Kontrola dostępu oparta na rolach do usługi Azure OpenAI Service
Usługa Azure OpenAI obsługuje kontrolę dostępu opartą na rolach platformy Azure (Azure RBAC), system autoryzacji do zarządzania indywidualnym dostępem do zasobów platformy Azure. Korzystając z kontroli dostępu opartej na rolach platformy Azure, przypisujesz różnym członkom zespołu różne poziomy uprawnień na podstawie ich potrzeb dla danego projektu. Aby uzyskać więcej informacji, zobacz dokumentację RBAC platformy Azure.
Dodawanie przypisania roli do zasobu usługi Azure OpenAI
Kontrolę dostępu opartą na rolach platformy Azure można przypisać do zasobu usługi Azure OpenAI. Aby udzielić dostępu do zasobu platformy Azure, należy dodać przypisanie roli.
W witrynie Azure Portal wyszukaj pozycję Azure OpenAI.
Wybierz pozycję Azure OpenAI i przejdź do określonego zasobu.
Uwaga
Możesz również skonfigurować kontrolę dostępu opartą na rolach platformy Azure dla całych grup zasobów, subskrypcji lub grup zarządzania. Zrób to, wybierając żądany poziom zakresu, a następnie przechodząc do żądanego elementu. Na przykład wybranie pozycji Grupy zasobów, a następnie przejście do określonej grupy zasobów.
Wybierz pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami) w okienku nawigacji po lewej stronie.
Wybierz pozycję Dodaj, a następnie wybierz pozycję Dodaj przypisanie roli.
Na karcie Rola na następnym ekranie wybierz rolę, którą chcesz dodać.
Na karcie Członkowie wybierz użytkownika, grupę, jednostkę usługi lub tożsamość zarządzaną.
Na karcie Przeglądanie i przypisywanie wybierz pozycję Przejrzyj i przypisz, aby przypisać rolę.
W ciągu kilku minut docelowa zostanie przypisana wybrana rola w wybranym zakresie. Aby uzyskać pomoc dotyczącą tych kroków, zobacz Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal.
Role usługi Azure OpenAI
- Użytkownik OpenAI usług Cognitive Services
- Rola współautora usług Cognitive Services
- Współautor usług Cognitive Services
- Czytelnik użycia usług Cognitive Services
Uwaga
Role właściciela i współautora na poziomie subskrypcji są dziedziczone i mają priorytet nad niestandardowymi rolami usługi Azure OpenAI zastosowanymi na poziomie grupy zasobów.
W tej sekcji opisano typowe zadania, które mogą wykonywać różne konta i kombinacje kont dla zasobów usługi Azure OpenAI. Aby wyświetlić pełną listę dostępnych akcji i funkcji DataActions, pojedyncza rola jest udzielana z zasobu azure OpenAI, przejdź do pozycji Kontrola dostępu (IAM)> Role> w kolumnie Szczegóły dla roli, którą chcesz wybrać. Domyślnie jest zaznaczony przycisk promieniowy Akcje . Aby zrozumieć pełny zakres możliwości przypisanych do roli, należy zbadać zarówno akcje , jak i operacje DataAction .
Użytkownik OpenAI usług Cognitive Services
Jeśli użytkownik otrzymał dostęp oparty na rolach tylko do tej roli dla zasobu usługi Azure OpenAI, będzie mógł wykonać następujące typowe zadania:
✅ Wyświetlanie zasobu w witrynie Azure Portal
✅ Wyświetlanie punktu końcowego zasobu w obszarze Klucze i punkt końcowy
✅ Możliwość wyświetlania zasobów i skojarzonych wdrożeń modeli w usłudze Azure AI Studio.
✅ Możliwość wyświetlania modeli dostępnych do wdrożenia w usłudze Azure AI Studio.
✅ Użyj środowisk zabaw czatu, uzupełniania i daLL-E (wersja zapoznawcza), aby wygenerować tekst i obrazy z dowolnymi modelami, które zostały już wdrożone w tym zasobie usługi Azure OpenAI.
✅ Wykonaj wywołania interfejsu API wnioskowania za pomocą identyfikatora Entra firmy Microsoft.
