OpenAI

FAQ zur Fehlerbehebung beim EKM-Onboarding

Häufige Fehler beim EKM-Onboarding und wie du sie für AWS, GCP und Azure beheben kannst.

Aktualisiert: 4 days ago

AWS

Nicht berechtigt zur Ausführung von: sts:AssumeRole

Benutzer: arn:aws:sts::xxxxx:assumed-role/EnterpriseKeyManagement/OpenAI-EKM-Service ist nicht berechtigt, die Aktion sts:AssumeRole für die Ressource: arn:aws:iam::xxxxx:role/xxxxxx auszuführen.

Überprüfe den Principal und die ExternalId in deiner Vertrauensrichtlinie.

Stelle sicher, dass du diesen Abschnitt der Dokumentation befolgt hast, einschließlich BEIDER Schritte: das Erkennen des OpenAI-Principals und das Konfigurieren einer sts:ExternalId.

Falls du bereits eine sts:ExternalId hinterlegt hast, vergewissere dich, dass diese der OpenAI-Organisations-ID entspricht, für die du EKM aktivierst – und nicht einer anderen Organisation (wie z. B. einer persönlichen Org).

Überprüfe die Verknüpfung der Vertrauensrichtlinie mit dem Rollen-ARN.

Überprüfe, ob deine Vertrauensrichtlinie ordnungsgemäß für den von dir angegebenen Rollen-ARN gespeichert wurde.

Vergewissere dich außerdem, dass du den korrekten Rollen-ARN übermittelt hast. Falls dein ARN falsch geschrieben ist und nicht existiert, erhalten wir denselben Fehler wie bei einer existierenden Rolle, die den Zugriff verweigert.

AWS IAM role details with Trust relationships tab open and the role ARN highlighted

Nicht berechtigt zur Ausführung von: kms:Encrypt auf der Ressource

Benutzer: xxxxx ist nicht berechtigt, die Aktion kms:Encrypt auf der Ressource auszuführen

Stelle sicher, dass deine IAM-Richtlinie der OpenAI-Rolle kms:Encrypt und kms:Decrypt gewährt. 

Falls du zusätzlich eine Schlüsselrichtlinie hinzugefügt hast, vergewissere dich, dass auch diese der OpenAI-Rolle kms:Encrypt und kms:Decrypt gewährt.

GCP

Fehler beim Abrufen des GCP-STS-Tokens für die Audience

Fehler beim Abrufen des GCP-STS-Tokens für die Audience //iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx: {'error': 'invalid_request', 'error_description': 'Ungültiger Wert für \"audience\". Dieser Wert sollte der vollständige Ressourcenname deines Identitätsanbieters (IdP) sein. Siehe https://cloud.google.com/iam/docs/reference/sts/rest/v1/TopLevel/token für eine Liste möglicher Formate.

GCP erwartet eine Audience mit folgendem Format: 

iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx

Stelle sicher, dass du die korrekten Parameter angegeben hast, wenn du deinen Schlüssel bei OpenAI über die Management-API registriert hast. 

  • Stelle sicher, dass die workload_identity_project_number deine 12-stellige GCP-Projektnummer ist.

  • Stelle sicher, dass die workload_identity_pool_id korrekt ist.

  • Stelle sicher, dass die workload_identity_provider_id korrekt ist.

Die Audience im ID-Token stimmt nicht mit der erwarteten Audience überein.

Fehler beim Abrufen des GCP-STS-Tokens für die Audience //iam.googleapis.com/projects/xxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxx: {'error': 'invalid_grant', 'error_description': 'Die audience im ID Token [xxxxx] stimmt nicht mit der erwarteten Audience xxxxxxx überein.'}

Stelle sicher, dass das Feld audience, das du angibst, wenn du deine Konfiguration bei OpenAI registrierst (Externe Schlüssel in der Management-API), in einer deiner erlaubten Audiences für deinen Workload-Identitätsanbieter enthalten ist. Wir empfehlen die Nutzung deiner OpenAI-Organisations-ID.

Azure

Der Client-Anwendung fehlt der Dienstprinzipal

Der Clientanwendung xxxxx fehlt der Dienstprinzipal im Tenant xxxxx. Weitere Informationen findest du hier: https://go.microsoft.com/fwlink/?linkid=2225119

Stell sicher, dass du die Schritte zur Erstellung des Dienstprinzipals genau so befolgt hast, wie in der OpenAI/Azure EKM-Integrationsanleitung beschrieben.

Der Aufrufer (Caller) ist nicht berechtigt, die Aktion auf der Ressource auszuführen

Der Aufrufer (Caller) ist nicht berechtigt, die Aktion auf der Ressource auszuführen. Falls Rollenzuweisungen, Ablehnungszuweisungen oder Rollendefinitionen vor Kurzem geändert wurden, beachte bitte die Propagationszeit.

Dieser Fehler kann aus verschiedenen Gründen auftreten.

  • Du hast einen falschen Schlüsselnamen oder eine falsche Vault-URI angegeben oder eine, die nicht existiert.

  • Du hast keine Rolle mit den erforderlichen Datenaktionen erstellt UND diese Rolle nicht dem Dienstprinzipal von OpenAI zugewiesen.

    • Microsoft.KeyVault/vaults/keys/encrypt/action

    • Microsoft.KeyVault/vaults/keys/decrypt/action

Der Schlüsselname entspricht nicht dem Muster.

Ungültiger 'key_name': Der String entspricht nicht dem Muster. Erwartet wird ein String, der dem Muster '^org-[0-9a-zA-Z-]*--[0-9a-zA-Z-]*$' entspricht.

Bitte stelle deinem Key-Vault-Schlüsselnamen deine OpenAI-Organisations-ID voran.

Dies ist die vom Sicherheitsteam empfohlene bewährte Methode, um zu verhindern, dass dein Schlüssel für den Schlüsseltresor von einem anderen Benutzer registriert wird. Wir überprüfen bei der Registrierung des Schlüssels und bei jeder Anfrage an deinen Schlüsseltresor, ob die Organisations-ID übereinstimmt.

War dieser Artikel hilfreich?