AWS
Нет прав для выполнения: sts:AssumeRole
Пользователь: arn:aws:sts::xxxxx:assumed-role/EnterpriseKeyManagement/OpenAI-EKM-Service не авторизован для выполнения операции sts:AssumeRole с ресурсом: arn:aws:iam::xxxxx:role/xxxxxxПроверьте параметры principal и ExternalId в вашей политике доверия
Убедитесь, что вы выполнили инструкции из этого раздела документации, включая ОБА действия: распознавание главного субъекта OpenAI и настройку sts:ExternalId.
Если вы уже указали sts:ExternalId, убедитесь, что вы применяете EKM к тому же ID организации OpenAI, а не ID другой организации — например, личной.
Проверьте связь политики доверия с ARN роли
Убедитесь, что политика доверия была корректно сохранена для ARN роли, который вы указали.
Также убедитесь, что вы указали правильный ARN роли. Если ваш ARN указан с ошибкой и такого ARN не существует, мы получим ту же ошибку, как и в случае, если роль существует, но не предоставляет разрешения.

Нет прав на выполнение: kms:Encrypt с ресурсом
Пользователь: xxxxx не авторизован для выполнения операции kms:Encrypt с ресурсомУбедитесь, что ваша политика IAM предоставляет разрешения kms:Encrypt и kms:Decrypt роли OpenAI.
Если вы также добавили политику ключа, убедитесь, что она тоже предоставляет разрешения kms:Encrypt и kms:Decrypt роли OpenAI.
GCP
Не удалось получить токен GCP STS для аудитории
Не удалось получить токен GCP STS для аудитории //iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx: {'error': 'invalid_request', 'error_description': 'Invalid value for \"audience\". Это значение должно быть полным именем ресурса поставщика удостоверений. См. https://cloud.google.com/iam/docs/reference/sts/rest/v1/TopLevel/token (список возможных форматов).GCP ожидает параметр audience в формате
iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx
Убедитесь, что при регистрации вашего ключа в OpenAI вы указали правильные параметры; см. «Внешние ключи в API управления»
Убедитесь, что workload_identity_project_number — это ваш 12-значный номер проекта GCP
Убедитесь, что workload_identity_pool_id указан правильно
Убедитесь, что workload_identity_provider_id указан правильно
Поле audience в ID-токене не соответствует ожидаемой аудитории
Не удалось получить токен GCP STS для аудитории //iam.googleapis.com/projects/xxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxx: {'error': 'invalid_grant', 'error_description': 'The audience in ID Token [xxxxx] does not match the expected audience xxxxxxx.'}Убедитесь, что значение в поле audience, которое вы указываете при регистрации своей конфигурации в OpenAI («Внешние ключи в API управления» ), входит в число разрешенных аудиторий для вашего поставщика удостоверений рабочей нагрузки. Мы рекомендуем использовать ID вашей организации OpenAI.
Azure
В клиентском приложении отсутствует служебная учетная запись
В арендаторе xxxxx отсутствует служебный субъект для клиентского приложения xxxxx. См. инструкции здесь: https://go.microsoft.com/fwlink/?linkid=2225119Убедитесь, что вы правильно выполнили создание субъекта службы, как описано в инструкциях по интеграции OpenAI / Azure EKM.
Инициатор вызова не авторизован для выполнения действия с ресурсом
Инициатор вызова не авторизован для выполнения действия с ресурсом. Если назначения ролей, запреты назначения или определения ролей были недавно изменены, подождите, пока изменения будут применены.Эта же ошибка может возникать по нескольким причинам
Вы указали неверное имя ключа или URI хранилища либо несуществующий URI
Вы не создали роль с этими действиями с данными и не назначили эту роль служебному субъекту OpenAI
Microsoft.KeyVault/vaults/keys/encrypt/action
Microsoft.KeyVault/vaults/keys/decrypt/action
Имя ключа не соответствует шаблону
"Invalid 'key_name': string does not match pattern. Expected a string that matches the pattern '^org-[0-9a-zA-Z-]*--[0-9a-zA-Z-]*$'."Укажите ID вашей организации OpenAI в начале имени ключа для хранилища ключей.
Это рекомендуемая в целях безопасности мера, позволяющая предотвратить регистрацию ключа хранилища ключей другим пользователем. Мы проверяем совпадения идентификаторов организации при регистрации ключа и при каждом запросе в ваш хранилище ключей.
