AWS
Nemáte oprávnenie vykonať: sts:AssumeRole
Používateľ: arn:aws:sts::xxxxx:assumed-role/EnterpriseKeyManagement/OpenAI-EKM-Service nemá oprávnenie vykonať: sts:AssumeRole na prostriedku: arn:aws:iam::xxxxx:role/xxxxxxOverte principal a ExternalId vo svojej politike dôveryhodnosti
Uistite sa, že ste postupovali podľa tejto časti dokumentácie vrátane OBOCH krokov: rozpoznania principal OpenAI a konfigurácie sts:ExternalId
Ak ste už pridali sts:ExternalId, uistite sa, že ide o rovnaké ID organizácie OpenAI, na ktorú aplikujete EKM, nie o inú organizáciu, napríklad osobnú.
Overte prepojenie politiky dôveryhodnosti s ARN roly
Overte, či bola vaša politika dôveryhodnosti správne uložená k zadanému ARN roly
Overte tiež, že ste zadali správne ARN roly. Ak je vaše ARN zadané nesprávne a neexistuje, zobrazí sa rovnaká chyba, ako keby rola existovala, ale odmietala oprávnenia.
Nemáte oprávnenie vykonať: kms:Encrypt na prostriedku
Používateľ: xxxxx nemá oprávnenie vykonať: kms:Encrypt na prostriedkuUistite sa, že vaša politika IAM udeľuje roly OpenAI oprávnenia kms:Encrypt a kms:Decrypt.
Ak ste pridali aj politiku kľúča, uistite sa, že aj tá udeľuje roly OpenAI oprávnenia kms:Encrypt a kms:Decrypt.
GCP
Nepodarilo sa získať token GCP STS pre audience
Nepodarilo sa získať token GCP STS pre audience //iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx: {'error': 'invalid_request', 'error_description': 'Neplatná hodnota pre \"audience\". Táto hodnota má byť úplný názov prostriedku poskytovateľa identity. Zoznam možných formátov nájdete na https://cloud.google.com/iam/docs/reference/sts/rest/v1/TopLevel/token.GCP očakáva hodnotu audience vo formáte
iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx
Uistite sa, že ste pri registrácii kľúča v OpenAI pomocou Externých kľúčov v rozhraní Management API zadali správne parametre
Uistite sa, že workload_identity_project_number je vaše 12-miestne číslo projektu GCP
Uistite sa, že workload_identity_pool_id je správne
Uistite sa, že workload_identity_provider_id je správne
Hodnota audience v tokene ID sa nezhoduje s očakávanou hodnotou audience
Nepodarilo sa získať token GCP STS pre audience //iam.googleapis.com/projects/xxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxx: {'error': 'invalid_grant', 'error_description': 'Hodnota audience v tokene ID [xxxxx] sa nezhoduje s očakávanou hodnotou audience xxxxxxx.'}Uistite sa, že pole audience, ktoré zadávate pri registrácii konfigurácie v OpenAI (Externé kľúče v rozhraní Management API ), je medzi povolenými hodnotami audience pre vášho poskytovateľa identity pracovnej záťaže. Odporúčame použiť ID vašej organizácie OpenAI.
Azure
Klientskej aplikácii chýba objekt služby
Klientskej aplikácii xxxxx chýba objekt služby v tenantovi xxxxx. Pokyny nájdete tu: https://go.microsoft.com/fwlink/?linkid=2225119Uistite sa, že ste presne postupovali podľa krokov na vytvorenie objektu služby uvedených v časti Pokyny na integráciu OpenAI / Azure EKM.
Volajúci nemá oprávnenie vykonať akciu na prostriedku
Volajúci nemá oprávnenie vykonať akciu na prostriedku. Ak boli nedávno zmenené priradenia rolí, priradenia odmietnutia alebo definície rolí, počkajte na ich propagáciu.Tá istá chyba sa môže zobraziť z viacerých dôvodov
Zadali ste nesprávny názov kľúča alebo URI trezora, prípadne taký, ktorý neexistuje
Nevytvorili ste rolu s týmito dátovými akciami A nepriradili ste ju objektu služby OpenAI
Microsoft.KeyVault/vaults/keys/encrypt/action
Microsoft.KeyVault/vaults/keys/decrypt/action
Názov kľúča nezodpovedá vzoru
"Neplatný 'key_name': reťazec nezodpovedá vzoru. Očakáva sa reťazec zodpovedajúci vzoru '^org-[0-9a-zA-Z-]*--[0-9a-zA-Z-]*$'."Pred názov kľúča Key Vault pridajte ID svojej organizácie OpenAI.
Ide o osvedčený bezpečnostný postup, ktorý zabraňuje tomu, aby si váš kľúč Key Vault zaregistroval iný používateľ. Pri registrácii kľúča a pri každej požiadavke do vášho trezora kľúčov overujeme, či sa ID organizácie zhoduje.