OpenAI
Esta página foi traduzida automaticamente. Ver o artigo original em inglês.

FAQ de resolução de problemas da integração do EKM

Erros comuns de integração do EKM e como resolvê-los para AWS, GCP e Azure

Atualizado: 19 days ago

AWS

Não autorizado a executar: sts:AssumeRole

Utilizador: arn:aws:sts::xxxxx:assumed-role/EnterpriseKeyManagement/OpenAI-EKM-Service não está autorizado a executar: sts:AssumeRole no recurso: arn:aws:iam::xxxxx:role/xxxxxx

Verifique o principal e o ExternalId na sua política de confiança

Certifique-se de que seguiu esta secção da documentação, incluindo AMBOS: reconhecer o principal da OpenAI e configurar um sts:ExternalId

Se já tiver indicado um sts:ExternalId, certifique-se de que é o mesmo ID de organização OpenAI ao qual está a aplicar o EKM, e não uma organização diferente, como uma organização pessoal.

Verifique a associação da política de confiança ao ARN da função

Verifique se a sua política de confiança foi corretamente guardada no ARN da função que forneceu

Verifique também se forneceu o ARN da função correto. Se o seu ARN estiver mal escrito e não existir, receberemos o mesmo erro que receberíamos se a função existisse mas negasse as permissões.

AWS IAM role details with Trust relationships tab open and the role ARN highlighted

Não autorizado a executar: kms:Encrypt no recurso

Utilizador: xxxxx não está autorizado a executar: kms:Encrypt no recurso

Certifique-se de que a sua política IAM concede kms:Encrypt e kms:Decrypt à função da OpenAI.

Se também adicionou uma política de chaves, certifique-se de que esta também concede kms:Encrypt e kms:Decrypt à função da OpenAI.

GCP

Falha ao obter o token STS do GCP para a audiência

Falha ao obter o token STS do GCP para a audiência //iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx: {'error': 'invalid_request', 'error_description': 'Valor inválido para \"audience\". Este valor deve ser o nome completo do recurso do Fornecedor de Identidade. Consulte https://cloud.google.com/iam/docs/reference/sts/rest/v1/TopLevel/token para ver a lista de formatos possíveis.

O GCP espera uma audiência com o formato

iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx

Certifique-se de que forneceu os parâmetros corretos ao registar a sua chave na OpenAI através de Chaves externas na API de Gestão

  • Certifique-se de que workload_identity_project_number é o número de projeto GCP de 12 dígitos

  • Certifique-se de que workload_identity_pool_id está correto

  • Certifique-se de que workload_identity_provider_id está correto

A audiência no token de ID não corresponde à audiência esperada

Falha ao obter o token STS do GCP para a audiência //iam.googleapis.com/projects/xxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxx: {'error': 'invalid_grant', 'error_description': 'A audiência no token de ID [xxxxx] não corresponde à audiência esperada xxxxxxx.'}

Certifique-se de que o campo audience que fornece quando regista a sua configuração na OpenAI (Chaves externas na API de Gestão ) está numa das audiências permitidas do seu fornecedor de identidade de carga de trabalho. Recomendamos que utilize o ID da sua organização OpenAI.

Azure

Falta o principal de serviço à aplicação cliente

Falta à aplicação cliente xxxxx o principal de serviço no inquilino xxxxx. Consulte as instruções aqui: https://go.microsoft.com/fwlink/?linkid=2225119

Certifique-se de que seguiu corretamente a criação do principal de serviço, conforme descrito nas Instruções de integração OpenAI/Azure EKM.

O autor da chamada não está autorizado a executar a ação no recurso

O autor da chamada não está autorizado a executar a ação no recurso. Se as atribuições de funções, atribuições de negação ou definições de funções tiverem sido alteradas recentemente, aguarde o tempo de propagação.

Este mesmo erro pode surgir por vários motivos

  • Forneceu o nome de chave ou URI do cofre errado, ou um que não existe

  • Não criou uma função com estas ações de dados E atribuiu essa função ao principal de serviço da OpenAI

    • Microsoft.KeyVault/vaults/keys/encrypt/action

    • Microsoft.KeyVault/vaults/keys/decrypt/action

O nome da chave não corresponde ao padrão

"'key_name' inválido: a cadeia não corresponde ao padrão. Esperava-se uma cadeia que correspondesse ao padrão '^org-[0-9a-zA-Z-]*--[0-9a-zA-Z-]*$'."

Adicione o ID da sua organização OpenAI como prefixo ao nome da chave do Key Vault.

Esta é a melhor prática recomendada pela segurança para impedir que a sua chave do Key Vault seja registada por outro utilizador. Validamos se o ID da organização corresponde durante o registo da chave e em todos os pedidos ao seu Key Vault.

Este artigo foi útil?