Freigeben über


Rollenbasierte Zugriffssteuerung für Azure OpenAI Service

Azure OpenAI Service unterstützt die rollenbasierte Zugriffssteuerung von Azure (Azure RBAC), ein Autorisierungssystem zum Verwalten des individuellen Zugriffs auf Azure-Ressourcen. Mithilfe der Azure RBAC können Sie verschiedenen Teammitgliedern unterschiedliche Berechtigungsebenen basierend auf ihren Anforderungen für ein bestimmtes Projekt zuweisen. Weitere Information finden Sie in der Azure RBAC-Dokumentation.

Hinzufügen einer Rollenzuweisung zu einer Azure OpenAI-Ressource

Azure RBAC kann einer Azure OpenAI-Ressource zugewiesen werden. Wenn Sie Zugriff auf eine Azure-Ressource gewähren möchten, fügen Sie eine Rollenzuweisung hinzu.

  1. Suchen Sie im Azure-Portal nach Azure OpenAI.

  2. Wählen Sie Azure OpenAI aus, und navigieren Sie zu Ihrer spezifischen Ressource.

    Hinweis

    Sie können die Azure RBAC auch für ganze Ressourcengruppen, Abonnements oder Verwaltungsgruppen einrichten. Wählen Sie hierzu die gewünschte Bereichsebene aus, und navigieren Sie dann zum gewünschten Element. Wählen Sie z. B. Ressourcengruppen aus, und navigieren Sie dann zu einer bestimmten Ressourcengruppe.

  3. Klicken Sie im linken Navigationsbereich auf Zugriffssteuerung (IAM) .

  4. Wählen Sie Hinzufügen und dann Rollenzuweisung hinzufügen aus.

  5. Wählen Sie im nächsten Bildschirm auf der Registerkarte Rolle eine Rolle aus, die Sie hinzufügen möchten.

  6. Wählen Sie auf der Registerkarte Mitglieder einen Benutzer, eine Gruppe, einen Dienstprinzipal oder eine verwaltete Identität aus.

  7. Wählen Sie auf der Registerkarte Überprüfen und zuweisen die Option Überprüfen und zuweisen aus, um die Rolle zuzuweisen.

Innerhalb weniger Minuten wird dem Ziel die ausgewählte Rolle für den ausgewählten Bereich zugewiesen. Hilfe zu diesen Schritten finden Sie unter Zuweisen von Azure-Rollen über das Azure-Portal.

Azure OpenAI-Rollen

  • Cognitive Services OpenAI-Benutzer
  • Mitwirkender für Cognitive Services OpenAI
  • Mitwirkender für Cognitive Services
  • Cognitive Services-Nutzungsleser

Hinweis

Die Rollen Besitzer und Mitwirkender auf Abonnementebene werden vererbt und haben Vorrang vor den benutzerdefinierten Azure OpenAI-Rollen, die auf Ressourcengruppenebene angewendet werden.

In diesem Abschnitt werden allgemeine Aufgaben behandelt, die von verschiedenen Konten und Kontenkombinationen für Azure OpenAI-Ressourcen ausgeführt werden können. Um die vollständige Liste der verfügbaren Actions und DataActions anzuzeigen, wird eine einzelne Rolle von Ihrer Azure OpenAI-Ressource gewährt. Wechseln Sie zu Zugriffssteuerung (Identity & Access Management, IAM)>Rollen>. Wählen Sie in der Spalte Details für die Rolle, an der Sie interessiert sind, die Option Ansicht aus. Standardmäßig ist das Optionsfeld Aktionen ausgewählt. Sie müssen sowohl Actions als auch DataActions untersuchen, um den vollständigen Umfang der Funktionen zu verstehen, die einer Rolle zugewiesen sind.

Cognitive Services OpenAI-Benutzer

Wenn einem Benutzer für eine Azure OpenAI-Ressource rollenbasierter Zugriff nur auf diese Rolle gewährt würde, könnte er die folgenden allgemeinen Aufgaben ausführen:

✅ Anzeigen der Ressource im Azure-Portal
✅ Anzeigen des Ressourcenendpunkts unter Schlüssel und Endpunkt
✅ Anzeigen der Ressource und der zugehörigen Modellimplementierungen in Azure KI Studio
✅ Anzeigen der verfügbaren Modelle für die Bereitstellung in Azure KI Studio
✅ Verwenden der Chat-, Completions- und DALL-E-Playgroundoberfläche (Vorschau), um Texte und Bilder mit sämtlichen Modellen zu generieren, die bereits für diese Azure OpenAI-Ressource bereitgestellt wurden.
✅ Durchführen von Rückschluss-API-Aufrufen mit Microsoft Entra ID.

