AWS
未獲授權執行:sts:AssumeRole
使用者:arn:aws:sts::xxxxx:assumed-role/EnterpriseKeyManagement/OpenAI-EKM-Service 未獲授權對資源 arn:aws:iam::xxxxx:role/xxxxxx 執行:sts:AssumeRole驗證信任政策中的 principal 和 ExternalId
請確保你已按照文件的此部分操作,包括辨識 OpenAI 的 principal 以及設定 sts:ExternalId
如果你已加入 sts:ExternalId,請確認它是你正在套用 EKM 的同一個 OpenAI 組織 ID,而不是其他組織,例如個人組織。
驗證信任政策與角色 ARN 的關聯
確認你的信任政策已正確儲存至你提供的角色 ARN
同時確認你已提供正確的角色 ARN。如果你的 ARN 拼寫錯誤且不存在,我們會收到與角色存在但拒絕權限時相同的錯誤。

未獲授權執行:kms:Encrypt(資源)
使用者:xxxxx 未獲授權對資源執行:kms:Encrypt請確保你的 IAM 政策向 OpenAI 的角色授予 kms:Encrypt 和 kms:Decrypt 權限。
如果你也新增了金鑰政策,請確保該政策同樣向 OpenAI 的角色授予 kms:Encrypt 和 kms:Decrypt 權限。
GCP
無法為 audience 取得 GCP STS token
無法為 audience //iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx 取得 GCP STS token:{'error': 'invalid_request', 'error_description': '\"audience\" 的值無效。此值應為身分識別提供者的完整資源名稱。請參閱 https://cloud.google.com/iam/docs/reference/sts/rest/v1/TopLevel/token,以查看可能格式的清單。GCP 預期 audience 採用以下格式
iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx
請確認你使用 Management API 中的外部金鑰 向 OpenAI 註冊金鑰時,已提供正確參數
確認 workload_identity_project_number 是你的 12 位數 GCP 專案編號
確認 workload_identity_pool_id 正確
確認 workload_identity_provider_id 正確
ID token 中的 audience 與預期 audience 不符
無法為 audience //iam.googleapis.com/projects/xxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxx 取得 GCP STS token:{'error': 'invalid_grant', 'error_description': 'ID Token [xxxxx] 中的 audience 與預期 audience xxxxxxx 不符。'}請確保你向 OpenAI 註冊設定(Management API 中的外部金鑰)時提供的 audience 欄位,屬於工作負載身分識別提供者的 Allowed Audiences 之一。我們建議使用你的 OpenAI 組織 ID。
Azure
用戶端應用程式缺少服務主體
用戶端應用程式 xxxxx 在租用戶 xxxxx 中缺少服務主體。請參閱此處的指示:https://go.microsoft.com/fwlink/?linkid=2225119請確保你已準確按照 OpenAI / Azure EKM 整合指示中概述的步驟建立服務主體。
呼叫者未獲授權對資源執行動作
呼叫者未獲授權對資源執行動作。如果近期曾變更角色指派、拒絕指派或角色定義,請等候變更傳播完成。同一錯誤可能因多種原因出現
你提供的金鑰名稱或 vault URI 錯誤,或該項目不存在
你未有建立包含這些資料動作的角色,並將該角色指派給 OpenAI 的服務主體
Microsoft.KeyVault/vaults/keys/encrypt/action
Microsoft.KeyVault/vaults/keys/decrypt/action
金鑰名稱與模式不符
"無效的 'key_name':字串與模式不符。預期字串符合模式 '^org-[0-9a-zA-Z-]*--[0-9a-zA-Z-]*$'。"請在 Key Vault 金鑰名稱前加上你的 OpenAI 組織 ID。
這是安全團隊建議的最佳做法,可防止你的 key vault 金鑰被其他使用者註冊。我們會在金鑰註冊時,以及每次向你的 key vault 發出請求時,驗證組織 ID 是否相符。
