Controle de acesso baseado em função para o Serviço OpenAI do Azure
O Serviço OpenAI do Azure dá suporte ao controle de acesso baseado em função do Azure (RBAC do Azure), um sistema de autorização para gerenciar o acesso individual aos recursos do Azure. Usando o RBAC do Azure, você atribui diferentes níveis de permissões a diferentes membros da equipe com base em suas necessidades para um determinado projeto. Para obter mais informações, confira a documentação do RBAC do Azure.
Adicionar atribuição de função a um recurso do OpenAI do Azure
O RBAC do Azure pode ser atribuído a um recurso do OpenAI do Azure. Para permitir acesso a um recurso do Azure, você adiciona uma atribuição de função.
No portal do Azure, pesquise OpenAI do Azure.
Selecione OpenAI do Azure e navegue até seu recurso específico.
Observação
Você também pode configurar o RBAC do Azure para grupos de recursos, assinaturas ou grupos de gerenciamento inteiros. Faça isso por meio da seleção do nível de escopo desejado e, em seguida, navegue até o item desejado. Por exemplo, selecione Grupos de recursos e, em seguida, navegue até um grupo de recursos específico.
Selecione Controle de acesso (IAM) no painel de navegação à esquerda.
Selecione Adicionar e Adicionar atribuição de função.
Na guia Função na próxima tela, selecione uma função que deseja adicionar.
Na guia Membros, selecione um usuário, um grupo, uma entidade de serviço ou uma identidade gerenciada.
Na guia Examinar + atribuir, selecione Examinar + atribuir para atribuir a função.
Em alguns minutos, o destino será atribuído à função selecionada no escopo selecionado. Para obter ajuda com essas etapas, confira Atribuir funções do Azure usando o portal do Azure.
Funções OpenAI do Azure
- Usuário do OpenAI de Serviços Cognitivos
- Colaborador de OpenAI dos Serviços Cognitivos
- Colaborador dos Serviços Cognitivos
- Leitor de Usos dos Serviços Cognitivos
Observação
As funções Proprietário e Colaborador no nível da assinatura são herdadas e têm prioridade sobre as funções personalizadas do OpenAI do Azure aplicada no nível do Grupo de Recursos.
Esta seção aborda tarefas comuns que diferentes contas e combinações de contas podem executar para recursos do OpenAI do Azure. Para exibir a lista completa de Ações e DataActions, uma função individual é concedida a partir do recurso do OpenAI do Azure; acesse Controle de acesso (IAM)>Funções> na coluna Detalhes da função que você está interessado; selecione Exibir. Por padrão, o botão de opções Ações é selecionado. Você precisa examinar Ações e DataActions para entender o escopo completo dos recursos atribuídos a uma função.
Usuário do OpenAI de Serviços Cognitivos
Se um usuário recebesse acesso baseado em função apenas a essa função para um recurso do OpenAI do Azure, ele seria capaz de executar as seguintes tarefas comuns:
✅ Exibir o recurso no portal do Azure
✅ Exibir o ponto de extremidade do recurso em Chaves e Ponto de Extremidade
✅ Capacidade de exibir a implantação de modelos associados no portal do Azure AI Foundry.
✅ Capacidade de exibir quais modelos estão disponíveis para implantação no portal do Azure AI Foundry.
✅ Use as experiências de playground Chat, Preenchimentos e DALL-E (versão prévia) para gerar texto e imagens com todos os modelos que já foram implantados neste recurso do OpenAI do Azure.
✅ Faça chamadas à API de inferência com o Microsoft Entra ID.
Um usuário com apenas essa função atribuída não seria capaz de:
❌ Criar novos recursos do OpenAI do Azure
❌ Exibir/Copiar/Regenerar chaves em Chaves e Ponto de Extremidade
❌ Criar novas implantações de modelo ou editar implantações de modelo existentes
❌ Criar/implantar modelos personalizados ajustados
❌ Carregar conjuntos de dados para ajuste fino
❌ Ver, consultar, filtrar dados de preenchimentos armazenados
❌ Acessar cota
❌ Criar filtros de conteúdo personalizados
❌ Adicionar uma fonte de dados para usar o recurso de dados
Colaborador de OpenAI dos Serviços Cognitivos
Essa função tem todas as permissões do Usuário do OpenAI dos Serviços Cognitivos e também é capaz de executar tarefas adicionais como:
✅ Criar modelos personalizados ajustados
✅ Carregar conjuntos de dados para ajuste fino
✅ Ver, consultar, filtrar dados de preenchimentos armazenados
✅ Criar novas implantações de modelo ou editar implantações de modelo existentes [Adicionado na primavera de 2023]
Um usuário com apenas essa função atribuída não seria capaz de:
❌ Criar novos recursos do OpenAI do Azure
❌ Exibir/Copiar/Regenerar chaves em Chaves e Ponto de Extremidade
❌ Acessar cota
❌ Criar filtros de conteúdo personalizados
❌ Adicionar uma fonte de dados para usar o recurso de dados
Colaborador dos Serviços Cognitivos
Normalmente, essa função recebe acesso no nível do grupo de recursos para um usuário em conjunto com funções adicionais. Por si só, essa função permitiria que um usuário executasse as tarefas a seguir.
