OpenAI
Trang này được dịch bằng máy học. Xem bài viết gốc bằng tiếng Anh.

Câu hỏi thường gặp về khắc phục sự cố khi triển khai EKM

Các lỗi thường gặp khi triển khai EKM và cách khắc phục cho AWS, GCP và Azure

Đã cập nhật: 18 days ago

AWS

Không được phép thực hiện: sts:AssumeRole

Người dùng: arn:aws:sts::xxxxx:assumed-role/EnterpriseKeyManagement/OpenAI-EKM-Service không được phép thực hiện: sts:AssumeRole trên tài nguyên: arn:aws:iam::xxxxx:role/xxxxxx

Xác minh principal và ExternalId trong chính sách tin cậy của bạn

Hãy đảm bảo bạn đã làm theo phần này của tài liệu, bao gồm CẢ việc nhận diện principal của OpenAI và cấu hình sts:ExternalId

Nếu bạn đã thêm sts:ExternalId, hãy đảm bảo đó là cùng ID tổ chức OpenAI mà bạn đang áp dụng EKM, chứ không phải một tổ chức khác như tổ chức cá nhân.

Xác minh liên kết chính sách tin cậy với ARN vai trò

Xác minh rằng chính sách tin cậy của bạn đã được lưu đúng vào ARN vai trò mà bạn đã cung cấp

Đồng thời xác minh rằng bạn đã cung cấp đúng ARN vai trò. Nếu ARN của bạn bị nhập sai và không tồn tại, chúng ta sẽ gặp cùng một lỗi như khi vai trò tồn tại nhưng từ chối quyền.

AWS IAM role details with Trust relationships tab open and the role ARN highlighted

Không được phép thực hiện: kms:Encrypt trên tài nguyên

Người dùng: xxxxx không được phép thực hiện: kms:Encrypt trên tài nguyên

Hãy đảm bảo chính sách IAM của bạn cấp kms:Encrypt kms:Decrypt cho vai trò của OpenAI.

Nếu bạn cũng đã thêm chính sách khóa, hãy đảm bảo chính sách đó cũng cấp kms:Encrypt kms:Decrypt cho vai trò của OpenAI.

GCP

Không lấy được token GCP STS cho audience

Không lấy được token GCP STS cho audience //iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx: {'error': 'invalid_request', 'error_description': 'Giá trị không hợp lệ cho \"audience\". Giá trị này phải là tên tài nguyên đầy đủ của Nhà cung cấp danh tính. Xem https://cloud.google.com/iam/docs/reference/sts/rest/v1/TopLevel/token để biết danh sách các định dạng có thể có.

GCP yêu cầu audience có định dạng

iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx

Hãy đảm bảo bạn đã cung cấp đúng tham số khi đăng ký khóa với OpenAI bằng Khóa bên ngoài trong API Quản lý

  • Đảm bảo workload_identity_project_number là số dự án GCP gồm 12 chữ số của bạn

  • Đảm bảo workload_identity_pool_id là chính xác

  • Đảm bảo workload_identity_provider_id là chính xác

Giá trị audience trong ID token không khớp với audience dự kiến

Không lấy được token GCP STS cho audience //iam.googleapis.com/projects/xxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxx: {'error': 'invalid_grant', 'error_description': 'Giá trị audience trong ID token [xxxxx] không khớp với audience dự kiến xxxxxxx.'}

Hãy đảm bảo trường audience mà bạn cung cấp khi đăng ký cấu hình với OpenAI (Khóa bên ngoài trong API Quản lý) nằm trong một trong các Allowed Audiences cho nhà cung cấp danh tính khối lượng công việc của bạn. Chúng tôi khuyến nghị sử dụng ID tổ chức OpenAI của bạn.

Azure

Ứng dụng khách thiếu service principal

Ứng dụng khách xxxxx thiếu service principal trong tenant xxxxx. Xem hướng dẫn tại đây: https://go.microsoft.com/fwlink/?linkid=2225119

Hãy đảm bảo bạn đã làm đúng các bước tạo service principal như được nêu trong Hướng dẫn tích hợp OpenAI / Azure EKM.

Bên gọi không được phép thực hiện hành động trên tài nguyên

Bên gọi không được phép thực hiện hành động trên tài nguyên. Nếu các phép gán vai trò, phép gán từ chối hoặc định nghĩa vai trò vừa được thay đổi gần đây, vui lòng chờ thời gian lan truyền.

Cùng một lỗi này có thể xuất hiện vì nhiều lý do

  • Bạn đã cung cấp sai tên khóa hoặc URI vault, hoặc một giá trị không tồn tại

  • Bạn chưa tạo vai trò có các hành động dữ liệu này VÀ gán vai trò đó cho service principal của OpenAI

    • Microsoft.KeyVault/vaults/keys/encrypt/action

    • Microsoft.KeyVault/vaults/keys/decrypt/action

Tên khóa không khớp với mẫu

“'key_name' không hợp lệ: chuỗi không khớp với mẫu. Dự kiến một chuỗi khớp với mẫu '^org-[0-9a-zA-Z-]*--[0-9a-zA-Z-]*$'.”

Vui lòng thêm tiền tố là ID tổ chức OpenAI vào tên khóa Key Vault của bạn.

Đây là phương pháp hay nhất do nhóm bảo mật khuyến nghị nhằm ngăn khóa Key Vault của bạn bị người dùng khác đăng ký. Chúng tôi xác thực ID tổ chức khớp khi đăng ký khóa và trong mọi yêu cầu gửi đến Key Vault của bạn.

Bài viết này có hữu ích không?