Ein Benutzer, dem nur diese Rolle zugewiesen ist, könnte Folgendes nicht tun:

❌ Erstellen neuer Azure OpenAI-Ressourcen
❌ Anzeigen/Kopieren/Generieren von Schlüsseln unter Schlüssel und Endpunkt
❌ Erstellen neuer oder Bearbeiten vorhandener Modellimplementierung
❌ Erstellen/Bereitstellen vom Benutzer optimierter Modelle
❌ Hochladen von Datasets zur Optimierung
❌ Zugreifen auf Kontingente
❌ Erstellen benutzerdefinierter Inhaltsfilter
❌ Hinzufügen einer Datenquelle zur Nutzung Ihrer Datenfunktion

Mitwirkender für Cognitive Services OpenAI

Diese Rolle verfügt über alle Berechtigungen des Cognitive Services OpenAI-Benutzers und ist auch in der Lage, zusätzliche Aufgaben auszuführen, z. B.:

✅ Erstellen von vom Benutzer optimierten Modellen
✅ Hochladen von Datasets zur Optimierung
✅ Erstellen neuer oder Bearbeiten vorhandener Modellimplementierungen [Hinzugefügt Herbst 2023]

Ein Benutzer, dem nur diese Rolle zugewiesen ist, könnte Folgendes nicht tun:

❌ Erstellen neuer Azure OpenAI-Ressourcen
❌ Anzeigen/Kopieren/Generieren von Schlüsseln unter Schlüssel und Endpunkt
❌ Zugreifen auf Kontingente
❌ Erstellen benutzerdefinierter Inhaltsfilter
❌ Hinzufügen einer Datenquelle zur Nutzung Ihrer Datenfunktion

Mitwirkender für Cognitive Services

Dieser Rolle wird in der Regel Zugriff auf der Ressourcengruppenebene für einen Benutzer in Verbindung mit zusätzlichen Rollen gewährt. Für sich allein würde diese Rolle es einem Benutzer ermöglichen, die folgenden Aufgaben auszuführen.

✅ Erstellen neuer Azure OpenAI-Ressourcen innerhalb der zugewiesenen Ressourcengruppe
✅ Anzeigen von Ressourcen in der zugewiesenen Ressourcengruppe im Azure-Portal
✅ Anzeigen des Ressourcenendpunkts unter Schlüssel und Endpunkt
✅ Anzeigen/Kopieren/Generieren von Schlüsseln unter Schlüssel und Endpunkt
✅ Anzeigen der verfügbaren Modelle für die Bereitstellung in Azure KI Studio
✅ Verwenden der Chat-, Completions- und DALL-E-Playground oberfläche (Vorschau), um Texte und Bilder mit sämtlichen Modellen zu generieren, die bereits für diese Azure OpenAI-Ressource bereitgestellt wurden
✅ Erstellen benutzerdefinierter Inhaltsfilter
✅ Hinzufügen einer Datenquelle zur Nutzung Ihrer Datenfunktion
✅ Erstellen neuer oder Bearbeiten vorhandener Modellimplementierungen (über API)
✅ Erstellen von vom Benutzer optimierten Modellen [Hinzugefügt Herbst 2023]
✅ Hochladen von Datasets zur Optimierung[Hinzugefügt Herbst 2023]
✅ Erstellen neuer oder Bearbeiten vorhandener Modellimplementierungen (über Azure KI Studio)[Hinzugefügt Herbst 2023]

Ein Benutzer, dem nur diese Rolle zugewiesen ist, könnte Folgendes nicht tun:

❌ Zugreifen auf Kontingente
❌ Durchführen von Rückschluss-API-Aufrufen mit Microsoft Entra ID.

Cognitive Services-Nutzungsleser

Zum Anzeigen von Kontingenten wird die Rolle Cognitive Services-Nutzungsleser benötigt. Diese Rolle bietet den minimal erforderlichen Zugriff, um die Kontingentnutzung für ein Azure-Abonnement anzuzeigen.

Diese Rolle finden Sie im Azure-Portal unter Abonnements> *Zugriffssteuerung (Identity & Access Management, IAM)>Rollenzuweisung hinzufügen> nach Cognitive Services-Nutzungsleser suchen. Die Rolle muss auf Abonnementebene angewendet werden, sie ist auf Ressourcenebene nicht vorhanden.