✅ Criar novos recursos do OpenAI do Azure no grupo de recursos atribuído.
✅ Exibir recursos no grupo de recursos atribuído no portal do Azure.
✅ Exibir o ponto de extremidade do recurso em Chaves e Ponto de Extremidade
✅ Exibir/Copiar/Regenerar chaves em Chaves e Ponto de Extremidade
✅ Capacidade de exibir quais modelos estão disponíveis para implantação no portal do Azure AI Foundry
✅ Usar as experiências de playground Chat, Preenchimentos e DALL-E (versão prévia) para gerar texto e imagens com todos os modelos que já foram implantados neste recurso do OpenAI do Azure
✅ Criar filtros de conteúdo personalizados
✅ Adicionar uma fonte de dados para usar o recurso de dados
✅ Criar novas implantações de modelo ou editar implantações de modelo existentes (por meio da API)
✅ Criar modelos personalizados ajustados [Adicionado na primavera de 2023]
✅ Carregar conjuntos de dados para ajuste fino [Adicionado na primavera de 2023]
✅ Criar implantações de modelo ou editar as implantações de modelo existentes (por meio do Azure AI Foundry) [adicionado no segundo trimestre de 2023]✅ Ver, consultar, filtrar dados de preenchimentos armazenados
Um usuário com apenas essa função atribuída não seria capaz de:
❌ Acessar cota
❌ Faça chamadas à API de inferência com o Microsoft Entra ID.
Leitor de Usos dos Serviços Cognitivos
Exibir cotas requer a função Leitor de Usos dos Serviços Cognitivos. Essa função fornece o acesso mínimo necessário para exibir o uso da cota em uma assinatura do Azure.
Essa função pode ser encontrada no portal do Azure em Assinaturas> *Controle de acesso (IAM)>Adicionar atribuição de função> pesquise Leitor de Usos dos Serviços Cognitivos. A função deve ser aplicada no nível da assinatura, ela não existe no nível do recurso.
Se você não quiser usar essa função, a função Leitor da assinatura fornecerá acesso equivalente, mas também concederá acesso de leitura além do escopo do que é necessário para exibir a cota. A implantação de modelos no portal do Azure AI Foundry também depende parcialmente da presença dessa função.
Essa função fornece pouco valor por si só e normalmente é atribuída em combinação com uma ou mais das funções descritas.
Leitor de Usos dos Serviços Cognitivos + Usuário do OpenAI dos Serviços Cognitivos
Todos os recursos do usuário OpenAI de Serviços Cognitivos, além da capacidade de:
✅ Exibir alocações de cotas no portal do Azure AI Foundry
Leitor de Usos dos Serviços Cognitivos + Colaborador do OpenAI dos Serviços Cognitivos
Todos os recursos do Colaborador do OpenAI dos Serviços Cognitivos mais a capacidade de:
✅ Exibir alocações de cotas no portal do Azure AI Foundry
Leitor de Usos dos Serviços Cognitivos + Colaborador dos Serviços Cognitivos
Todos os recursos do Colaborador dos Serviços Cognitivos mais a capacidade de:
✅ Exibir e editar alocações de cotas no portal do Azure AI Foundry
✅ Criar implantações de modelo ou editar implantações de modelo existentes (por meio do Azure AI Foundry)
Resumo
Permissões | Usuário do OpenAI de Serviços Cognitivos | Colaborador de OpenAI dos Serviços Cognitivos | Colaborador dos Serviços Cognitivos | Leitor de Usos dos Serviços Cognitivos |
---|---|---|---|---|
Exibir o recurso no portal do Azure | ✅ | ✅ | ✅ | ➖ |
Exibir o ponto de extremidade do recurso em “Chaves e Ponto de Extremidade” | ✅ | ✅ | ✅ | ➖ |
Exibir a implantação de modelos associados no portal do Azure AI Foundry | ✅ | ✅ | ✅ | ➖ |
Exibir quais modelos estão disponíveis para implantação no portal do Azure AI Foundry | ✅ | ✅ | ✅ | ➖ |
Usar as experiências de playground Chat, Preenchimentos e DALL-E (versão prévia) com todos os modelos que já foram implantados neste recurso do OpenAI do Azure. | ✅ | ✅ | ✅ | ➖ |
Criar ou editar implantações de modelo | ❌ | ✅ | ✅ | ➖ |
Criar ou implantar modelos personalizados ajustados | ❌ | ✅ | ✅ | ➖ |
Carregar conjuntos de dados para ajuste fino | ❌ | ✅ | ✅ | ➖ |
Ver, consultar, filtrar dados de preenchimentos armazenados | ❌ | ✅ | ✅ | ➖ |
Criar novos recursos do OpenAI do Azure | ❌ | ❌ | ✅ | ➖ |
Exibir/Copiar/Regenerar chaves em “Chaves e Ponto de Extremidade” | ❌ | ❌ | ✅ | ➖ |
Criar filtros de conteúdo personalizados | ❌ | ❌ | ✅ | ➖ |
Adicionar uma fonte de dados para o recurso “nos seus dados” | ❌ | ❌ | ✅ | ➖ |
Acessar cota | ❌ | ❌ | ❌ | ✅ |
Fazer chamadas à API de inferência com o Microsoft Entra ID | ✅ | ✅ | ❌ | ➖ |
Problemas comuns
Não é possível exibir a opção Azure Cognitive Search no portal do Azure AI Foundry
Problema:
Ao selecionar um recurso do Azure Cognitive Search existente, os índices de pesquisa não serão carregados e pacote wheel de carregamento girará continuamente. No portal do Azure AI Foundry, vá para Chat do Playground>Adicione seus dados (versão prévia) em Configuração do Assistente. Selecionar Adicionar uma fonte de dados abre um modal que permite adicionar uma fonte de dados por meio do Azure Cognitive Search ou Armazenamento de Blobs. Selecionar a opção Azure Cognitive Search e um recurso do Azure Cognitive Search existente deve carregar os índices do Azure Cognitive Search disponíveis para seleção.
