AWS

未获授权执行 sts:AssumeRole

验证信任策略中的主体和 ExternalId

请确保你已按照文档中的相关说明完成配置，包括以下两项内容：正确识别 OpenAI 的主体实体，以及配置 sts:ExternalId

如果你已经设置了 sts:ExternalId，请确认其值与你正在启用 EKM 的 OpenAI 组织 ID 完全一致，而非其他组织（例如个人组织）的 ID。

验证信任策略与角色 ARN 的关联

请确认你的信任策略已正确保存到你提供的角色 ARN 中

另外，请验证你提供的角色 ARN 是否正确。如果你的 ARN 拼写错误且不存在，我们会收到与该角色存在但拒绝权限时相同的错误。

你无权对该资源执行 kms:Encrypt 操作

请确保你的 IAM 策略向 OpenAI 的角色授予了 kms:Encrypt 和 kms:Decrypt 权限。

如果你还添加了密钥策略，请确保该策略也向 OpenAI 的角色授予了 kms:Encrypt 和 kms:Decrypt 权限。

GCP

无法获取用于受众的 GCP STS 令牌

GCP 要求受众采用以下格式：

iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx

请确保你在使用管理 API 中的外部密钥向 OpenAI 注册密钥时提供了正确的参数

• 请确保 workload_identity_project_number 是你的 12 位 GCP 项目编号

• 请确保 workload_identity_pool_id 正确

• 请确保 workload_identity_provider_id 正确

ID 令牌中的受众与预期受众不匹配

请确保你在向 OpenAI 注册配置（管理 API 中的外部密钥）时提供的受众字段，包含在工作负载身份提供方的“允许的受众”列表中。我们建议使用你的 OpenAI 组织 ID。

Azure

客户端应用缺少服务主体

请确保你已按照 OpenAI / Azure EKM 集成指南中的指引创建服务主体。

调用方未被授权对资源执行操作

此错误可能因多种原因出现：

• 你提供了错误的密钥名称或保管库 URI，或者提供的是不存在的密钥名称或保管库 URI

• 你没有创建包含这些数据操作权限的角色，或没有将该角色分配给 OpenAI 的服务主体

  • Microsoft.KeyVault/vaults/keys/encrypt/action

  • Microsoft.KeyVault/vaults/keys/decrypt/action

密钥名称与模式不匹配

请在你的 Key Vault 密钥名称前加上你的 OpenAI 组织 ID 作为前缀。

这是安全团队推荐的最佳实践，可防止你的 Key Vault 密钥被其他用户注册。我们会在注册密钥时以及每次向你的 Key Vault 发出请求时，验证组织 ID 是否匹配。