AWS
Não autorizado a executar: sts:AssumeRole
O utilizador: arn:aws:sts::xxxxx:assumed-role/EnterpriseKeyManagement/OpenAI-EKM-Service não está autorizado a executar: sts:AssumeRole no recurso: arn:aws:iam::xxxxx:role/xxxxxxVerifique o principal e o ExternalId na sua política de confiança
Certifique-se de que seguiu esta secção da documentação, incluindo AMBOS o reconhecimento do principal da OpenAI e a configuração de um sts:ExternalId
Se já tiver definido um sts:ExternalId, certifique-se de que é o mesmo ID da organização OpenAI à qual está a aplicar o EKM, e não uma organização diferente, como uma organização pessoal.
Verifique a associação da política de confiança ao ARN da função
Verifique se a sua política de confiança foi corretamente guardada no ARN da função que forneceu
Verifique também se forneceu o ARN da função correto. Se o seu ARN estiver mal escrito e não existir, obteremos o mesmo erro que obteríamos se a função existisse mas negasse permissões.
Não autorizado a executar: kms:Encrypt no recurso
O utilizador: xxxxx não está autorizado a executar: kms:Encrypt no recursoCertifique-se de que a sua política IAM concede kms:Encrypt e kms:Decrypt à função da OpenAI.
Se também tiver adicionado uma política de chave, certifique-se de que também concede kms:Encrypt e kms:Decrypt à função da OpenAI.
GCP
Falha ao adquirir o token STS do GCP para a audiência
Falha ao adquirir o token STS do GCP para a audiência //iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx: {'error': 'invalid_request', 'error_description': 'Valor inválido para quot;audiencequot;. Este valor deve ser o nome completo do recurso do Identity Provider. Consulte https://cloud.google.com/iam/docs/reference/sts/rest/v1/TopLevel/token para a lista de formatos possíveis.O GCP espera uma audiência com o formato
iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx
Certifique-se de que forneceu os parâmetros corretos ao registar a sua chave na OpenAI utilizando Chaves Externas na API de Gestão
Certifique-se de que o workload_identity_project_number é o número de 12 dígitos do seu projeto GCP
Certifique-se de que o workload_identity_pool_id está correto
Certifique-se de que o workload_identity_provider_id está correto
A audiência no token de ID não corresponde à audiência esperada
Falha ao adquirir o token STS do GCP para a audiência //iam.googleapis.com/projects/xxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxx: {'error': 'invalid_grant', 'error_description': 'A audiência no ID Token [xxxxx] não corresponde à audiência esperada xxxxxxx.'}Certifique-se de que o campo audience que fornece quando regista a sua configuração na OpenAI (Chaves Externas na API de Gestão ) é uma das suas Allowed Audiences para o seu fornecedor de identidade de carga de trabalho. Recomendamos a utilização do ID da sua organização OpenAI.
Azure
Falta service principal na aplicação cliente
Falta o service principal na aplicação cliente xxxxx no inquilino xxxxx. Consulte as instruções aqui: https://go.microsoft.com/fwlink/?linkid=2225119Certifique-se de que seguiu com exatidão a criação do service principal conforme descrito nas Instruções de Integração EKM da OpenAI / Azure.
O chamador não está autorizado a executar a ação no recurso
O chamador não está autorizado a executar a ação no recurso. Se as atribuições de funções, atribuições de negação ou definições de funções tiverem sido alteradas recentemente, aguarde o tempo de propagação.Este mesmo erro pode surgir por várias razões
Forneceu o nome de chave ou o URI do cofre errados, ou um que não existe
Não criou uma função com estas ações de dados E não atribuiu essa função ao service principal da OpenAI
Microsoft.KeyVault/vaults/keys/encrypt/action
Microsoft.KeyVault/vaults/keys/decrypt/action
O nome da chave não corresponde ao padrão
"'key_name' inválido: a cadeia não corresponde ao padrão. Era esperada uma cadeia que correspondesse ao padrão '^org-[0-9a-zA-Z-]*--[0-9a-zA-Z-]*$'."Adicione o ID da sua organização OpenAI como prefixo ao nome da chave do seu Key Vault.
Esta é a melhor prática recomendada pela segurança para impedir que a chave do seu cofre de chaves seja registada por um utilizador diferente. Validamos que o ID da organização corresponde no registo da chave e em todos os pedidos ao seu cofre de chaves.