Control de acceso basado en rol para Azure OpenAI Service
Azure OpenAI Service admite el control de acceso basado en rol de Azure (Azure RBAC), un sistema de autorización que permite administrar el acceso individual a los recursos de Azure. Con Azure RBAC, se asignan diferentes miembros del equipo a distintos niveles de permisos en función de sus necesidades relacionadas con un proyecto dado. Para más información, consulte la documentación de Azure RBAC.
Agregar una asignación de roles a un recurso de Azure OpenAI
Azure RBAC se puede asignar a un recurso de Azure OpenAI. Para conceder acceso a un recurso de Azure, se agrega una asignación de roles.
En Azure Portal, busque Azure OpenAI.
Seleccione Azure OpenAI y vaya a su recurso específico.
Nota:
También puede configurar Azure RBAC para grupos de recursos completos, suscripciones o grupos de administración. Para ello, seleccione el nivel de ámbito deseado y, después, vaya al elemento deseado. Por ejemplo, seleccione Grupos de recursos y vaya a un grupo de recursos específico.
Seleccione Control de acceso (IAM) en el panel de navegación izquierdo.
Seleccione Agregar y, luego, Agregar asignación de roles.
En la pestaña Rol de la siguiente pantalla, seleccione el rol que desea agregar.
En la pestaña Miembros, seleccione un usuario, grupo, entidad de servicio o identidad administrada.
En la pestaña Revisión y asignación, seleccione Revisión y asignación para asignar el rol.
En cuestión de minutos, al destino se le asignará el rol seleccionado en el ámbito seleccionado. Para obtener ayuda con estos pasos, consulte Asignación de roles de Azure mediante Azure Portal.
Roles de Azure OpenAI
- Usuario de OpenAI de Cognitive Services
- Colaborador de OpenAI de Cognitive Services
- Colaborador de Cognitive Services
- Lector de usos de Cognitive Services
Nota:
Los roles Propietario y Colaborador de nivel de suscripción se heredan y tienen prioridad sobre los roles personalizados de Azure OpenAI aplicados en el nivel de grupo de recursos.
En esta sección se tratan las tareas comunes que pueden realizar diferentes cuentas y combinaciones de cuentas para los recursos de Azure OpenAI. Para ver la lista completa de Acciones y DataActions disponibles, se concede un rol individual desde el recurso de Azure OpenAI. Vaya a Control de acceso (IAM)>Roles>. En la columna Detalles del rol que le interesa, seleccione Ver. De forma predeterminada, se selecciona el botón radial Acciones. Tiene que examinar Acciones y DataActions para comprender el ámbito completo de las funcionalidades asignadas a un rol.
Usuario de OpenAI de Cognitive Services
Si a un usuario se le concede acceso basado en roles solo a este rol para un recurso de Azure OpenAI, podría realizar las siguientes tareas comunes:
✅ Ver el recurso en Azure Portal
✅ Ver el punto de conexión de recursos en Claves y punto de conexión
✅ Posibilidad de ver los recursos y las implementaciones de modelos asociadas en el portal de Azure AI Foundry.
✅ Posibilidad de ver qué modelos están disponibles para la implementación en el portal de Azure AI Foundry.
✅ Usar las experiencias de área de juegos Chat, Finalizaciones y DALL-E (versión preliminar) para generar texto e imágenes con los modelos que ya se han implementado en este recurso de Azure OpenAI.
✅ Realizar llamadas API de inferencia con Microsoft Entra ID.
Un usuario que solo tenga este rol asignado no puede:
❌ Crear recursos nuevos de Azure OpenAI
❌ Ver, copiar o regenerar claves en Claves y punto de conexión
❌ Crear nuevas implementaciones de modelos o editar implementaciones de modelos existentes
❌ Crear e implementar modelos personalizados con ajuste preciso
❌ Cargar conjuntos de datos para el ajuste preciso
❌ Ver, consultar, filtrar datos de finalizaciones almacenadas
❌ Cuota de acceso
❌ Crear filtros de contenido personalizados
❌ Agregar un origen de datos para el uso de la característica de datos
Colaborador de OpenAI de Cognitive Services
Este rol tiene todos los permisos de usuario de OpenAI de Cognitive Services y también puede realizar tareas adicionales como las siguientes:
✅ Crear modelos personalizados con ajuste preciso
✅ Cargar conjuntos de datos para el ajuste preciso
✅ Ver, consultar, filtrar datos de finalizaciones almacenadas
✅ Creación de nuevas implementaciones de modelos o edición de implementaciones de modelos existentes [Se ha agregado en otoño de 2023]
Un usuario que solo tenga este rol asignado no puede:
❌ Crear recursos nuevos de Azure OpenAI
❌ Ver, copiar o regenerar claves en Claves y punto de conexión
❌ Cuota de acceso
❌ Crear filtros de contenido personalizados
❌ Agregar un origen de datos para el uso de la característica de datos
Colaborador de Cognitive Services
Normalmente, a este rol se le concede acceso en el nivel de grupo de recursos para un usuario junto con roles adicionales. Por sí solo, este rol permitiría a un usuario realizar las siguientes tareas.