Użytkownik z przypisaną tylko tą rolą nie może:
❌ Tworzenie nowych zasobów usługi Azure OpenAI
❌ Wyświetlanie/kopiowanie/ponowne generowanie kluczy w obszarze Klucze i punkt końcowy
❌ Tworzenie nowych wdrożeń modelu lub edytowanie istniejących wdrożeń modelu
❌ Tworzenie/wdrażanie niestandardowych dostosowanych modeli
❌ Przekazywanie zestawów danych na potrzeby dostrajania
❌ Limit przydziału dostępu
❌ Tworzenie dostosowanych filtrów zawartości
❌ Dodawanie źródła danych na potrzeby korzystania z funkcji danych
Rola współautora usług Cognitive Services
Ta rola ma wszystkie uprawnienia użytkownika OpenAI usług Cognitive Services i może również wykonywać dodatkowe zadania, takie jak:
✅ Tworzenie niestandardowych dostosowanych modeli
✅ Przekazywanie zestawów danych na potrzeby dostrajania
✅ Tworzenie nowych wdrożeń modelu lub edytowanie istniejących wdrożeń modelu [Dodano jesień 2023]
Użytkownik z przypisaną tylko tą rolą nie może:
❌ Tworzenie nowych zasobów usługi Azure OpenAI
❌ Wyświetlanie/kopiowanie/ponowne generowanie kluczy w obszarze Klucze i punkt końcowy
❌ Limit przydziału dostępu
❌ Tworzenie dostosowanych filtrów zawartości
❌ Dodawanie źródła danych na potrzeby korzystania z funkcji danych
Współautor usług Cognitive Services
Ta rola jest zwykle udzielana na poziomie grupy zasobów dla użytkownika w połączeniu z dodatkowymi rolami. Sama ta rola umożliwiłaby użytkownikowi wykonywanie następujących zadań.
✅ Utwórz nowe zasoby usługi Azure OpenAI w przypisanej grupie zasobów.
✅ Wyświetlanie zasobów w przypisanej grupie zasobów w witrynie Azure Portal.
✅ Wyświetlanie punktu końcowego zasobu w obszarze Klucze i punkt końcowy
✅ Wyświetlanie/kopiowanie/ponowne generowanie kluczy w obszarze Klucze i punkt końcowy
✅ Możliwość wyświetlania modeli dostępnych do wdrożenia w usłudze Azure AI Studio
✅ Używanie środowisk zabaw czatu, uzupełniania i języka DALL-E (wersja zapoznawcza) w celu wygenerowania tekstu i obrazów z dowolnymi modelami, które zostały już wdrożone w tym zasobie usługi Azure OpenAI
✅ Tworzenie dostosowanych filtrów zawartości
✅ Dodawanie źródła danych na potrzeby korzystania z funkcji danych
✅ Tworzenie nowych wdrożeń modelu lub edytowanie istniejących wdrożeń modelu (za pośrednictwem interfejsu API)
✅ Tworzenie niestandardowych dostosowanych modeli [Dodano jesień 2023]
✅ Przekazywanie zestawów danych na potrzeby dostrajania [Dodano jesień 2023]
✅ Tworzenie nowych wdrożeń modelu lub edytowanie istniejących wdrożeń modelu (za pośrednictwem programu Azure AI Studio) [Dodano jesień 2023]
Użytkownik z przypisaną tylko tą rolą nie może:
❌ Limit przydziału dostępu
❌ Wykonaj wywołania interfejsu API wnioskowania za pomocą identyfikatora Entra firmy Microsoft.
Czytelnik użycia usług Cognitive Services
Wyświetlanie limitu przydziału wymaga roli Czytelnik użycia usług Cognitive Services. Ta rola zapewnia minimalny dostęp niezbędny do wyświetlania użycia przydziału w ramach subskrypcji platformy Azure.
Tę rolę można znaleźć w witrynie Azure Portal w obszarze Subskrypcje> *Kontrola dostępu (IAM)>Dodaj wyszukiwanie przypisania> roli dla czytelnika użycia usług Cognitive Services. Rola musi być stosowana na poziomie subskrypcji, ale nie istnieje na poziomie zasobu.
Jeśli nie chcesz używać tej roli, rola Czytelnik subskrypcji zapewnia równoważny dostęp, ale także udziela dostępu do odczytu poza zakresem tego, co jest potrzebne do wyświetlania limitu przydziału. Wdrażanie modelu za pośrednictwem programu Azure AI Studio jest również częściowo zależne od obecności tej roli.
Ta rola sama zapewnia niewielką wartość i jest zwykle przypisywana w połączeniu z co najmniej jedną z opisanych wcześniej ról.
