OpenAI

FAQ de dépannage pour l'intégration d'EKM

Erreurs courantes lors de l'intégration à EKM et comment les résoudre pour AWS, GCP et Azure

Dernière mise à jour : 5 days ago

AWS

Non autorisé à effectuer : sts :AssumeRole

Utilisateur : arn :aws :sts : :xxxxx :assumed-role/EnterpriseKeyManagement/OpenAI-EKM-Service n'est pas autorisé à effectuer sts :AssumeRole sur la ressource : arn :aws :iam : :xxxxx :role/xxxxxx

Vérifiez le principal et l'identifiant externe dans votre politique de confiance

Assurez-vous d'avoir suivi cette section de la documentation, y compris les DEUX éléments suivants : la reconnaissance du principal OpenAI et la configuration d'un sts :ExternalId.

Si vous avez déjà renseigné un sts :ExternalId, assurez-vous qu'il s'agit bien du même identifiant d'organisation OpenAI auquel vous appliquez EKM, et non d'une autre organisation, comme une organisation personnelle.

Vérifier l'association de la stratégie d'approbation avec l'ARN du rôle

Vérifiez que votre stratégie d'approbation a été correctement enregistrée dans l'ARN du rôle que vous avez fourni.

Assurez-vous également que vous avez fourni l'ARN de rôle correct. Si votre ARN est mal orthographié et n'existe pas, nous obtiendrons la même erreur que si le rôle existe mais refuse les autorisations.

AWS IAM role details with Trust relationships tab open and the role ARN highlighted

Non autorisé à effectuer l'action suivante : kms :Encrypt sur la ressource

Utilisateur : xxxxx n'est pas autorisé à effectuer l'action kms :Encrypt sur la ressource.

Assurez-vous que votre stratégie IAM accorde kms :Encrypt et kms :Decrypt au rôle d'OpenAI. 

Si vous avez également ajouté une stratégie de clé, assurez-vous qu'elle accorde aussi kms :Encrypt et kms :Decrypt au rôle d'OpenAI.

GCP

Échec de l'acquisition du token GCP STS pour le public cible.

Échec de l'acquisition du token STS GCP pour l'audience //iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx : {'error' : 'invalid_request', 'error_description' : 'Valeur non valide pour \"audience\". Cette valeur doit être le nom complet de la ressource du fournisseur d'identité. Consultez https://cloud.google.com/iam/docs/reference/sts/rest/v1/TopLevel/token pour obtenir la liste des formats possibles.

GCP attend un public cible au format 

iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx

Assurez-vous d'avoir fourni les paramètres corrects lors de l'enregistrement de votre clé auprès d'OpenAI à l'aide de Clés externes dans l'API de gestion

  • Assurez-vous que le workload_identity_project_number correspond bien à votre numéro de projet GCP à 12 chiffres.

  • Assurez-vous que le workload_identity_pool_id soit correct

  • Assurez-vous que le workload_identity_provider_id soit correct

L'audience dans le token d'identité ne correspond pas à l'audience attendue

Échec de l'acquisition du token GCP STS pour l'audience //iam.googleapis.com/projects/xxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxx : {'error': 'invalid_grant', 'error_description': "L'audience dans le ID Token [xxxxx] ne correspond pas à l'audience attendue xxxxxxx."}

Assurez-vous que le champ audience que vous fournissez lorsque vous enregistrez votre configuration auprès d'OpenAI (Clés externes dans l'API de gestion ) figure parmi les audiences autorisées de votre fournisseur d'identité de charge de travail. Nous vous recommandons d'utiliser votre identifiant d'organisation OpenAI.

Azure

L'application cliente ne dispose pas de service principal

L'application cliente xxxxx ne dispose pas de principal de service dans le locataire xxxxx. Consultez les instructions ici : https://go.microsoft.com/fwlink/?linkid=2225119

Assurez-vous d'avoir suivi avec précision la création du principal de service comme indiqué dans les instructions d'intégration OpenAI / Azure EKM.

L'appelant n'est pas autorisé à effectuer une action sur la ressource

L'appelant n'est pas autorisé à agir sur la ressource Si des attributions de rôles, des attributions de refus ou des définitions de rôles ont été modifiées récemment, veuillez tenir compte du temps de propagation.

Cette même erreur peut survenir pour plusieurs raisons

  • Vous avez fourni un nom de clé ou une URI de coffre incorrect(e), ou qui n'existe pas.

  • Vous n'avez pas créé de rôle avec ces actions sur les données et attribué ce rôle au principal de service d'OpenAI.

    • Microsoft.KeyVault/vaults/keys/encrypt/action

    • Microsoft.KeyVault/vaults/keys/decrypt/action

Le nom de la clé ne correspond pas au modèle

"Invalid 'key_name': la chaîne ne correspond pas au modèle. Une chaîne correspondant au motif '^org-[0-9a-zA-Z-]*--[0-9a-zA-Z-]*$" est attendue.

Veuillez préfixer le nom de votre clé Key Vault avec votre identifiant d'organisation OpenAI.

Il s'agit de la meilleure pratique recommandée par l'équipe de sécurité pour éviter que votre clé du coffre de clés soit enregistrée par un autre utilisateur. Nous vérifions que l'identifiant d'organisation correspond lors de l'enregistrement de la clé et à chaque requête adressée à votre coffre de clés.

Cet article vous a-t-il été utile ?