✅ Crear nuevos recursos de Azure OpenAI en el grupo de recursos asignado.
✅Ver los recursos del grupo de recursos asignado en Azure Portal.
✅ Ver el punto de conexión de recursos en Claves y punto de conexión
✅ Ver, copiar o regenerar claves en Claves y punto de conexión
✅ Posibilidad de ver qué modelos están disponibles para la implementación en el portal de Azure AI Foundry
✅ Usar las experiencias de área de juegos de Chat, Finalizaciones y DALL-E (versión preliminar) para generar texto e imágenes con los modelos que ya se han implementado en este recurso de Azure OpenAI
✅ Crear filtros de contenido personalizados
✅ Agregar un origen de datos para el uso de la característica de datos
✅ Crear nuevas implementaciones de modelos o editar implementaciones de modelos existentes (via API)
✅ Creación de modelos personalizados de ajuste preciso [Se ha agregado en otoño de 2023]
✅ Carga de conjuntos de datos de ajuste preciso [Se ha agregado en otoño de 2023]
✅ Creación de nuevas implementaciones de modelos o edición de implementaciones de modelos existentes (a través de Azure AI Foundry) [Se ha agregado el otoño de 2023]✅ Ver, consultar, filtrar los datos de finalizaciones almacenadas
Un usuario que solo tenga este rol asignado no puede:
❌ Cuota de acceso
❌ Realizar llamadas API de inferencia con Microsoft Entra ID.
Lector de usos de Cognitive Services
La visualización de la cuota requiere el rol Lector de usos de Cognitive Services. Este rol proporciona el acceso mínimo necesario para ver el uso de la cuota en una suscripción de Azure.
Este rol se encuentra en Azure Portal en Suscripciones> *Control de acceso (IAM)>Agregar asignación de roles> busque Lector de usos de Cognitive Services. El rol se debe aplicar en el nivel de suscripción; no existe en el nivel de recurso.
Si no desea usar este rol, el rol Lector de la suscripción proporciona acceso equivalente, pero también concede acceso de lectura más allá del ámbito de lo que se necesita para ver la cuota. La implementación de modelos desde el portal de Azure AI Foundry también depende parcialmente de la presencia de este rol.
Este rol tiene escaso valor por sí solo y, normalmente, se asigna en combinación con uno o varios de los roles descritos anteriormente.
Lector de usos de Cognitive Services + Usuario de OpenAI de Cognitive Services
Todas las funcionalidades del usuario de OpenAI de Cognitive Services más la capacidad de:
✅ Visualización de las asignaciones de cuotas en el portal de Azure AI Foundry
Lector de usos de Cognitive Services + Colaborador de OpenAI de Cognitive Services
Todas las funcionalidades de colaborador de OpenAI de Cognitive Services más la capacidad de:
✅ Visualización de las asignaciones de cuotas en el portal de Azure AI Foundry
Lector de usos de Cognitive Services + Colaborador de Cognitive Services
Todas las funcionalidades de colaborador de Cognitive Services más la capacidad de:
✅ Visualización y edición de asignaciones de cuotas en el portal de Azure AI Foundry
✅ Creación de implementaciones de modelos o edición de implementaciones de modelos existentes (desde Azure AI Foundry)
Resumen
Permisos | Usuario de OpenAI de Cognitive Services | Colaborador de OpenAI de Cognitive Services | Colaborador de Cognitive Services | Lector de usos de Cognitive Services |
---|---|---|---|---|
Visualización del recurso en Azure Portal | ✅ | ✅ | ✅ | ➖ |
Ver el punto de conexión del recurso en “Claves y punto de conexión” | ✅ | ✅ | ✅ | ➖ |
Visualización de los recursos y las implementaciones de modelos asociadas en el portal de Azure AI Foundry | ✅ | ✅ | ✅ | ➖ |
Visualización de qué modelos están disponibles para la implementación en el portal de Azure AI Foundry | ✅ | ✅ | ✅ | ➖ |
Usar las experiencias de área de juegos de Chat, Finalizaciones y DALL-E (versión preliminar) con los modelos que ya se han implementado en este recurso de Azure OpenAI. | ✅ | ✅ | ✅ | ➖ |
Creación o edición de implementaciones de modelos | ❌ | ✅ | ✅ | ➖ |
Crear e implementar modelos personalizados con ajuste preciso | ❌ | ✅ | ✅ | ➖ |
Cargar conjuntos de datos para el ajuste preciso | ❌ | ✅ | ✅ | ➖ |
Ver, consultar, filtrar datos de finalizaciones almacenados | ❌ | ✅ | ✅ | ➖ |
Crear nuevos recursos de Azure OpenAI | ❌ | ❌ | ✅ | ➖ |
Ver, copiar o regenerar claves en “Claves y punto de conexión” | ❌ | ❌ | ✅ | ➖ |
Crear filtros de contenido personalizados | ❌ | ❌ | ✅ | ➖ |
Agregar un origen de datos para la característica “en los datos” | ❌ | ❌ | ✅ | ➖ |
Cuota de acceso | ❌ | ❌ | ❌ | ✅ |
Realizar llamadas API de inferencia con Microsoft Entra ID | ✅ | ✅ | ❌ | ➖ |
Problemas comunes
No se puede ver la opción de Azure Cognitive Search en el portal de Azure AI Foundry
Problema:
Al seleccionar un recurso existente de Azure Cognitive Search, los índices de búsqueda no se cargan y la rueda de carga gira continuamente. En el portal de Azure AI Foundry, vaya a Chat del área de juegos>Agregar los datos (versión preliminar) en Configuración del Asistente. Al seleccionar Agregar un origen de datos, se abre un modal que permite agregar un origen de datos a través de Azure Cognitive Search o Blob Storage. Al seleccionar la opción Azure Cognitive Search y un recurso existente de Azure Cognitive Search, se deberían cargar los índices de Azure Cognitive Search disponibles para su selección.
