AWS

ไม่มีสิทธิ์ดำเนินการ: sts:AssumeRole

ผู้ใช้: arn:aws:sts::xxxxx:assumed-role/EnterpriseKeyManagement/OpenAI-EKM-Service ไม่มีสิทธิ์ดำเนินการ: sts:AssumeRole บนทรัพยากร: arn:aws:iam::xxxxx:role/xxxxxx

ตรวจสอบ principal และ ExternalId ใน trust policy ของคุณ

ตรวจสอบให้แน่ใจว่าคุณได้ทำตามส่วนนี้ในเอกสารแล้ว รวมถึงทั้งการระบุ principal ของ OpenAI และการกำหนดค่า sts:ExternalId

หากคุณได้ใส่ sts:ExternalId แล้ว ตรวจสอบให้แน่ใจว่านี่คือ OpenAI organization ID เดียวกัน ที่คุณกำลังใช้กับ EKM ไม่ใช่องค์กรอื่น เช่น องค์กรส่วนตัว

ตรวจสอบความเชื่อมโยงของ trust policy กับ role ARN

ตรวจสอบว่า trust policy ของคุณถูกบันทึกไปยัง role ARN ที่คุณให้ไว้อย่างถูกต้อง

ตรวจสอบด้วยว่าคุณได้ระบุ role ARN ที่ถูกต้อง หาก ARN ของคุณสะกดผิดและไม่มีอยู่จริง เราจะได้รับข้อผิดพลาดเดียวกันกับกรณีที่ role มีอยู่แต่ปฏิเสธสิทธิ์

ไม่มีสิทธิ์ดำเนินการ: kms:Encrypt บนทรัพยากร

ผู้ใช้: xxxxx ไม่มีสิทธิ์ดำเนินการ: kms:Encrypt บนทรัพยากร

ตรวจสอบให้แน่ใจว่า IAM policy ของคุณให้สิทธิ์ kms:Encrypt และ kms:Decrypt แก่ role ของ OpenAI

หากคุณเพิ่ม key policy ด้วย ให้ตรวจสอบว่ามีการให้สิทธิ์ kms:Encrypt และ kms:Decrypt แก่ role ของ OpenAI เช่นกัน

GCP

ไม่สามารถรับ GCP STS token สำหรับ audience

ไม่สามารถรับ GCP STS token สำหรับ audience //iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx: {'error': 'invalid_request', 'error_description': 'ค่า "audience" ไม่ถูกต้อง ค่านี้ควรเป็นชื่อทรัพยากรแบบเต็มของ Identity Provider ดู https://cloud.google.com/iam/docs/reference/sts/rest/v1/TopLevel/token สำหรับรายการรูปแบบที่เป็นไปได้

GCP คาดหวัง audience ในรูปแบบ

iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx

ตรวจสอบให้แน่ใจว่าคุณได้ระบุพารามิเตอร์ที่ถูกต้องเมื่อคุณลงทะเบียนคีย์กับ OpenAI โดยใช้ External Keys in the Management API

• ตรวจสอบให้แน่ใจว่า workload_identity_project_number คือหมายเลขโปรเจกต์ GCP 12 หลักของคุณ

• ตรวจสอบให้แน่ใจว่า workload_identity_pool_id ถูกต้อง

• ตรวจสอบให้แน่ใจว่า workload_identity_provider_id ถูกต้อง

audience ใน ID token ไม่ตรงกับ audience ที่คาดไว้

ไม่สามารถรับ GCP STS token สำหรับ audience //iam.googleapis.com/projects/xxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxx: {'error': 'invalid_grant', 'error_description': 'audience ใน ID Token [xxxxx] ไม่ตรงกับ audience ที่คาดไว้ xxxxxxx.'}

ตรวจสอบให้แน่ใจว่าฟิลด์ audience ที่คุณระบุเมื่อคุณลงทะเบียน config กับ OpenAI (External Keys in the Management API ) อยู่ใน Allowed Audiences รายการใดรายการหนึ่งของ workload identity provider ของคุณ เราแนะนำให้ใช้ OpenAI organization ID ของคุณ

Azure

แอปพลิเคชันไคลเอนต์ไม่มี service principal

แอปพลิเคชันไคลเอนต์ xxxxx ไม่มี service principal ใน tenant xxxxx ดูคำแนะนำได้ที่นี่: https://go.microsoft.com/fwlink/?linkid=2225119

ตรวจสอบให้แน่ใจว่าคุณได้สร้าง service principal อย่างถูกต้องตามที่ระบุไว้ใน คำแนะนำการผสานรวม OpenAI / Azure EKM

ผู้เรียกไม่มีสิทธิ์ดำเนินการกับทรัพยากร

ผู้เรียกไม่มีสิทธิ์ดำเนินการกับทรัพยากร หากมีการเปลี่ยนแปลงการกำหนดบทบาท การกำหนดการปฏิเสธ หรือคำนิยามบทบาทเมื่อไม่นานมานี้ โปรดเผื่อเวลาให้การเปลี่ยนแปลงมีผล

ข้อผิดพลาดเดียวกันนี้อาจเกิดขึ้นได้จากหลายสาเหตุ

• คุณระบุชื่อคีย์หรือ vault uri ไม่ถูกต้อง หรือระบุค่าที่ไม่มีอยู่จริง

• คุณไม่ได้สร้างบทบาทที่มี data actions เหล่านี้ AND กำหนดบทบาทนั้นให้กับ service principal ของ OpenAI

  • Microsoft.KeyVault/vaults/keys/encrypt/action

  • Microsoft.KeyVault/vaults/keys/decrypt/action

ชื่อคีย์ไม่ตรงกับรูปแบบ

"'key_name' ไม่ถูกต้อง: สตริงไม่ตรงกับรูปแบบ คาดว่าจะเป็นสตริงที่ตรงกับรูปแบบ '^org-[0-9a-zA-Z-]*--[0-9a-zA-Z-]*$'."

โปรดใส่ OpenAI organization ID ของคุณเป็นคำนำหน้าชื่อคีย์ Key Vault

นี่เป็นแนวทางปฏิบัติที่ดีที่สุดที่ฝ่ายความปลอดภัยแนะนำ เพื่อป้องกันไม่ให้คีย์ใน key vault ของคุณถูกลงทะเบียนโดยผู้ใช้อื่น เราจะตรวจสอบว่า org id ตรงกันเมื่อมีการลงทะเบียนคีย์และในการร้องขอทุกครั้งไปยัง key vault ของคุณ