Wenn Sie diese Rolle nicht verwenden möchten, bietet die Rolle Leser für das Abonnement einen gleichwertigen Zugriff, der jedoch über den Zugriffsumfang hinausgeht, der zum Anzeigen von Kontingenten erforderlich ist. Auch die Modellimplementierung über Azure KI Studio ist teilweise vom Vorhandensein dieser Rolle abhängig.

Diese Rolle hat an sich nur einen geringen Wert und wird stattdessen in der Regel in Kombination mit einer oder mehreren der zuvor beschriebenen Rollen zugewiesen.

Cognitive Services-Nutzungsleser und Cognitive Services OpenAI-Benutzer

Alle Funktionen von Cognitive Services OpenAI-Benutzer*innen sowie folgende Möglichkeiten:

✅ Anzeigen von Kontingentzuordnungen in Azure KI Studio

Cognitive Services-Nutzungsleser und Cognitive Services OpenAI-Mitwirkender

Alle Funktionen von Cognitive Services OpenAI-Mitwirkender sowie folgende Möglichkeiten:

✅ Anzeigen von Kontingentzuordnungen in Azure KI Studio

Cognitive Services-Nutzungsleser und Cognitive Services-Mitwirkender

Alle Funktionen von Cognitive Services OpenAI-Mitwirkender sowie folgende Möglichkeiten:

✅ Anzeigen und Bearbeiten von Kontingentzuordnungen in Azure KI Studio
✅ Erstellen neuer oder Bearbeiten vorhandener Modellimplementierungen (über Azure KI Studio)

Zusammenfassung

Berechtigungen Cognitive Services OpenAI-Benutzer Mitwirkender für Cognitive Services OpenAI Mitwirkender für Cognitive Services Cognitive Services-Nutzungsleser
Anzeigen der Ressource im Azure-Portal
Anzeigen des Ressourcenendpunkts unter Schlüssel und Endpunkt
Anzeigen der Ressourcen- und zugehörigen Modellbereitstellungen in Azure KI Studio
Anzeigen der verfügbaren Modelle für die Bereitstellung in Azure KI Studio
Verwenden der Chat-, Completions- und DALL-E-Playground oberfläche (Vorschau) mit sämtlichen Modellen, die bereits für diese Azure OpenAI-Ressource bereitgestellt wurden
Erstellen oder Bearbeiten von Modellbereitstellungen
Erstellen oder Bereitstellen von benutzerdefinierten optimierten Modellen
Hochladen von Datasets zur Optimierung
Erstellen neuer Azure OpenAI-Ressourcen
Anzeigen/Kopieren/Generieren von Schlüsseln unter Schlüssel und Endpunkt
Erstellen benutzerdefinierter Inhaltsfilter
Hinzufügen einer Datenquelle für das „Datenfeature“
Zugriffskontingent
Durchführen von Rückschluss-API-Aufrufen mit Microsoft Entra ID.

Häufige Probleme

Die Option „Azure Cognitive Search“ kann in Azure KI Studio nicht angezeigt werden

Problem:

Beim Auswählen einer vorhandenen Azure Cognitive Search-Ressource werden die Suchindizes nicht geladen, und die Ladeanzeige (Rad) dreht sich ununterbrochen weiter. Navigieren Sie in Azure KI Studio unter Assistenteneinrichtung zu Playground Chat>Hinzufügen Ihrer Daten (Vorschau). Wenn Sie Datenquelle hinzufügen auswählen, wird ein Modale geöffnet, mit dem Sie eine Datenquelle entweder über Azure Cognitive Search oder über Blob Storage hinzufügen können. Wenn Sie die Option „Azure Cognitive Search“ und eine vorhandene Cognitive Search-Ressource auswählen, sollten die verfügbaren Azure Cognitive Search-Indizes geladen werden, aus denen Sie auswählen können.

Grundursache

Um einen generischen API-Aufruf zum Auflisten Azure Cognitive Search-Diensten auszuführen, nutzen Sie den folgenden Aufruf:

https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Search/searchServices?api-version=2021-04-01-Preview

Ersetzen Sie {subscriptionid} durch Ihre Abonnement-ID.

Für diesen API-Aufruf benötigen Sie eine Rolle im Bereich der Abonnementebene. Sie können die Rolle Leser für schreibgeschützten Zugriff oder die Rolle Mitwirkender für Lese-/Schreibzugriff verwenden. Wenn Sie nur Zugriff auf Azure Cognitive Search-Dienste benötigen, können Sie die Rollen Azure Cognitive Search-Dienstmitwirkender oder Azure Cognitive Search-Dienstleser verwenden.

