Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Служба Azure OpenAI поддерживает управление доступом на основе ролей Azure (Azure RBAC), систему авторизации для управления отдельным доступом к ресурсам Azure. Используя Azure RBAC, вы назначаете разным участникам группы разные уровни разрешений в зависимости от их потребностей в данном проекте. Дополнительные сведения см. в документации по Azure RBAC.
Добавление назначения ролей в ресурс Azure OpenAI
Azure RBAC можно назначить ресурсу Azure OpenAI. Чтобы предоставить доступ к ресурсу Azure, необходимо добавить назначение роли.
В портал Azure найдите Azure OpenAI.
Выберите Azure OpenAI и перейдите к конкретному ресурсу.
Примечание.
Можно также настроить Azure RBAC для всей группы ресурсов, подписок или групп управления. Для этого выберите нужный уровень области и перейдите к требуемому элементу. Например, выберите группы ресурсов и перейдите к определенной группе ресурсов.
На левой панели навигации выберите Управление доступом (IAM).
Нажмите + Добавить и выберите Добавить назначение ролей.
На вкладке Роль на следующем экране выберите роль, которую вы хотите добавить.
На вкладке Элементы выберите пользователя, группу, субъект-службу или управляемое удостоверение.
Чтобы назначить роль, на вкладке Проверка и назначение выберите Проверка и назначение.
Целевой объект будет назначен выбранной роли в выбранной области в течение нескольких минут. Подробные инструкции см. в статье Назначение ролей Azure с помощью портала Azure.
Роли Azure OpenAI
- Пользователь OpenAI в службе Cognitive Services
- Участник службы OpenAI в Cognitive Services
- Участник служб когнитивных сервисов
- Читатель данных об использовании Cognitive Services
Примечание.
Роли владельца и участника уровня подписки наследуются и имеют приоритет над настраиваемыми ролями Azure OpenAI, применяемыми на уровне группы ресурсов.
В этом разделе рассматриваются распространенные задачи, которые могут выполнять различные учетные записи и сочетания учетных записей для ресурсов Azure OpenAI. Чтобы просмотреть полный список доступных действий и DataActions, назначьте отдельную роль из вашего ресурса Azure OpenAI, перейдите в Управление доступом (IAM)>. В колонке Подробности для интересующей вас роли выберите Просмотр. По умолчанию выбрана радиальная кнопка "Действия ". Необходимо изучить Actions и DataActions, чтобы понять всю область возможностей, назначенных роли.
Пользователь службы OpenAI в Cognitive Services
Если пользователю предоставлен доступ на основе ролей только к этой роли для ресурса Azure OpenAI, они смогут выполнять следующие распространенные задачи:
✅Просмотрите ресурс на портале Azure
✅ Просмотр конечной точки ресурса в разделе "Ключи и конечная точка"
✅ Возможность просматривать развертывания ресурсов и связанных моделей на портале Azure AI Foundry.
✅ Возможность просматривать доступные модели для развертывания на портале Azure AI Foundry.
✅ Используйте интерфейсы площадки чата, завершения и DALL-E (предварительная версия) для создания текста и изображений с любыми моделями, которые уже развернуты в этом ресурсе Azure OpenAI.
✅ Выполняйте инференс API вызовы с помощью идентификации Microsoft Entra.
Пользователю, которому назначена только эта роль, не удается:
❌ Создание новых ресурсов Azure OpenAI
❌ Просмотр и копирование и повторное создание ключей в разделе "Ключи" и " Конечная точка"
❌ Создавайте новые развертывания моделей или редактируйте существующие.
❌ Создание и развертывание пользовательских точно настроенных моделей
❌ Отправка наборов данных для точной настройки
❌ Просмотр, запрос, фильтрация сохраненных данных выполнения
❌ Квота доступа
❌ Создание настраиваемых фильтров содержимого
❌ Добавьте источник данных для функции использования ваших данных
Участник службы OpenAI в Cognitive Services
Эта роль имеет все разрешения пользователя OpenAI Cognitive Services и также может выполнять дополнительные задачи, такие как:
✅ Создайте пользовательские точно настроенные модели
✅ Отправка наборов данных для точной настройки
✅ Просмотр, запрос, фильтрация сохраненных данных завершения
✅ Создайте новые развертывания моделей или редактируйте существующие развертывания моделей [Добавлено осенью 2023 года]
✅ Добавьте источники данных в Azure OpenAI на платформе On Your Data.
Кроме того, у вас должна быть роль участника Cognitive Services.
Пользователю, которому назначена только эта роль, не удается:
❌ Создание новых ресурсов Azure OpenAI
❌ Просмотр и копирование и повторное создание ключей в разделе "Ключи" и " Конечная точка"
❌ Квота доступа
❌ Создание настраиваемых фильтров содержимого
❌ Добавление источника данных для Azure OpenAI на ваших данных
Вкладчик служб когнитивных сервисов
Эта роль обычно предоставляется на уровне группы ресурсов для пользователя в сочетании с дополнительными ролями. Сама по себе эта роль позволит пользователю выполнять следующие задачи.
