OpenAI
此頁面由機器翻譯。查看原文英文文章

EKM 入門疑難排解 FAQ

AWS、GCP 及 Azure 常見的 EKM 入門錯誤及其解決方法

更新日期:3 hours ago

AWS

未獲授權執行:sts:AssumeRole

使用者:arn:aws:sts::xxxxx:assumed-role/EnterpriseKeyManagement/OpenAI-EKM-Service 未獲授權在資源 arn:aws:iam::xxxxx:role/xxxxxx 上執行:sts:AssumeRole

驗證信任政策中的 principal 和 ExternalId

請確認你已遵循文件中的此部分,包括同時識別 OpenAI 的principal 及設定 sts:ExternalId

如果你已加入 sts:ExternalId,請確認它是你要套用 EKM 的同一個 OpenAI 組織 ID,而不是其他組織,例如個人組織。

驗證信任政策與角色 ARN 的關聯

請確認你的信任政策已正確儲存到你所提供的角色 ARN

亦請確認你提供的是正確的角色 ARN。若你的 ARN 拼寫錯誤而不存在,我們會收到與角色存在但拒絕權限時相同的錯誤。

AWS IAM role details with Trust relationships tab open and the role ARN highlighted

未獲授權執行:kms:Encrypt 於資源上

使用者:xxxxx 未獲授權在資源上執行:kms:Encrypt

請確認你的 IAM policy 已向 OpenAI 的角色授予 kms:Encrypt kms:Decrypt

如果你也加入了 key policy,請確認它亦有向 OpenAI 的角色授予 kms:Encrypt kms:Decrypt

GCP

無法為 audience 取得 GCP STS token

無法為 audience //iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx 取得 GCP STS token:{'error': 'invalid_request', 'error_description': '\

GCP 預期 audience 的格式為

iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx

請確認你在使用 Management API 中的 External Keys 向 OpenAI 註冊金鑰時,提供了正確的參數

  • 請確保 workload_identity_project_number 是你的 12 位數 GCP 專案編號

  • 請確保 workload_identity_pool_id 正確

  • 請確保 workload_identity_provider_id 正確

ID token 中的 audience 與預期的 audience 不符

無法為 audience //iam.googleapis.com/projects/xxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxx 取得 GCP STS token:{'error': 'invalid_grant', 'error_description': 'ID Token [xxxxx] 中的 audience 與預期的 audience xxxxxxx 不符。'}

請確認你在向 OpenAI 註冊設定時提供的 audience 欄位(Management API 中的 External Keys)屬於你的 workload identity provider 的 Allowed Audiences 之一。我們建議使用你的 OpenAI 組織 ID。

Azure

用戶端應用程式缺少 service principal

用戶端應用程式 xxxxx 在租戶 xxxxx 中缺少 service principal。請參閱此處指示:https://go.microsoft.com/fwlink/?linkid=2225119

請確認你已準確依照 OpenAI / Azure EKM Integration Instructions.

呼叫者未獲授權在資源上執行動作

呼叫者未獲授權在資源上執行動作。若最近曾更改角色指派、拒絕指派或角色定義,請留意傳播時間。

同一錯誤可能因多個原因出現

  • 你提供了錯誤的 key name 或 vault uri,或提供了不存在的值

  • 你未有建立包含以下 data actions 的角色,並將該角色指派給 OpenAI 的 service principal

    • Microsoft.KeyVault/vaults/keys/encrypt/action

    • Microsoft.KeyVault/vaults/keys/decrypt/action

Key name 不符合模式

「無效的『key_name』:字串不符合模式。預期為符合模式『^org-[0-9a-zA-Z-]*--[0-9a-zA-Z-]*$』的字串。」

請在你的 Key Vault key name 前加上 OpenAI 組織 ID 作前綴。

這是安全團隊建議的最佳做法,可防止你的 key vault key 被其他使用者註冊。我們會在註冊金鑰時,以及每次向你的 key vault 發出請求時,驗證 org id 是否相符。

這篇文章對你有幫助嗎?