OpenAI
Bu sayfanın çevirisi otomatik olarak yapılmıştır. Orijinal İngilizce makaleyi görüntüleyin.

EKM Kurulum Sorun Giderme SSS

AWS, GCP ve Azure için yaygın EKM kurulum hataları ve bunların nasıl çözüleceği

Güncellenme zamanı: 13 days ago

AWS

Şu işlemi gerçekleştirme yetkisi yok: sts:AssumeRole

Kullanıcı: arn:aws:sts::xxxxx:assumed-role/EnterpriseKeyManagement/OpenAI-EKM-Service, kaynak üzerinde şu işlemi gerçekleştirme yetkisine sahip değil: sts:AssumeRole: arn:aws:iam::xxxxx:role/xxxxxx

Güven ilkenizde principal ve ExternalId değerlerini doğrulayın

OpenAI'ın principal değerini tanıma ve bir sts:ExternalId yapılandırma işlemlerinin HER İKİSİ de dahil olmak üzere, belgelerdeki bu bölümü izlediğinizden emin olun

Eğer zaten bir sts:ExternalId eklediyseniz, bunun kişisel bir kuruluş gibi farklı bir kuruluş değil, EKM uyguladığınız aynı OpenAI kuruluş kimliği olduğundan emin olun.

Rol ARN ile güven ilkesi ilişkilendirmesini doğrulayın

Güven ilkenizin, sağladığınız rol ARN'sine düzgün şekilde kaydedildiğini doğrulayın

Ayrıca doğru rol ARN'sini verdiğinizi de doğrulayın. ARN'niz yanlış yazılmışsa ve mevcut değilse, rol mevcut olup izinleri reddediyormuş gibi aynı hatayı alırız.

AWS IAM role details with Trust relationships tab open and the role ARN highlighted

Kaynak üzerinde şu işlemi gerçekleştirme yetkisi yok: kms:Encrypt

Kullanıcı: xxxxx, kaynak üzerinde şu işlemi gerçekleştirme yetkisine sahip değil: kms:Encrypt

IAM ilkenizin OpenAI'ın rolüne kms:Encrypt ve kms:Decrypt izinlerini verdiğinden emin olun. 

Ayrıca bir anahtar ilkesi eklediyseniz, bunun da OpenAI'ın rolüne kms:Encrypt ve kms:Decrypt izinlerini verdiğinden emin olun.

GCP

Hedef kitle için GCP STS tokeni alınamadı

//iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx hedef kitlesi için GCP STS tokeni alınamadı: {'error': 'invalid_request', 'error_description': 'udience için geçersiz değer. Bu değer, Identity Provider için tam kaynak adı olmalıdır. Olası biçimlerin listesi için bkz. https://cloud.google.com/iam/docs/reference/sts/rest/v1/TopLevel/token.

GCP şu biçimde bir hedef kitle bekliyor 

iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx

Management API'de External Keys kullanarak anahtarınızı OpenAI ile kaydederken doğru parametreleri sağladığınızdan emin olun 

  • workload_identity_project_number değerinin 12 haneli GCP proje numaranız olduğundan emin olun

  • workload_identity_pool_id değerinin doğru olduğundan emin olun

  • workload_identity_provider_id değerinin doğru olduğundan emin olun

ID token içindeki hedef kitle beklenen hedef kitle ile eşleşmiyor

//iam.googleapis.com/projects/xxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxx hedef kitlesi için GCP STS tokeni alınamadı: {'error': 'invalid_grant', 'error_description': 'ID Token içindeki hedef kitle [xxxxx], beklenen hedef kitle xxxxxxx ile eşleşmiyor.'}

Yapılandırmanızı OpenAI ile kaydederken verdiğiniz audience alanının (Management API'de External Keys ) workload identity provider'ınız için Allowed Audiences değerlerinden biri olduğundan emin olun. OpenAI kuruluş kimliğinizi kullanmanızı öneririz.

Azure

İstemci uygulamasında service principal eksik

İstemci uygulaması xxxxx için xxxxx kiracısında service principal eksik. Talimatları burada bulabilirsiniz: https://go.microsoft.com/fwlink/?linkid=2225119

OpenAI / Azure EKM Integration Instructions. içindeki açıklamaya göre service principal oluşturma adımlarını doğru şekilde izlediğinizden emin olun.

Arayanın kaynak üzerinde işlem gerçekleştirme yetkisi yok

Arayanın kaynak üzerinde işlem gerçekleştirme yetkisi yok. Rol atamaları, engelleme atamaları veya rol tanımları yakın zamanda değiştirildiyse, lütfen yayılma süresini bekleyin.

Aynı hata birkaç nedenle ortaya çıkabilir

  • Yanlış anahtar adını veya vault URI'sini verdiniz ya da verdiğiniz değer mevcut değil

  • Bu veri eylemlerine sahip bir rol oluşturmadınız VE bu rolü OpenAI'ın service principal'ına atamadınız

    • Microsoft.KeyVault/vaults/keys/encrypt/action

    • Microsoft.KeyVault/vaults/keys/decrypt/action

Anahtar adı desenle eşleşmiyor

“Geçersiz 'key_name': dize desenle eşleşmiyor. '^org-[0-9a-zA-Z-]*--[0-9a-zA-Z-]*$' deseniyle eşleşen bir dize bekleniyordu.”

Lütfen Key Vault anahtar adınızın başına OpenAI kuruluş kimliğinizi ekleyin.

Bu, anahtar kasası anahtarınızın farklı bir kullanıcı tarafından kaydedilmesini önlemek için güvenlik ekibinin önerdiği en iyi uygulamadır. Anahtar kaydı sırasında ve anahtar kasanıza yapılan her istekte kuruluş kimliğinin eşleştiğini doğrularız.

Bu makale yararlı oldu mu?