AWS
Немає дозволу виконувати: sts:AssumeRole
Користувач: arn:aws:sts::xxxxx:assumed-role/EnterpriseKeyManagement/OpenAI-EKM-Service не має дозволу виконувати: sts:AssumeRole для ресурсу: arn:aws:iam::xxxxx:role/xxxxxxПеревірте principal і ExternalId у вашій політиці довіри
Переконайтеся, що ви виконали цей розділ документації, включно з ОБОМА діями: розпізнаванням principal OpenAI та налаштуванням sts:ExternalId
Якщо ви вже вказали sts:ExternalId, переконайтеся, що це той самий ID організації OpenAI, до якої ви застосовуєте EKM, а не інша організація, наприклад особиста.
Перевірте зв’язок політики довіри з ARN ролі
Переконайтеся, що вашу політику довіри належно збережено для вказаного ARN ролі
Також перевірте, що ви вказали правильний ARN ролі. Якщо у вашому ARN є помилка й він не існує, ми отримаємо ту саму помилку, що й у випадку, коли роль існує, але забороняє дозволи.
Немає дозволу виконувати: kms:Encrypt для ресурсу
Користувач: xxxxx не має дозволу виконувати: kms:Encrypt для ресурсуПереконайтеся, що ваша політика IAM надає kms:Encrypt і kms:Decrypt ролі OpenAI.
Якщо ви також додали політику ключа, переконайтеся, що вона також надає kms:Encrypt і kms:Decrypt ролі OpenAI.
GCP
Не вдалося отримати GCP STS токен для аудиторії
Не вдалося отримати GCP STS токен для аудиторії //iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx: {'error': 'invalid_request', 'error_description': 'Недійсне значення для \"audience\". Це значення має бути повним ім’ям ресурсу постачальника ідентифікації. Список можливих форматів див. на https://cloud.google.com/iam/docs/reference/sts/rest/v1/TopLevel/tokenGCP очікує аудиторію у форматі
iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx
Переконайтеся, що під час реєстрації ключа в OpenAI за допомогою Зовнішніх ключів у Management API ви вказали правильні параметри
Переконайтеся, що workload_identity_project_number — це 12-значний номер вашого проєкту GCP
Переконайтеся, що workload_identity_pool_id правильний
Переконайтеся, що workload_identity_provider_id правильний
Аудиторія в ID-токені не збігається з очікуваною аудиторією
Не вдалося отримати GCP STS токен для аудиторії //iam.googleapis.com/projects/xxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxx: {'error': 'invalid_grant', 'error_description': 'Аудиторія в ID Token [xxxxx] не збігається з очікуваною аудиторією xxxxxxx.'}Переконайтеся, що поле audience, яке ви вказуєте під час реєстрації конфігурації в OpenAI (Зовнішні ключі в Management API ), входить до одного з дозволених значень аудиторії для вашого постачальника ідентифікації робочого навантаження. Рекомендуємо використовувати ID вашої організації OpenAI.
Azure
У клієнтського застосунку відсутній суб’єкт-служба
У клієнтського застосунку xxxxx відсутній суб’єкт-служба в клієнті xxxxx. Інструкції див. тут: https://go.microsoft.com/fwlink/?linkid=2225119Переконайтеся, що ви точно виконали створення суб’єкта-служби, як описано в інструкціях з інтеграції OpenAI / Azure EKM.
Викликальник не має дозволу виконувати дію з ресурсом
Викликальник не має дозволу виконувати дію з ресурсом. Якщо призначення ролей, призначення заборон або визначення ролей було нещодавно змінено, зачекайте на поширення змін.Ця сама помилка може з’являтися з кількох причин
Ви вказали неправильне ім’я ключа або URI сховища, або такого ресурсу не існує
Ви не створили роль із цими діями з даними ТА не призначили цю роль суб’єкту-службі OpenAI
Microsoft.KeyVault/vaults/keys/encrypt/action
Microsoft.KeyVault/vaults/keys/decrypt/action
Ім’я ключа не відповідає шаблону
"Недійсне значення 'key_name': рядок не відповідає шаблону. Очікується рядок, що відповідає шаблону '^org-[0-9a-zA-Z-]*--[0-9a-zA-Z-]*$'."Додайте до імені ключа Key Vault префікс із ID вашої організації OpenAI.
Це найкраща практика, рекомендована службою безпеки, щоб запобігти реєстрації вашого ключа сховища іншим користувачем. Ми перевіряємо збіг ID організації під час реєстрації ключа та під час кожного запиту до вашого сховища ключів.