Causa principal
Para realizar una llamada API genérica con el fin de enumerar los servicios de Azure Cognitive Search, se realiza la siguiente llamada:
https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Search/searchServices?api-version=2021-04-01-Preview
Reemplace {subscriptionId} por su identificador de suscripción real.
Para esta llamada API, necesita un rol de ámbito de nivel de suscripción. Puede usar el rol Lector para el acceso de solo lectura o el rol Colaborador para el acceso de lectura y escritura. Si solo necesita acceso a los servicios de Azure Cognitive Search, puede usar los roles Colaborador del servicio Azure Cognitive Search o Lector del servicio Azure Cognitive Search.
Opciones de solución
Ponerse en contacto con el administrador o propietario de la suscripción: póngase en contacto con la persona que administra la suscripción de Azure y solicite el acceso adecuado. Explique sus requisitos y el rol específico que necesita (por ejemplo, Lector, Colaborador, Colaborador de servicios de Azure Cognitive Search o Lector de servicios de Azure Cognitive Search).
Solicitar acceso de nivel de suscripción o de grupo de recursos: si necesita acceso a recursos específicos, pida al propietario de la suscripción que le conceda acceso en el nivel adecuado (suscripción o grupo de recursos). Esto le permite realizar las tareas necesarias sin tener acceso a recursos no relacionados.
Usar claves de API para Azure Cognitive Search: si solo necesita interactuar con el servicio Azure Cognitive Search, puede solicitar las claves de administrador o las claves de consulta al propietario de la suscripción. Estas claves permiten realizar llamadas API directamente al servicio de búsqueda sin necesitar un rol RBAC de Azure. Tenga en cuenta que el uso de claves de API omitirá el control de acceso de Azure RBAC, por lo que debe usarlas con precaución y seguir los procedimientos recomendados de seguridad.
No se pueden cargar archivos en el portal de Azure AI Foundry para en los datos
Síntoma: no se puede acceder al almacenamiento de la característica En los datos mediante Azure AI Foundry.
Causa principal:
Acceso de nivel de suscripción insuficiente para el usuario que intenta acceder al almacenamiento de blobs en Azure AI Foundry. Es posible que el usuario no tenga los permisos necesarios para llamar al punto de conexión de la API de administración de Azure: https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{accountName}/listAccountSas?api-version=2022-09-01
El propietario de la suscripción de Azure ha deshabilitado el acceso público al almacenamiento de blobs por motivos de seguridad.
Permisos necesarios para la llamada API: **Microsoft.Storage/storageAccounts/listAccountSas/action:**
Este permiso permite al usuario enumerar los tokens de firma de acceso compartido (SAS) para la cuenta de almacenamiento especificada.
Posibles motivos por los que puede que el usuario no tenga permisos:
- Al usuario se le asigna un rol limitado en la suscripción de Azure que no incluye los permisos necesarios para la llamada API.
- El propietario o el administrador de la suscripción ha restringido el rol del usuario debido a problemas de seguridad o a directivas organizativas.
- El rol del usuario se ha cambiado recientemente y el nuevo rol no concede los permisos necesarios.
Opciones de solución
- Comprobar y actualizar los derechos de acceso: asegúrese de que el usuario tenga el acceso de nivel de suscripción adecuado, incluidos los permisos necesarios para la llamada API (Microsoft.Storage/storageAccounts/listAccountSas/action). Si es necesario, solicite al propietario o administrador de la suscripción que conceda los derechos de acceso necesarios.
- Solicitar ayuda al propietario o administrador: si la solución anterior no es factible, considere la posibilidad de pedir al propietario o administrador de la suscripción que cargue los archivos de datos en su nombre. Este enfoque puede ayudar a importar los datos en Azure AI Foundry sin que el usuario necesite acceso de nivel de suscripción ni acceso público al almacenamiento de blobs.
Pasos siguientes
- Obtenga más información sobre el control de acceso basado en rol de Azure (Azure RBAC).
- Consulte también Asignación de roles de Azure mediante Azure Portal.