Causa raiz
Para fazer uma chamada à API genérica para listar serviços do Azure Cognitive Search, a seguinte chamada é feita:
https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Search/searchServices?api-version=2021-04-01-Preview
Substitua {subscriptionId} pela sua ID da assinatura real.
Para essa chamada à API, você precisa de uma função de escopo no nível da assinatura. Você pode usar a função Leitor para acesso somente leitura ou a função Colaborador para acesso de leitura/gravação. Se você precisar apenas de acesso a serviços do Azure Cognitive Search, poderá usar as funções Colaborador do Serviço Azure Cognitive Search ou Leitor de Serviço Azure Cognitive Search.
Opções de solução
Entre em contato com o administrador ou proprietário da assinatura: entre em contato com a pessoa que gerencia sua assinatura do Azure e solicite o acesso apropriado. Explique seus requisitos a função específica necessária (por exemplo, Leitor, Colaborador, Colaborador do Serviço Azure Cognitive Search ou Leitor de Serviço Azure Cognitive Search).
Solicitar acesso no nível da assinatura ou ao grupo de recursos: se você precisar de acesso a recursos específicos, peça ao proprietário da assinatura para conceder acesso no nível apropriado (assinatura ou grupo de recursos). Isso permite que você execute as tarefas necessárias sem ter acesso a recursos não relacionados.
Usar chaves de API para Azure Cognitive Search: se você só precisar interagir com o serviço Azure Cognitive Search, poderá solicitar as chaves de administração ou chaves de consulta do proprietário da assinatura. Essas chaves permitem que você faça chamadas à API diretamente para o serviço de pesquisa sem precisar de uma função RBAC do Azure. Tenha em mente que o uso de chaves de API irá ignorar o controle de acesso RBAC do Azure, portanto, use-as com cautela e siga as melhores práticas de segurança.
Não é possível carregar arquivos no portal do Azure AI Foundry para seus dados
Sintoma: Não é possível acessar o armazenamento para a funcionalidade seus dados usando Azure AI Foundry.
Causa raiz:
Acesso insuficiente no nível da assinatura para o usuário que está tentando acessar o armazenamento de blobs no portal do Azure AI Foundry. O usuário pode não ter as permissões necessárias para chamar o ponto de extremidade da API de Gerenciamento do Azure: https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{accountName}/listAccountSas?api-version=2022-09-01
O acesso público ao armazenamento de blobs é desabilitado pelo proprietário da assinatura do Azure por motivos de segurança.
Permissões necessárias para a chamada à API: **Microsoft.Storage/storageAccounts/listAccountSas/action:**
essa permissão permite que o usuário liste os tokens SAS (Assinatura de Acesso Compartilhado) para a conta de armazenamento especificada.
Possíveis motivos pelos quais o usuário pode não ter permissões:
- O usuário recebe uma função limitada na assinatura do Azure, que não inclui as permissões necessárias para a chamada à API.
- A função do usuário foi restrita pelo proprietário ou administrador da assinatura devido a questões de segurança ou políticas organizacionais.
- A função do usuário foi alterada recentemente e a nova função não concede as permissões necessárias.
Opções de solução
- Verificar e atualizar os direitos de acesso: certifique-se de que o usuário tem o acesso apropriado no nível da assinatura, incluindo as permissões necessárias para a chamada à API (Microsoft.Storage/storageAccounts/listAccountSas/action). Se necessário, solicite ao proprietário ou administrador da assinatura que conceda os direitos de acesso necessários.
- Solicitar assistência do proprietário ou administrador: se a solução acima não for viável, considere pedir ao proprietário ou administrador da assinatura para carregar os arquivos de dados em seu nome. Essa abordagem pode ajudar a importar os dados para o Azure AI Foundry sem que o usuário precise de acesso no nível de assinatura ou acesso público ao armazenamento de blobs.
Próximas etapas
- Saiba mais sobre o RBAC do Azure (controle de acesso baseado em função do Azure).
- Confira também Atribuir funções do Azure usando o portal do Azure.