✅ Создайте новые ресурсы Azure OpenAI в назначенной группе ресурсов.
✅Просматривайте ресурсы в назначенной группе ресурсов в портале Azure.
✅ Просмотр конечной точки ресурса в разделе "Ключи и конечная точка"
✅ Просмотр и копирование и повторное создание ключей в разделе "Ключи" и " Конечная точка"
✅ Возможность просматривать модели, доступные для развертывания на портале Azure AI Foundry
✅ Используйте интерфейсы площадки чата, завершения и DALL-E (предварительная версия) для создания текста и изображений с любыми моделями, которые уже развернуты в этом ресурсе Azure OpenAI
✅ Создание настраиваемых фильтров содержимого
✅ Добавьте источники данных в Azure OpenAI в ваши данные.
Кроме того, у вас должна быть роль спонсора OpenAI в Cognitive Services.
✅ Создание новых развертываний моделей или изменение существующих развертываний моделей (с помощью API)
✅ Создание пользовательских настроенных моделей [Добавлено осенью 2023 года]
✅ Отправка наборов данных для точной настройки [добавлено осень 2023]
✅ Создание развертываний моделей или изменение существующих развертываний моделей (с помощью Azure AI Foundry) [Добавлено осенью 2023]
✅ Просмотр, запрос, фильтрация сохраненных данных завершения
Пользователю, которому назначена только эта роль, не удается:
❌ Квота доступа
❌ Совершайте вызовы API для инференции, используя Microsoft Entra ID.
Читатель использования Cognitive Services
Для просмотра квоты требуется роль читателя служб Cognitive Services Usages. Эта роль обеспечивает минимальный доступ, необходимый для просмотра использования квот в подписке Azure.
Эту роль можно найти в портале Azure в разделе Подписки> *Управление доступом (IAM)>Добавление назначения роли>, найдите Чтение использования Cognitive Services. Роль должна применяться на уровне подписки, она не существует на уровне ресурса.
Если вы не хотите использовать эту роль, роль читателя подписки предоставляет эквивалентный доступ, но также предоставляет доступ для чтения за пределы области, необходимой для просмотра квоты. Развертывание модели с помощью портала Azure AI Foundry также частично зависит от присутствия этой роли.
Эта роль обеспечивает небольшое значение сама по себе и обычно назначается в сочетании с одной или несколькими ранее описанными ролями.
Читатель данных об использовании Cognitive Services + Пользователь OpenAI в рамках Cognitive Services
Все возможности Пользователя OpenAI в рамках Cognitive Services, а также возможность:
✅ Просмотр выделения квот на портале Azure AI Foundry
Читатель данных о использовании Cognitive Services + Участник OpenAI для Cognitive Services
Все возможности Cognitive Services OpenAI Contributor, а также способность:
✅ Просмотр выделения квот на портале Azure AI Foundry
Читатель использования Cognitive Services + Участник Cognitive Services
Все возможности участника Cognitive Services, а также возможность:
✅ Просмотр и изменение выделения квот на портале Azure AI Foundry
✅ Создание развертываний моделей или изменение существующих развертываний моделей (с помощью Azure AI Foundry)
Итоги
| Разрешения | Пользователь службы OpenAI в Cognitive Services | Участник службы OpenAI в Cognitive Services | Участник Cognitive Services | Читатель использования Cognitive Services |
|---|---|---|---|---|
| Просмотр ресурса в портале Azure | ✅ | ✅ | ✅ | ➖ |
| Просмотр конечной точки ресурса в разделе "Ключи и конечная точка" | ✅ | ✅ | ✅ | ➖ |
| Просмотр развертываний ресурсов и связанных моделей на портале Azure AI Foundry | ✅ | ✅ | ✅ | ➖ |
| Просмотр моделей, доступных для развертывания на портале Azure AI Foundry | ✅ | ✅ | ✅ | ➖ |
| Используйте возможности чата, завершения и DALL-E (предварительная версия) с любыми моделями, которые уже развернуты в этом Azure OpenAI ресурсе. | ✅ | ✅ | ✅ | ➖ |
| Создание или изменение развертываний моделей | ❌ | ✅ | ✅ | ➖ |
| Создание или развертывание пользовательских точно настроенных моделей | ❌ | ✅ | ✅ | ➖ |
| Отправка наборов данных для точной настройки | ❌ | ✅ | ✅ | ➖ |
| Просмотр, запрос, фильтрация сохраненных данных конкурентов | ❌ | ✅ | ✅ | ➖ |
| Создание новых ресурсов Azure OpenAI | ❌ | ❌ | ✅ | ➖ |
| Просмотр и копирование и повторное создание ключей в разделе "Ключи и конечная точка" | ❌ | ❌ | ✅ | ➖ |
| Создание настраиваемых фильтров содержимого | ❌ | ❌ | ✅ | ➖ |
| Добавьте источник данных для функции "на ваших данных" | ❌ | ❌ | ✅ | ➖ |
| Квота доступа | ❌ | ❌ | ❌ | ✅ |
| Создание инференциальных вызовов API с помощью Microsoft Entra ID | ✅ | ✅ | ❌ | ➖ |
Распространенные проблемы
Не удается просмотреть параметр Когнитивный поиск Azure на портале Azure AI Foundry
Проблема.