Lösungsoptionen

  • Wenden Sie sich an Ihren Abonnementadministrator oder -besitzer: Wenden Sie sich an die Person, die Ihr Azure-Abonnement verwaltet, und fordern Sie den entsprechenden Zugriff an. Erläutern Sie Ihre Anforderungen und die spezifische Rolle, die Sie benötigen (z. B. Leser, Mitwirkender, Azure Cognitive Search-Dienstmitwirkender oder Azure Cognitive Search-Dienstleser).

  • Fordern Sie den Zugriff auf Abonnement- oder Ressourcengruppenebene an: Wenn Sie Zugriff auf bestimmte Ressourcen benötigen, bitten Sie den Abonnementbesitzer, Ihnen Zugriff auf der entsprechenden Ebene (Abonnement oder Ressourcengruppe) zu gewähren. Dadurch können Sie die erforderlichen Aufgaben ausführen, ohne Zugriff auf nicht zugehörige Ressourcen zu erhalten.

  • Verwenden Sie API-Schlüssel für Azure Cognitive Search: Wenn Sie nur mit dem Azure Cognitive Search-Dienst interagieren müssen, können Sie vom Abonnementbesitzer die Administrator- oder Abfrageschlüssel anfordern. Mit diesen Schlüsseln können Sie API-Aufrufe direkt an den Suchdienst tätigen, ohne eine Azure RBAC-Rolle zu benötigen. Beachten Sie, dass bei der Verwendung von API-Schlüsseln die Azure RBAC-Zugriffssteuerung umgangen wird. Verwenden Sie sie daher vorsichtig und befolgen Sie bewährte Sicherheitsmethoden.

Dateien können in Azure KI Studio für Ihre Daten nicht hochgeladen werden

Symptom: Mit Azure KI Studio kann nicht auf den Speicher für das Feature Für Ihre Daten zugegriffen werden.

Grundursache:

Der Benutzer, der versucht, auf den Blobspeicher in Azure KI Studio zuzugreifen, verfügt über unzureichender Zugriff auf Abonnementebene. Der Benutzer verfügt möglicherweise nicht über die erforderlichen Berechtigungen zum Aufrufen des Azure Management-API-Endpunkts: https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{accountName}/listAccountSas?api-version=2022-09-01

Der öffentliche Zugriff auf den Blobspeicher ist vom Besitzer des Azure-Abonnements aus Sicherheitsgründen deaktiviert.

Erforderliche Berechtigungen für den API-Aufruf: **Microsoft.Storage/storageAccounts/listAccountSas/action:** Mit dieser Berechtigung kann der Benutzer die SAS-Token (Shared Access Signature) für das angegebene Speicherkonto auflisten.

Mögliche Gründe, warum der Benutzer möglicherweise keine Berechtigungen hat:

  • Dem Benutzer wurde eine eingeschränkte Rolle im Azure-Abonnement zugewiesen, die nicht die erforderlichen Berechtigungen für den API-Aufruf umfasst.
  • Die Rolle des Benutzers wurde aufgrund von Sicherheitsbedenken oder Organisationsrichtlinien vom Abonnementbesitzer oder -administrator eingeschränkt.
  • Die Rolle des Benutzers wurde kürzlich geändert, und die neue Rolle gewährt nicht die erforderlichen Berechtigungen.

Lösungsoptionen

  • Überprüfen und Aktualisieren Sie die Zugriffsrechte: Stellen Sie sicher, dass der Benutzer über den entsprechenden Zugriff auf Abonnementebene verfügt, einschließlich der erforderlichen Berechtigungen für den API-Aufruf (Microsoft.Storage/storageAccounts/listAccountSas/action). Bitten Sie bei Bedarf den Abonnementbesitzer oder -administrator, die erforderlichen Zugriffsrechte zu erteilen.
  • Bitten Sie den Besitzer oder Administrator um Unterstützung: Wenn die oben genannte Lösung nicht möglich ist, bitten Sie den Abonnementbesitzer oder -administrator, die Datendateien für Sie hochzuladen. Dieser Ansatz kann helfen, Daten in Azure KI Studio zu importieren, ohne dass der Benutzer Zugriff auf Abonnementebene oder öffentlichen Zugriff auf den Blobspeicher benötigt.

Nächste Schritte