o EKM, e não de uma organização diferente, como uma organização pessoal.
Verifique a associação da política de confiança com o ARN da função
Confirme se a política de confiança foi salva corretamente no ARN da função fornecido
Confirme também se você forneceu o ARN da função correto. Se o ARN estiver escrito incorretamente e não existir, receberemos o mesmo erro que receberíamos se a função existisse, mas negasse permissões.
Não autorizado a executar: kms:Encrypt no recurso
Usuário: xxxxx não autorizado a executar kms:Encrypt no recursoCertifique-se de que sua política de IAM conceda kms:Encrypt e kms:Decrypt à função da OpenAI.
Se você tiver adicionado também uma política de chave, confirme que ela concede kms:Encrypt e kms:Decrypt à função da OpenAI.
GCP
Falha ao adquirir o token STS do GCP para o público
Falha ao adquirir o token STS do GCP para o público //iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx: {'error': 'invalid_request', 'error_description': 'Invalid value for \"audience\". O valor é inválido ou não corresponde ao nome completo do recurso do provedor de identidade. Consulte https://cloud.google.com/iam/docs/reference/sts/rest/v1/TopLevel/token para obter a lista de formatos possíveis.A GCP espera uma audiência com o formato indicado.
iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx
Certifique-se de ter fornecido os parâmetros corretos ao registrar sua chave com a OpenAI usando Chaves Externas na API de Gerenciamento.
Verifique o seguinte: workload_identity_project_number corresponde ao número do seu projeto no GCP (12 dígitos)
Verifique se workload_identity_pool_id está correto
Verifique se workload_identity_provider_id está correto
O público no token de ID não corresponde ao público esperado
Falha ao adquirir o token STS do GCP para o público //iam.googleapis.com/projects/xxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxx: {'error': 'invalid_grant', 'error_description': 'The audience in ID Token [xxxxx] does not match the expected audience xxxxxxx.'}Confirme que o campo audience fornecido ao registrar a configuração na OpenAI (Chaves externas na API de gerenciamento ) está incluído na lista de Públicos permitidos do seu provedor de identidade de workload. Recomendamos usar o ID da sua organização na OpenAI.
Azure
O aplicativo cliente está sem entidade de serviço
O aplicativo cliente xxxxx não tem um service principal no tenant xxxxx. Consulte as instruções em: https://learn.microsoft.com/pt-br/entra/identity/enterprise-apps/create-service-principal-cross-tenant?pivots=msgraph-powershellCertifique-se de ter seguido corretamente as instruções de criação da entidade de serviço, conforme descrito nas Instruções de Integração do OpenAI/Azure EKM.
O chamador não está autorizado a executar a ação no recurso
O chamador não está autorizado a executar a ação no recurso. Se as atribuições de função, as atribuições de negação ou as definições de função tiverem sido alteradas recentemente, aguarde o tempo de propagação.Esse erro pode ocorrer por diferentes motivos
URI do cofre de chaves ou nome da chave incorretos ou inexistentes
Ausência de uma função com permissões adequadas de data actions atribuída ao service principal da OpenAI
Microsoft.KeyVault/vaults/keys/encrypt/action
Microsoft.KeyVault/vaults/keys/decrypt/action
Nome da chave não corresponde ao padrão
"A string inválida 'key_name': não segue o padrão esperado. O formato deve corresponder à expressão '^org-[0-9a-zA-Z-]*--[0-9a-zA-Z-]*$'."Inclua o ID da OpenAI como prefixo no nome da chave do Key Vault.
Essa prática é recomendada para evitar que a chave do cofre seja registrada por outro usuário. A OpenAI valida se o ID da organização corresponde durante o registro da chave e em todas as requisições ao Key Vault.