OpenAI
Această pagină a fost tradusă automat. Vezi articolul original în limba engleză.

Întrebări frecvente despre depanarea integrării EKM

Erori frecvente la integrarea EKM și cum să le remediați pentru AWS, GCP și Azure

Actualizat: 13 days ago

AWS

Neautorizat să efectueze: sts:AssumeRole

Utilizatorul: arn:aws:sts::xxxxx:assumed-role/EnterpriseKeyManagement/OpenAI-EKM-Service nu este autorizat să efectueze: sts:AssumeRole asupra resursei: arn:aws:iam::xxxxx:role/xxxxxx

Verificați principalul și ExternalId din politica de încredere

Asigurați-vă că ați urmat această secțiune din documentație, inclusiv AMBELE cerințe: recunoașterea principalului OpenAI și configurarea unui sts:ExternalId

Dacă ați introdus deja un sts:ExternalId, asigurați-vă că acesta este același ID al organizației OpenAI pentru care aplicați EKM, nu o altă organizație, cum ar fi una personală.

Verificați asocierea politicii de încredere cu ARN-ul rolului

Verificați dacă politica de încredere a fost salvată corect pentru ARN-ul rolului pe care l-ați furnizat

Verificați și dacă ați furnizat ARN-ul corect al rolului. Dacă ARN-ul este scris greșit și nu există, vom primi aceeași eroare ca atunci când rolul există, dar refuză permisiunile.

AWS IAM role details with Trust relationships tab open and the role ARN highlighted

Neautorizat să efectueze: kms:Encrypt asupra resursei

Utilizatorul: xxxxx nu este autorizat să efectueze: kms:Encrypt asupra resursei

Asigurați-vă că politica IAM acordă kms:Encrypt și kms:Decrypt rolului OpenAI.

Dacă ați adăugat și o politică de cheie, asigurați-vă că aceasta acordă, de asemenea, kms:Encrypt și kms:Decrypt rolului OpenAI.

GCP

Nu s-a putut obține tokenul GCP STS pentru audiență

Nu s-a putut obține tokenul GCP STS pentru audiența //iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx: {'error': 'invalid_request', 'error_description': 'Valoare nevalidă pentru \"audience\". Această valoare trebuie să fie numele complet al resursei furnizorului de identitate. Consultați https://cloud.google.com/iam/docs/reference/sts/rest/v1/TopLevel/token pentru lista formatelor posibile.

GCP se așteaptă la o audiență cu formatul

iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx

Asigurați-vă că ați furnizat parametrii corecți când v-ați înregistrat cheia la OpenAI folosind Chei externe în API-ul de gestionare

  • Asigurați-vă că workload_identity_project_number este numărul de proiect GCP din 12 cifre

  • Asigurați-vă că workload_identity_pool_id este corect

  • Asigurați-vă că workload_identity_provider_id este corect

Audiența din tokenul ID nu corespunde audienței așteptate

Nu s-a putut obține tokenul GCP STS pentru audiența //iam.googleapis.com/projects/xxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxx: {'error': 'invalid_grant', 'error_description': 'Audiența din tokenul ID [xxxxx] nu corespunde audienței așteptate xxxxxxx.'}

Asigurați-vă că valoarea din câmpul audience pe care o furnizați când vă înregistrați configurația la OpenAI (Chei externe în API-ul de gestionare ) se află într-una dintre audiențele permise pentru furnizorul dvs. de identitate de workload. Recomandăm să folosiți ID-ul organizației OpenAI.

Azure

Aplicației client îi lipsește principalul de serviciu

Aplicației client xxxxx îi lipsește principalul de serviciu în entitatea găzduită xxxxx. Consultați instrucțiunile aici: https://go.microsoft.com/fwlink/?linkid=2225119

Asigurați-vă că ați urmat cu exactitate pașii pentru crearea principalului de serviciu, așa cum sunt descriși în instrucțiunile de integrare OpenAI / Azure EKM.

Apelantul nu este autorizat să efectueze acțiunea asupra resursei

Apelantul nu este autorizat să efectueze acțiunea asupra resursei. Dacă atribuirile de rol, atribuirile de refuz sau definițiile de rol au fost modificate recent, țineți cont de timpul de propagare.

Aceeași eroare poate apărea din mai multe motive

  • Ați furnizat un nume de cheie sau un URI de seif greșit ori unul care nu există

  • Nu ați creat un rol cu aceste acțiuni asupra datelor ȘI nu ați atribuit rolul respectiv principalului de serviciu al OpenAI

    • Microsoft.KeyVault/vaults/keys/encrypt/action

    • Microsoft.KeyVault/vaults/keys/decrypt/action

Numele cheii nu corespunde modelului

„Valoare nevalidă pentru 'key_name': șirul nu corespunde modelului. Se aștepta un șir care corespunde modelului '^org-[0-9a-zA-Z-]*--[0-9a-zA-Z-]*$'.”

Adăugați ca prefix la numele cheii Key Vault ID-ul organizației OpenAI.

Aceasta este practica recomandată de echipa de securitate pentru a împiedica înregistrarea cheii dvs. Key Vault de către alt utilizator. Validăm că ID-ul organizației corespunde la înregistrarea cheii și la fiecare solicitare către Key Vault.

A fost util acest articol?