Czytelnik użycia usług Cognitive Services i użytkownik openAI usług Cognitive Services
Wszystkie możliwości użytkownika openAI usług Cognitive Services oraz możliwość:
✅ Wyświetlanie alokacji przydziałów w usłudze Azure AI Studio
Czytelnik użycia usług Cognitive Services i współautor openAI usług Cognitive Services
Wszystkie możliwości współautora openAI usług Cognitive Services oraz możliwość:
✅ Wyświetlanie alokacji przydziałów w usłudze Azure AI Studio
Czytelnik użycia usług Cognitive Services i współautor usług Cognitive Services
Wszystkie możliwości współautora usług Cognitive Services oraz możliwość:
✅ Wyświetlanie i edytowanie alokacji przydziałów w usłudze Azure AI Studio
✅ Tworzenie nowych wdrożeń modelu lub edytowanie istniejących wdrożeń modelu (za pośrednictwem usługi Azure AI Studio)
Podsumowanie
Uprawnienia | Użytkownik OpenAI usług Cognitive Services | Rola współautora usług Cognitive Services | Współautor usług Cognitive Services | Czytelnik użycia usług Cognitive Services |
---|---|---|---|---|
Wyświetlanie zasobu w witrynie Azure Portal | ✅ | ✅ | ✅ | ➖ |
Wyświetlanie punktu końcowego zasobu w obszarze "Klucze i punkt końcowy" | ✅ | ✅ | ✅ | ➖ |
Wyświetlanie zasobów i skojarzonych wdrożeń modelu w usłudze Azure AI Studio | ✅ | ✅ | ✅ | ➖ |
Wyświetlanie modeli dostępnych do wdrożenia w usłudze Azure AI Studio | ✅ | ✅ | ✅ | ➖ |
Użyj środowisk zabaw czatu, uzupełniania i języka DALL-E (wersja zapoznawcza) z dowolnymi modelami, które zostały już wdrożone w tym zasobie usługi Azure OpenAI. | ✅ | ✅ | ✅ | ➖ |
Tworzenie lub edytowanie wdrożeń modelu | ❌ | ✅ | ✅ | ➖ |
Tworzenie lub wdrażanie niestandardowych dostosowanych modeli | ❌ | ✅ | ✅ | ➖ |
Przekazywanie zestawów danych na potrzeby dostrajania | ❌ | ✅ | ✅ | ➖ |
Tworzenie nowych zasobów usługi Azure OpenAI | ❌ | ❌ | ✅ | ➖ |
Wyświetlanie/kopiowanie/ponowne generowanie kluczy w obszarze "Klucze i punkt końcowy" | ❌ | ❌ | ✅ | ➖ |
Tworzenie dostosowanych filtrów zawartości | ❌ | ❌ | ✅ | ➖ |
Dodawanie źródła danych dla funkcji "na danych" | ❌ | ❌ | ✅ | ➖ |
Limit przydziału dostępu | ❌ | ❌ | ❌ | ✅ |
Wywoływanie interfejsu API wnioskowania za pomocą identyfikatora Entra firmy Microsoft | ✅ | ✅ | ❌ | ➖ |
Typowe problemy
Nie można wyświetlić opcji Azure Cognitive Search w usłudze Azure AI Studio
Problem:
Podczas wybierania istniejącego zasobu usługi Azure Cognitive Search indeksy wyszukiwania nie są ładowane, a koło ładowania stale się obraca. W usłudze Azure AI Studio przejdź do obszaru Zabaw Chat>Dodaj dane (wersja zapoznawcza) w obszarze Konfiguracja asystenta. Wybranie pozycji Dodaj źródło danych powoduje otwarcie modalnego źródła danych, które umożliwia dodanie źródła danych za pomocą usługi Azure Cognitive Search lub usługi Blob Storage. Wybranie opcji Azure Cognitive Search i istniejącego zasobu usługi Azure Cognitive Search powinno załadować dostępne indeksy usługi Azure Cognitive Search do wyboru.
Główna przyczyna
Aby utworzyć ogólne wywołanie interfejsu API do wyświetlania listy usługa wyszukiwania usługi Azure Cognitive, wykonywane jest następujące wywołanie:
https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Search/searchServices?api-version=2021-04-01-Preview
Zastąp ciąg {subscriptionId} rzeczywistym identyfikatorem subskrypcji.
