AWS
Không được phép thực hiện: sts:AssumeRole
Người dùng: arn:aws:sts::xxxxx:assumed-role/EnterpriseKeyManagement/OpenAI-EKM-Service không được phép thực hiện: sts:AssumeRole trên tài nguyên: arn:aws:iam::xxxxx:role/xxxxxxXác minh principal và ExternalId trong trust policy của bạn
Hãy bảo đảm bạn đã làm theo phần này trong tài liệu, bao gồm CẢ HAI việc nhận diện principal của OpenAI và cấu hình sts:ExternalId
Nếu bạn đã thêm sts:ExternalId, hãy bảo đảm đó là cùng mã tổ chức OpenAI mà bạn đang áp dụng EKM, không phải một tổ chức khác như tổ chức cá nhân.
Xác minh trust policy được liên kết với role ARN
Xác minh rằng trust policy của bạn đã được lưu đúng vào role ARN mà bạn đã cung cấp
Ngoài ra, hãy xác minh rằng bạn đã cung cấp đúng role ARN. Nếu ARN của bạn bị viết sai và không tồn tại, chúng tôi sẽ nhận cùng lỗi như khi role tồn tại nhưng từ chối quyền.
Không được phép thực hiện: kms:Encrypt trên tài nguyên
Người dùng: xxxxx không được phép thực hiện: kms:Encrypt trên tài nguyênHãy bảo đảm rằng IAM policy của bạn cấp quyền kms:Encrypt và kms:Decrypt cho role của OpenAI.
Nếu bạn cũng đã thêm key policy, hãy bảo đảm rằng nó cũng cấp quyền kms:Encrypt và kms:Decrypt cho role của OpenAI.
GCP
Không thể lấy token GCP STS cho audience
Không thể lấy token GCP STS cho audience //iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx: {'error': 'invalid_request', 'error_description': 'Giá trị không hợp lệ cho ">audience". Giá trị này phải là tên tài nguyên đầy đủ của Identity Provider. Xem https://cloud.google.com/iam/docs/reference/sts/rest/v1/TopLevel/token để biết danh sách các định dạng có thể dùng.GCP yêu cầu audience có định dạng
iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx
Hãy bảo đảm rằng bạn đã cung cấp đúng các tham số khi đăng ký khóa của mình với OpenAI bằng External Keys in the Management API
Đảm bảo workload_identity_project_number là số dự án GCP gồm 12 chữ số của bạn
Đảm bảo workload_identity_pool_id là chính xác
Đảm bảo workload_identity_provider_id là chính xác
Audience trong ID token không khớp với audience dự kiến
Không thể lấy token GCP STS cho audience //iam.googleapis.com/projects/xxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxx: {'error': 'invalid_grant', 'error_description': 'Audience trong ID Token [xxxxx] không khớp với audience dự kiến xxxxxxx.'}Hãy bảo đảm rằng trường audience bạn cung cấp khi đăng ký cấu hình của mình với OpenAI (External Keys in the Management API ) nằm trong một trong các Allowed Audiences của workload identity provider của bạn. Chúng tôi khuyên bạn nên dùng mã tổ chức OpenAI của mình.
Azure
Ứng dụng khách thiếu service principal
Ứng dụng khách xxxxx đang thiếu service principal trong tenant xxxxx. Xem hướng dẫn tại đây: https://go.microsoft.com/fwlink/?linkid=2225119Hãy bảo đảm rằng bạn đã thực hiện chính xác việc tạo service principal như được nêu trong Hướng dẫn tích hợp EKM OpenAI / Azure.
Caller không được phép thực hiện hành động trên tài nguyên
Caller không được phép thực hiện hành động trên tài nguyên. Nếu việc gán vai trò, gán từ chối hoặc định nghĩa vai trò mới được thay đổi gần đây, vui lòng chờ thời gian lan truyền.Lỗi này cũng có thể xuất hiện vì một số lý do
Bạn đã cung cấp sai key name hoặc vault uri, hoặc cung cấp một giá trị không tồn tại
Bạn chưa tạo vai trò có các data action này VÀ gán vai trò đó cho service principal của OpenAI
Microsoft.KeyVault/vaults/keys/encrypt/action
Microsoft.KeyVault/vaults/keys/decrypt/action
Key name không khớp với mẫu
"'key_name' không hợp lệ: chuỗi không khớp với mẫu. Cần một chuỗi khớp với mẫu '^org-[0-9a-zA-Z-]*--[0-9a-zA-Z-]*$'."Vui lòng thêm tiền tố mã tổ chức OpenAI của bạn vào key name trong Key Vault.
Đây là thực tiễn tốt nhất được bộ phận bảo mật khuyến nghị để ngăn khóa key vault của bạn bị đăng ký bởi người dùng khác. Chúng tôi xác thực org id có khớp khi đăng ký khóa và trong mọi yêu cầu gửi tới key vault của bạn.