AWS
Não autorizado a executar: sts:AssumeRole
Utilizador: arn:aws:sts::xxxxx:assumed-role/EnterpriseKeyManagement/OpenAI-EKM-Service não está autorizado a executar: sts:AssumeRole no recurso: arn:aws:iam::xxxxx:role/xxxxxxVerifique o principal e o ExternalId na sua política de confiança
Certifique-se de que seguiu esta secção da documentação, incluindo AMBOS: reconhecer o principal da OpenAI e configurar um sts:ExternalId
Se já tiver indicado um sts:ExternalId, certifique-se de que é o mesmo ID de organização OpenAI ao qual está a aplicar o EKM, e não uma organização diferente, como uma organização pessoal.
Verifique a associação da política de confiança ao ARN da função
Verifique se a sua política de confiança foi corretamente guardada no ARN da função que forneceu
Verifique também se forneceu o ARN da função correto. Se o seu ARN estiver mal escrito e não existir, receberemos o mesmo erro que receberíamos se a função existisse mas negasse as permissões.

Não autorizado a executar: kms:Encrypt no recurso
Utilizador: xxxxx não está autorizado a executar: kms:Encrypt no recursoCertifique-se de que a sua política IAM concede kms:Encrypt e kms:Decrypt à função da OpenAI.
Se também adicionou uma política de chaves, certifique-se de que esta também concede kms:Encrypt e kms:Decrypt à função da OpenAI.
GCP
Falha ao obter o token STS do GCP para a audiência
Falha ao obter o token STS do GCP para a audiência //iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx: {'error': 'invalid_request', 'error_description': 'Valor inválido para \"audience\". Este valor deve ser o nome completo do recurso do Fornecedor de Identidade. Consulte https://cloud.google.com/iam/docs/reference/sts/rest/v1/TopLevel/token para ver a lista de formatos possíveis.O GCP espera uma audiência com o formato
iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx
Certifique-se de que forneceu os parâmetros corretos ao registar a sua chave na OpenAI através de Chaves externas na API de Gestão
Certifique-se de que workload_identity_project_number é o número de projeto GCP de 12 dígitos
Certifique-se de que workload_identity_pool_id está correto
Certifique-se de que workload_identity_provider_id está correto
A audiência no token de ID não corresponde à audiência esperada
Falha ao obter o token STS do GCP para a audiência //iam.googleapis.com/projects/xxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxx: {'error': 'invalid_grant', 'error_description': 'A audiência no token de ID [xxxxx] não corresponde à audiência esperada xxxxxxx.'}Certifique-se de que o campo audience que fornece quando regista a sua configuração na OpenAI (Chaves externas na API de Gestão ) está numa das audiências permitidas do seu fornecedor de identidade de carga de trabalho. Recomendamos que utilize o ID da sua organização OpenAI.
Azure
Falta o principal de serviço à aplicação cliente
Falta à aplicação cliente xxxxx o principal de serviço no inquilino xxxxx. Consulte as instruções aqui: https://go.microsoft.com/fwlink/?linkid=2225119Certifique-se de que seguiu corretamente a criação do principal de serviço, conforme descrito nas Instruções de integração OpenAI/Azure EKM.
O autor da chamada não está autorizado a executar a ação no recurso
O autor da chamada não está autorizado a executar a ação no recurso. Se as atribuições de funções, atribuições de negação ou definições de funções tiverem sido alteradas recentemente, aguarde o tempo de propagação.Este mesmo erro pode surgir por vários motivos
Forneceu o nome de chave ou URI do cofre errado, ou um que não existe
Não criou uma função com estas ações de dados E atribuiu essa função ao principal de serviço da OpenAI
Microsoft.KeyVault/vaults/keys/encrypt/action
Microsoft.KeyVault/vaults/keys/decrypt/action
O nome da chave não corresponde ao padrão
"'key_name' inválido: a cadeia não corresponde ao padrão. Esperava-se uma cadeia que correspondesse ao padrão '^org-[0-9a-zA-Z-]*--[0-9a-zA-Z-]*$'."Adicione o ID da sua organização OpenAI como prefixo ao nome da chave do Key Vault.
Esta é a melhor prática recomendada pela segurança para impedir que a sua chave do Key Vault seja registada por outro utilizador. Validamos se o ID da organização corresponde durante o registo da chave e em todos os pedidos ao seu Key Vault.