W przypadku tego wywołania interfejsu API potrzebna jest rola zakresu na poziomie subskrypcji. Rolę Czytelnik można użyć do uzyskiwania dostępu tylko do odczytu lub roli Współautor na potrzeby dostępu do odczytu i zapisu. Jeśli potrzebujesz tylko dostępu do usługi Azure Cognitive usługa wyszukiwania s, możesz użyć ról Współautor usługi Azure Cognitive Search Service lub Czytelnik usługi Azure Cognitive Search.
Możliwe rozwiązania
Skontaktuj się z administratorem subskrypcji lub właścicielem: skontaktuj się z osobą zarządzacą subskrypcją platformy Azure i zażądaj odpowiedniego dostępu. Wyjaśnij wymagania i potrzebną rolę (na przykład Czytelnik, Współautor, Współautor usługi Azure Cognitive Search Lub Czytelnik usługi Azure Cognitive Search Service).
Zażądaj dostępu na poziomie subskrypcji lub grupy zasobów: jeśli potrzebujesz dostępu do określonych zasobów, poproś właściciela subskrypcji o udzielenie ci dostępu na odpowiednim poziomie (subskrypcja lub grupa zasobów). Dzięki temu można wykonywać wymagane zadania bez dostępu do niepowiązanych zasobów.
Użyj kluczy interfejsu API dla usługi Azure Cognitive Search: jeśli potrzebujesz tylko interakcji z usługą Azure Cognitive usługa wyszukiwania, możesz zażądać kluczy administracyjnych lub kluczy zapytań od właściciela subskrypcji. Te klucze umożliwiają wykonywanie wywołań interfejsu API bezpośrednio do usługi wyszukiwania bez konieczności posiadania roli RBAC platformy Azure. Należy pamiętać, że użycie kluczy interfejsu API spowoduje obejście kontroli dostępu RBAC platformy Azure, dlatego należy używać ich ostrożnie i postępować zgodnie z najlepszymi rozwiązaniami w zakresie zabezpieczeń.
Nie można przekazać plików w programie Azure AI Studio dla danych
Objaw: Nie można uzyskać dostępu do magazynu dla funkcji danych przy użyciu programu Azure AI Studio.
Główna przyczyna:
Niewystarczający dostęp na poziomie subskrypcji dla użytkownika próbującego uzyskać dostęp do magazynu obiektów blob w usłudze Azure AI Studio. Użytkownik może nie mieć niezbędnych uprawnień do wywoływania punktu końcowego interfejsu API usługi Azure Management: https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{accountName}/listAccountSas?api-version=2022-09-01
Publiczny dostęp do magazynu obiektów blob jest wyłączony przez właściciela subskrypcji platformy Azure ze względów bezpieczeństwa.
Uprawnienia wymagane do wywołania interfejsu API: **Microsoft.Storage/storageAccounts/listAccountSas/action:**
to uprawnienie umożliwia użytkownikowi wyświetlanie listy tokenów sygnatury dostępu współdzielonego (SAS) dla określonego konta magazynu.
Możliwe przyczyny, dla których użytkownik może nie mieć uprawnień:
- Użytkownik ma przypisaną ograniczoną rolę w subskrypcji platformy Azure, która nie obejmuje niezbędnych uprawnień do wywołania interfejsu API.
- Rola użytkownika została ograniczona przez właściciela subskrypcji lub administratora ze względów bezpieczeństwa lub zgodnie z zasadami organizacji.
- Rola użytkownika została ostatnio zmieniona, a nowa rola nie udziela wymaganych uprawnień.
Możliwe rozwiązania
- Sprawdź i zaktualizuj prawa dostępu: Upewnij się, że użytkownik ma odpowiedni dostęp na poziomie subskrypcji, w tym niezbędne uprawnienia do wywołania interfejsu API (Microsoft.Storage/storageAccounts/listAccountSas/action). W razie potrzeby poproś właściciela subskrypcji lub administratora o przyznanie niezbędnych praw dostępu.
- Zażądaj pomocy od właściciela lub administratora: jeśli powyższe rozwiązanie nie jest możliwe, rozważ poproszenie właściciela subskrypcji lub administratora o przekazanie plików danych w Twoim imieniu. Takie podejście może pomóc w zaimportowaniu danych do usługi Azure AI Studio bez konieczności dostępu na poziomie subskrypcji lub publicznego dostępu do magazynu obiektów blob.
Następne kroki
- Dowiedz się więcej na temat kontroli dostępu opartej na rolach platformy Azure (Azure RBAC).
- Zapoznaj się również zprzypisywanie ról platformy Azure przy użyciu witryny Azure Portal.