AWS
Không được phép thực hiện: sts:AssumeRole
Người dùng: arn:aws:sts::xxxxx:assumed-role/EnterpriseKeyManagement/OpenAI-EKM-Service không được phép thực hiện: sts:AssumeRole trên tài nguyên: arn:aws:iam::xxxxx:role/xxxxxxXác minh principal và ExternalId trong chính sách tin cậy của bạn
Hãy đảm bảo bạn đã làm theo phần này của tài liệu, bao gồm CẢ việc nhận diện principal của OpenAI và cấu hình sts:ExternalId
Nếu bạn đã thêm sts:ExternalId, hãy đảm bảo đó là cùng ID tổ chức OpenAI mà bạn đang áp dụng EKM, chứ không phải một tổ chức khác như tổ chức cá nhân.
Xác minh liên kết chính sách tin cậy với ARN vai trò
Xác minh rằng chính sách tin cậy của bạn đã được lưu đúng vào ARN vai trò mà bạn đã cung cấp
Đồng thời xác minh rằng bạn đã cung cấp đúng ARN vai trò. Nếu ARN của bạn bị nhập sai và không tồn tại, chúng ta sẽ gặp cùng một lỗi như khi vai trò tồn tại nhưng từ chối quyền.

Không được phép thực hiện: kms:Encrypt trên tài nguyên
Người dùng: xxxxx không được phép thực hiện: kms:Encrypt trên tài nguyênHãy đảm bảo chính sách IAM của bạn cấp kms:Encrypt và kms:Decrypt cho vai trò của OpenAI.
Nếu bạn cũng đã thêm chính sách khóa, hãy đảm bảo chính sách đó cũng cấp kms:Encrypt và kms:Decrypt cho vai trò của OpenAI.
GCP
Không lấy được token GCP STS cho audience
Không lấy được token GCP STS cho audience //iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx: {'error': 'invalid_request', 'error_description': 'Giá trị không hợp lệ cho \"audience\". Giá trị này phải là tên tài nguyên đầy đủ của Nhà cung cấp danh tính. Xem https://cloud.google.com/iam/docs/reference/sts/rest/v1/TopLevel/token để biết danh sách các định dạng có thể có.GCP yêu cầu audience có định dạng
iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx
Hãy đảm bảo bạn đã cung cấp đúng tham số khi đăng ký khóa với OpenAI bằng Khóa bên ngoài trong API Quản lý
Đảm bảo workload_identity_project_number là số dự án GCP gồm 12 chữ số của bạn
Đảm bảo workload_identity_pool_id là chính xác
Đảm bảo workload_identity_provider_id là chính xác
Giá trị audience trong ID token không khớp với audience dự kiến
Không lấy được token GCP STS cho audience //iam.googleapis.com/projects/xxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxx: {'error': 'invalid_grant', 'error_description': 'Giá trị audience trong ID token [xxxxx] không khớp với audience dự kiến xxxxxxx.'}Hãy đảm bảo trường audience mà bạn cung cấp khi đăng ký cấu hình với OpenAI (Khóa bên ngoài trong API Quản lý) nằm trong một trong các Allowed Audiences cho nhà cung cấp danh tính khối lượng công việc của bạn. Chúng tôi khuyến nghị sử dụng ID tổ chức OpenAI của bạn.
Azure
Ứng dụng khách thiếu service principal
Ứng dụng khách xxxxx thiếu service principal trong tenant xxxxx. Xem hướng dẫn tại đây: https://go.microsoft.com/fwlink/?linkid=2225119Hãy đảm bảo bạn đã làm đúng các bước tạo service principal như được nêu trong Hướng dẫn tích hợp OpenAI / Azure EKM.
Bên gọi không được phép thực hiện hành động trên tài nguyên
Bên gọi không được phép thực hiện hành động trên tài nguyên. Nếu các phép gán vai trò, phép gán từ chối hoặc định nghĩa vai trò vừa được thay đổi gần đây, vui lòng chờ thời gian lan truyền.Cùng một lỗi này có thể xuất hiện vì nhiều lý do
Bạn đã cung cấp sai tên khóa hoặc URI vault, hoặc một giá trị không tồn tại
Bạn chưa tạo vai trò có các hành động dữ liệu này VÀ gán vai trò đó cho service principal của OpenAI
Microsoft.KeyVault/vaults/keys/encrypt/action
Microsoft.KeyVault/vaults/keys/decrypt/action
Tên khóa không khớp với mẫu
“'key_name' không hợp lệ: chuỗi không khớp với mẫu. Dự kiến một chuỗi khớp với mẫu '^org-[0-9a-zA-Z-]*--[0-9a-zA-Z-]*$'.”Vui lòng thêm tiền tố là ID tổ chức OpenAI vào tên khóa Key Vault của bạn.
Đây là phương pháp hay nhất do nhóm bảo mật khuyến nghị nhằm ngăn khóa Key Vault của bạn bị người dùng khác đăng ký. Chúng tôi xác thực ID tổ chức khớp khi đăng ký khóa và trong mọi yêu cầu gửi đến Key Vault của bạn.
