OpenAI
Esta página se tradujo automáticamente. Ver el artículo original en inglés.

Preguntas frecuentes sobre solución de problemas de incorporación de EKM

Errores comunes de incorporación de EKM y cómo resolverlos para AWS, GCP y Azure

Actualización: 4 days ago

AWS

No autorizado para realizar: sts:AssumeRole

El usuario: arn:aws:sts::xxxxx:assumed-role/EnterpriseKeyManagement/OpenAI-EKM-Service no está autorizado para realizar: sts:AssumeRole en el recurso: arn:aws:iam::xxxxx:role/xxxxxx

Verifica el principal y el ExternalId en tu política de confianza

Asegúrate de haber seguido esta sección de la documentación, incluido AMBOS reconocer el principal de OpenAI y configurar un sts:ExternalId

Si ya has añadido un sts:ExternalId, asegúrate de que sea el mismo ID de organización de OpenAI al que estás aplicando EKM, y no el de otra organización, como una personal.

Verifica la asociación de la política de confianza con el ARN del rol

Verifica que tu política de confianza se haya guardado correctamente en el ARN del rol que has proporcionado

Comprueba también que has proporcionado el ARN del rol correcto. Si tu ARN está mal escrito y no existe, obtendremos el mismo error que si el rol existe pero deniega permisos.

AWS IAM role details with Trust relationships tab open and the role ARN highlighted

No autorizado para realizar: kms:Encrypt en el recurso

El usuario: xxxxx no está autorizado para realizar: kms:Encrypt en el recurso

Asegúrate de que tu política de IAM conceda kms:Encrypt y kms:Decrypt al rol de OpenAI. 

Si también has añadido una política de clave, asegúrate de que también conceda kms:Encrypt y kms:Decrypt al rol de OpenAI.

GCP

No se pudo adquirir el token STS de GCP para la audiencia

No se pudo adquirir el token STS de GCP para la audiencia //iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx: {'error': 'invalid_request', 'error_description': 'Valor no válido para 2audience2. Este valor debe ser el nombre completo del recurso del proveedor de identidad. Consulta https://cloud.google.com/iam/docs/reference/sts/rest/v1/TopLevel/token para ver la lista de formatos posibles.

GCP espera una audiencia con el formato 

iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx

Asegúrate de haber proporcionado los parámetros correctos al registrar tu clave con OpenAI mediante Claves externas en la API de gestión

  • Asegúrate de que workload_identity_project_number sea tu número de proyecto de GCP de 12 dígitos

  • Asegúrate de que workload_identity_pool_id sea correcto

  • Asegúrate de que workload_identity_provider_id sea correcto

La audiencia del token de ID no coincide con la audiencia esperada

No se pudo adquirir el token STS de GCP para la audiencia //iam.googleapis.com/projects/xxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxx: {'error': 'invalid_grant', 'error_description': 'La audiencia del ID Token [xxxxx] no coincide con la audiencia esperada xxxxxxx.'}

Asegúrate de que el campo audience que proporcionas al registrar tu configuración con OpenAI (Claves externas en la API de gestión ) esté en una de tus Allowed Audiences para tu proveedor de identidad de cargas de trabajo. Recomendamos usar tu ID de organización de OpenAI.

Azure

Falta la entidad de servicio en la aplicación cliente

Falta la entidad de servicio en la aplicación cliente xxxxx del inquilino xxxxx. Consulta las instrucciones aquí: https://go.microsoft.com/fwlink/?linkid=2225119

Asegúrate de haber seguido correctamente la creación de la entidad de servicio como se indica en las instrucciones de integración de EKM de OpenAI / Azure.

La persona que llama no está autorizada para realizar la acción en el recurso

La persona que llama no está autorizada para realizar la acción en el recurso. Si las asignaciones de roles, las asignaciones de denegación o las definiciones de roles se cambiaron recientemente, ten en cuenta el tiempo de propagación.

Este mismo error puede aparecer por varias razones

  • Has proporcionado un nombre de clave o un URI de almacén incorrectos, o uno que no existe

  • No creaste un rol con estas acciones de datos Y no asignaste ese rol a la entidad de servicio de OpenAI

    • Microsoft.KeyVault/vaults/keys/encrypt/action

    • Microsoft.KeyVault/vaults/keys/decrypt/action

El nombre de la clave no coincide con el patrón

«"key_name" no válido: la cadena no coincide con el patrón. Se esperaba una cadena que coincidiera con el patrón '^org-[0-9a-zA-Z-]*--[0-9a-zA-Z-]*$'."

Antepón a tu nombre de clave de Key Vault el ID de organización de OpenAI.

Esta es la práctica recomendada por seguridad para evitar que la clave de tu almacén se registre por un usuario diferente. Validamos que el ID de organización coincida al registrar la clave y en cada solicitud a tu almacén de claves.

¿Te ha resultado útil este artículo?