OpenAI
Această pagină a fost tradusă automat. Vezi articolul original în limba engleză.

Întrebări frecvente despre depanarea integrării EKM

Erori frecvente la integrarea EKM și cum să le rezolvați pentru AWS, GCP și Azure

Actualizat: 4 days ago

AWS

Nu este autorizat să efectueze: sts:AssumeRole

Utilizatorul: arn:aws:sts::xxxxx:assumed-role/EnterpriseKeyManagement/OpenAI-EKM-Service nu este autorizat să efectueze: sts:AssumeRole pe resursa: arn:aws:iam::xxxxx:role/xxxxxx

Verificați principalul și ExternalId din politica de încredere

Asigurați-vă că ați urmat această secțiune din documentație, inclusiv atât recunoașterea principalului OpenAI, cât și configurarea unui sts:ExternalId

Dacă ați introdus deja un sts:ExternalId, asigurați-vă că este același ID de organizație OpenAI pentru care aplicați EKM, nu un alt org, cum ar fi un org personal.

Verificați asocierea politicii de încredere cu ARN-ul rolului

Verificați dacă politica de încredere a fost salvată corect în ARN-ul rolului pe care l-ați furnizat

De asemenea, verificați că ați furnizat ARN-ul corect al rolului. Dacă ARN-ul este scris greșit și nu există, vom primi aceeași eroare ca atunci când rolul există, dar refuză permisiunile.

AWS IAM role details with Trust relationships tab open and the role ARN highlighted

Nu este autorizat să efectueze: kms:Encrypt pe resursă

Utilizatorul: xxxxx nu este autorizat să efectueze: kms:Encrypt pe resursă

Asigurați-vă că politica dvs. IAM acordă kms:Encrypt și kms:Decrypt rolului OpenAI. 

Dacă ați adăugat și o politică de cheie, asigurați-vă că aceasta acordă de asemenea kms:Encrypt și kms:Decrypt rolului OpenAI.

GCP

Nu s-a putut obține tokenul GCP STS pentru publicul

Nu s-a putut obține tokenul GCP STS pentru publicul //iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx: {'error': 'invalid_request', 'error_description': 'Valoare nevalidă pentru "audience". Această valoare trebuie să fie numele complet al resursei furnizorului de identitate. Consultați https://cloud.google.com/iam/docs/reference/sts/rest/v1/TopLevel/token pentru lista formatelor posibile.

GCP așteaptă un public cu formatul 

iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx

Asigurați-vă că ați furnizat parametrii corecți atunci când v-ați înregistrat cheia la OpenAI folosind Chei externe în API-ul de management

  • Asigurați-vă că workload_identity_project_number este numărul dvs. de proiect GCP din 12 cifre

  • Asigurați-vă că workload_identity_pool_id este corect

  • Asigurați-vă că workload_identity_provider_id este corect

Publicul din tokenul ID nu se potrivește cu publicul așteptat

Nu s-a putut obține tokenul GCP STS pentru publicul //iam.googleapis.com/projects/xxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxx: {'error': 'invalid_grant', 'error_description': 'Publicul din ID Token [xxxxx] nu se potrivește cu publicul așteptat xxxxxxx.'}

Asigurați-vă că câmpul audience pe care îl furnizați când vă înregistrați configurația la OpenAI (Chei externe în API-ul de management ) se află în Allowed Audiences pentru furnizorul dvs. de identitate workload. Vă recomandăm să folosiți ID-ul organizației dvs. OpenAI.

Azure

Aplicației client îi lipsește principalul de serviciu

Aplicației client xxxxx îi lipsește principalul de serviciu în tenantul xxxxx. Vedeți instrucțiunile aici: https://go.microsoft.com/fwlink/?linkid=2225119

Asigurați-vă că ați urmat corect crearea principalului de serviciu, așa cum este descris în Instrucțiunile de integrare OpenAI / Azure EKM.

Apelantul nu este autorizat să efectueze acțiunea asupra resursei

Apelantul nu este autorizat să efectueze acțiunea asupra resursei. Dacă atribuirile de roluri, atribuirile de refuz sau definițiile de rol au fost modificate recent, vă rugăm să țineți cont de timpul de propagare.

Aceeași eroare poate apărea din mai multe motive

  • Ați furnizat un nume de cheie sau un URI de seif greșit, sau unul care nu există

  • Nu ați creat un rol cu aceste acțiuni de date ȘI nu ați atribuit acel rol principalului de serviciu OpenAI

    • Microsoft.KeyVault/vaults/keys/encrypt/action

    • Microsoft.KeyVault/vaults/keys/decrypt/action

Numele cheii nu corespunde modelului

„„'key_name' nevalid: șirul nu corespunde modelului. Era de așteptat un șir care corespunde modelului '^org-[0-9a-zA-Z-]*--[0-9a-zA-Z-]*$'.”

Vă rugăm să prefixați numele cheii din Key Vault cu ID-ul organizației dvs. OpenAI.

Aceasta este cea mai bună practică recomandată de echipa de securitate pentru a preveni înregistrarea cheii dvs. din key vault de către un alt utilizator. Validăm potrivirea ID-ului de org la înregistrarea cheii și la fiecare cerere către key vault-ul dvs.

A fost util acest articol?