OpenAI

Perguntas frequentes sobre solução de problemas na integração do EKM

Erros comuns de configuração do EKM e como resolvê-los em AWS, GCP e Azure

Atualizado: 14 days ago

AWS

Não autorizado a executar: sts:AssumeRole

Usuário: arn:aws:sts::xxxxx:assumed-role/EnterpriseKeyManagement/OpenAI-EKM-Service não está autorizado a executar: sts:AssumeRole no recurso: arn:aws:iam::xxxxx:role/xxxxxx

Verifique o principal e o ExternalID na sua política de confiança

Certifique-se de ter seguido a documentação corretamente, incluindo tanto o reconhecimento da entidade principal da OpenAI quanto a configuração do sts:ExternalId

Se você já definiu um sts:ExternalId, confirme que ele corresponde ao ID da organização da OpenAI ao qual o EKM está sendo aplicado, e não a outra organização, como uma conta pessoal.

Verifique a associação da política de confiança com o ARN da função

Confirme se a política de confiança foi salva corretamente no ARN da função fornecido

Verifique também se o ARN da função está correto. Um ARN incorreto pode gerar o mesmo erro que uma função existente sem permissões adequadas.

AWS IAM role details with Trust relationships tab open and the role ARN highlighted

Não autorizado a executar: kms:Encrypt no recurso

Usuário: xxxxx não autorizado a executar kms:Encrypt no recurso

Certifique-se de que a política do IAM concede as permissões kms:Encrypt e kms:Decrypt à função da OpenAI. 

Se você estiver usando uma política de chave, confirme também que ela concede kms:Encrypt e kms:Decrypt à função da OpenAI.

GCP

Falha ao adquirir o token STS do GCP para o público

Falha ao adquirir o token STS do GCP para o público //iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx: {'error': 'invalid_request', 'error_description': 'Invalid value for \"audience\". O valor é inválido ou não corresponde ao nome completo do recurso do provedor de identidade. Consulte https://cloud.google.com/iam/docs/reference/sts/rest/v1/TopLevel/token para obter a lista de formatos possíveis.

O GCP espera um público no formato 

iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx

Certifique-se de que os parâmetros informados ao registrar a chave na OpenAI (via Chaves Externas na API de gerenciamento) estão corretos 

  • Verifique o seguinte: workload_identity_project_number corresponde ao número do seu projeto no GCP (12 dígitos)

  • Verifique se workload_identity_pool_id está correto

  • Verifique se workload_identity_provider_id está correto

O público no token de ID não corresponde ao público esperado

Falha ao adquirir o token STS do GCP para o público //iam.googleapis.com/projects/xxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxx: {'error': 'invalid_grant', 'error_description': 'The audience in ID Token [xxxxx] does not match the expected audience xxxxxxx.'}

Confirme que o campo audience fornecido ao registrar a configuração na OpenAI (Chaves externas na API de gerenciamento) está incluído na lista de Públicos permitidos do seu provedor de identidade de workload. Recomenda-se usar o ID da organização da OpenAI como audience.

Azure

O aplicativo cliente está sem entidade de serviço

O aplicativo cliente xxxxx não tem um service principal no tenant xxxxx. Consulte as instruções em: https://learn.microsoft.com/pt-br/entra/identity/enterprise-apps/create-service-principal-cross-tenant?pivots=msgraph-powershell

Certifique-se de ter seguido corretamente a criação do service principal conforme descrito nas instruções de integração do Azure EKM.

O chamador não está autorizado a executar a ação no recurso

O chamador não está autorizado a executar a ação no recurso. Se as atribuições de função, as atribuições de negação ou as definições de função tiverem sido alteradas recentemente, aguarde o tempo de propagação.

Esse erro pode ocorrer por diferentes motivos

  • URI do cofre de chaves ou nome da chave incorretos ou inexistentes

  • Ausência de uma função com permissões adequadas de data actions atribuída ao service principal da OpenAI

    • Microsoft.KeyVault/vaults/keys/encrypt/action

    • Microsoft.KeyVault/vaults/keys/decrypt/action

Nome da chave não corresponde ao padrão

"A string inválida 'key_name': não segue o padrão esperado. O formato deve corresponder à expressão '^org-[0-9a-zA-Z-]*--[0-9a-zA-Z-]*$'."

Inclua o ID da OpenAI como prefixo no nome da chave do Key Vault.

Essa prática é recomendada para evitar que a chave do cofre seja registrada por outro usuário. A OpenAI valida se o ID da organização corresponde durante o registro da chave e em todas as requisições ao Key Vault.

Este artigo foi útil?