При выборе существующего ресурса Azure Когнитивного поиска индексы поиска не загружаются, а колесо загрузки вращается непрерывно. На портале Azure AI Foundry перейдите в раздел Playground Chat> и выберите Добавить ваши данные (предварительная версия) в разделе настройки "Помощника". При выборе "Добавить источник данных" открывается модальный режим, позволяющий добавлять источник данных через Когнитивный поиск Azure или хранилище BLOB-объектов. Выбор параметра и ресурса Когнитивный поиск Azure должен загрузить доступные индексы для выбора.
Первопричина
Чтобы сделать универсальный вызов API для перечисления служб Когнитивный поиск Azure, выполняется следующий вызов:
https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Search/searchServices?api-version=2021-04-01-Preview
Замените {subscriptionId} фактическим идентификатором подписки.
Для этого вызова API требуется роль на уровне подписки. Роль Читателя можно использовать для доступа только для чтения, а роль Участника — для доступа с возможностью записи. Если вам нужен доступ только к службам Когнитивного поиска Azure, можно использовать роль Участник службы Когнитивного поиска Azure или роль Читатель службы Когнитивного поиска Azure.
Варианты решений
Обратитесь к администратору подписки или владельцу: обратитесь к пользователю, управляющему подпиской Azure, и попросите соответствующего доступа. Объясните свои требования и конкретную роль, которая вам нужна (например, Читатель, Участник, Участник службы Когнитивного поиска Azure или Читатель службы Когнитивного поиска Azure).
Запрос доступа на уровне подписки или группы ресурсов: если вам нужен доступ к определенным ресурсам, попросите владельца подписки предоставить вам доступ на соответствующем уровне (подписка или группа ресурсов). Это позволяет выполнять необходимые задачи без доступа к несвязанным ресурсам.
Используйте ключи API для Когнитивный поиск Azure. Если вам нужно взаимодействовать только с службой Когнитивный поиск Azure, можно запросить ключи администратора или ключи запроса от владельца подписки. Эти ключи позволяют выполнять вызовы API непосредственно в службу поиска, не требуя роли Azure RBAC. Помните, что использование ключей API будет обходить управление доступом Azure RBAC, поэтому используйте их осторожно и следуйте рекомендациям по безопасности.
Не удалось передать файлы на портале Azure AI Foundry для ваших данных.
Симптом: Не удается получить доступ к хранилищу для функции on your data с помощью Azure AI Foundry.
Первопричина.
Недостаточный уровень доступа по подписке для пользователя, пытающегося получить доступ к хранилищу BLOB-объектов на портале Azure AI Foundry. У пользователя могут не быть необходимых разрешений для вызова конечной точки API управления Azure: https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{accountName}/listAccountSas?api-version=2022-09-01
Владелец подписки на Azure по соображениям безопасности отключил общий доступ к хранилищу BLOB-объектов.
Разрешения, необходимые для вызова API: **Microsoft.Storage/storageAccounts/listAccountSas/action:** это разрешение позволяет пользователю перечислять токены SAS (Маркер Общего Доступа) для указанной учетной записи хранения.
Возможные причины, по которым у пользователя могут не быть разрешений:
- Пользователю назначена ограниченная роль в подписке Azure, которая не включает необходимые разрешения для вызова API.
- Владелец подписки или администратор ограничил права роли пользователя по соображениям безопасности или из-за политик организации.
- Роль пользователя недавно изменилась, и новая роль не предоставляет необходимые разрешения.
Варианты решений
- Проверка и обновление прав доступа. Убедитесь, что у пользователя есть соответствующий доступ на уровне подписки, включая необходимые разрешения для вызова API (Microsoft.Storage/storageAccounts/listAccountSas/action). При необходимости попросите владельца подписки или администратора предоставить необходимые права доступа.
- Обратитесь за помощью к владельцу или администратору: если приведенное выше решение не возможно, попробуйте запросить владельца подписки или администратора отправить файлы данных от вашего имени. Этот подход может помочь импортировать данные в Azure AI Foundry без необходимости пользователю иметь доступ на уровне подписки или общедоступный доступ к хранилищу BLOB-объектов.
Следующие шаги
- Начните работать с модулем безопасности Azure OpenAI
- Дополнительные сведения об управлении доступом на основе ролей Azure (Azure RBAC)
- Кроме того, ознакомьтесь с назначением ролей Azure с помощью портала Azure.