AWS
Neautorizat să efectueze: sts:AssumeRole
Utilizatorul: arn:aws:sts::xxxxx:assumed-role/EnterpriseKeyManagement/OpenAI-EKM-Service nu este autorizat să efectueze: sts:AssumeRole asupra resursei: arn:aws:iam::xxxxx:role/xxxxxxVerificați principalul și ExternalId din politica de încredere
Asigurați-vă că ați urmat această secțiune din documentație, inclusiv AMBELE cerințe: recunoașterea principalului OpenAI și configurarea unui sts:ExternalId
Dacă ați introdus deja un sts:ExternalId, asigurați-vă că acesta este același ID al organizației OpenAI pentru care aplicați EKM, nu o altă organizație, cum ar fi una personală.
Verificați asocierea politicii de încredere cu ARN-ul rolului
Verificați dacă politica de încredere a fost salvată corect pentru ARN-ul rolului pe care l-ați furnizat
Verificați și dacă ați furnizat ARN-ul corect al rolului. Dacă ARN-ul este scris greșit și nu există, vom primi aceeași eroare ca atunci când rolul există, dar refuză permisiunile.

Neautorizat să efectueze: kms:Encrypt asupra resursei
Utilizatorul: xxxxx nu este autorizat să efectueze: kms:Encrypt asupra resurseiAsigurați-vă că politica IAM acordă kms:Encrypt și kms:Decrypt rolului OpenAI.
Dacă ați adăugat și o politică de cheie, asigurați-vă că aceasta acordă, de asemenea, kms:Encrypt și kms:Decrypt rolului OpenAI.
GCP
Nu s-a putut obține tokenul GCP STS pentru audiență
Nu s-a putut obține tokenul GCP STS pentru audiența //iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx: {'error': 'invalid_request', 'error_description': 'Valoare nevalidă pentru \"audience\". Această valoare trebuie să fie numele complet al resursei furnizorului de identitate. Consultați https://cloud.google.com/iam/docs/reference/sts/rest/v1/TopLevel/token pentru lista formatelor posibile.GCP se așteaptă la o audiență cu formatul
iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx
Asigurați-vă că ați furnizat parametrii corecți când v-ați înregistrat cheia la OpenAI folosind Chei externe în API-ul de gestionare
Asigurați-vă că workload_identity_project_number este numărul de proiect GCP din 12 cifre
Asigurați-vă că workload_identity_pool_id este corect
Asigurați-vă că workload_identity_provider_id este corect
Audiența din tokenul ID nu corespunde audienței așteptate
Nu s-a putut obține tokenul GCP STS pentru audiența //iam.googleapis.com/projects/xxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxx: {'error': 'invalid_grant', 'error_description': 'Audiența din tokenul ID [xxxxx] nu corespunde audienței așteptate xxxxxxx.'}Asigurați-vă că valoarea din câmpul audience pe care o furnizați când vă înregistrați configurația la OpenAI (Chei externe în API-ul de gestionare ) se află într-una dintre audiențele permise pentru furnizorul dvs. de identitate de workload. Recomandăm să folosiți ID-ul organizației OpenAI.
Azure
Aplicației client îi lipsește principalul de serviciu
Aplicației client xxxxx îi lipsește principalul de serviciu în entitatea găzduită xxxxx. Consultați instrucțiunile aici: https://go.microsoft.com/fwlink/?linkid=2225119Asigurați-vă că ați urmat cu exactitate pașii pentru crearea principalului de serviciu, așa cum sunt descriși în instrucțiunile de integrare OpenAI / Azure EKM.
Apelantul nu este autorizat să efectueze acțiunea asupra resursei
Apelantul nu este autorizat să efectueze acțiunea asupra resursei. Dacă atribuirile de rol, atribuirile de refuz sau definițiile de rol au fost modificate recent, țineți cont de timpul de propagare.Aceeași eroare poate apărea din mai multe motive
Ați furnizat un nume de cheie sau un URI de seif greșit ori unul care nu există
Nu ați creat un rol cu aceste acțiuni asupra datelor ȘI nu ați atribuit rolul respectiv principalului de serviciu al OpenAI
Microsoft.KeyVault/vaults/keys/encrypt/action
Microsoft.KeyVault/vaults/keys/decrypt/action
Numele cheii nu corespunde modelului
„Valoare nevalidă pentru 'key_name': șirul nu corespunde modelului. Se aștepta un șir care corespunde modelului '^org-[0-9a-zA-Z-]*--[0-9a-zA-Z-]*$'.”Adăugați ca prefix la numele cheii Key Vault ID-ul organizației OpenAI.
Aceasta este practica recomandată de echipa de securitate pentru a împiedica înregistrarea cheii dvs. Key Vault de către alt utilizator. Validăm că ID-ul organizației corespunde la înregistrarea cheii și la fiecare solicitare către Key Vault.
