Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Note
Этот документ относится к порталу Microsoft Foundry (классическая модель).
🔍 Ознакомьтесь с документацией по Microsoft Foundry (новая), чтобы узнать о новом портале.
Azure OpenAI поддерживает управление доступом на основе ролей Azure (Azure RBAC), систему авторизации для управления отдельным доступом к ресурсам Azure. Используя Azure RBAC, вы назначаете разным участникам группы разные уровни разрешений в зависимости от их потребностей в данном проекте. Дополнительные сведения см. в документации по Azure RBAC.
Добавление назначения ролей в ресурс Azure OpenAI
Azure RBAC можно назначить ресурсу Azure OpenAI. Чтобы предоставить доступ к ресурсу Azure, необходимо добавить назначение роли.
На портале Azure найдите Azure OpenAI.
Выберите Azure OpenAI и перейдите к конкретному ресурсу.
Note
Можно также настроить Azure RBAC для всей группы ресурсов, подписок или групп управления. Для этого выберите нужный уровень области и перейдите к требуемому элементу. Например, выберите группы ресурсов и перейдите к определенной группе ресурсов.
Выберите элемент управления доступом (IAM) на левой панели.
Нажмите + Добавить и выберите Добавить назначение ролей.
На вкладке Роль на следующем экране выберите роль, которую вы хотите добавить.
На вкладке Участники выберите пользователя, группу, субъект-службу или управляемое удостоверение.
На вкладке Проверка и назначение выберите пункт Проверка и назначение, чтобы назначить роль.
Целевой объект будет назначен выбранной роли в выбранной области в течение нескольких минут. Подробные инструкции см. в статье Назначение ролей Azure с помощью портала Azure.
Роли Azure OpenAI
- Пользователь OpenAI в службе Cognitive Services
- Участник службы OpenAI в Cognitive Services
- Участник служб когнитивных сервисов
- Читатель данных об использовании Cognitive Services
Note
Роли владельца и участника уровня подписки наследуются и имеют приоритет над настраиваемыми ролями Azure OpenAI, применяемыми на уровне группы ресурсов.
В этом разделе рассматриваются распространенные задачи, которые могут выполнять различные учетные записи и сочетания учетных записей для ресурсов Azure OpenAI. Чтобы просмотреть полный список доступных действий и действий с данными, необходимо предоставление отдельной роли в вашем ресурсе Azure OpenAI, перейдите в Управление доступом (IAM)>Роли>. В колонке Подробнее о заинтересовавшей вас роли выберите Просмотр. По умолчанию выбрана радиальная кнопка "Действия ". Необходимо изучить действия и DataActions , чтобы понять полную область возможностей, назначенных роли.
Пользователь когнитивных сервисов OpenAI
Если пользователю предоставлен доступ на основе ролей только к этой роли для ресурса Azure OpenAI, они смогут выполнять следующие распространенные задачи:
✅ Просмотр ресурса на портале Azure
✅ Просмотр конечной точки ресурса в разделе "Ключи и конечная точка"
✅ Возможность просматривать развертывания ресурсов и связанных моделей на портале Microsoft Foundry.
✅ Возможность просматривать модели, доступные для развертывания на портале Foundry.
✅ Используйте интерфейсы площадки чата, завершения и DALL-E (предварительная версия) для создания текста и изображений с любыми моделями, которые уже развернуты в этом ресурсе Azure OpenAI.
✅ Выполняйте инференс API вызовы с помощью идентификации Microsoft Entra.
Пользователю, которому назначена только эта роль, не удается:
❌ Создание новых ресурсов Azure OpenAI
❌ Просмотр и копирование и повторное создание ключей в разделе "Ключи" и " Конечная точка"
❌ Создавайте новые развертывания моделей или редактируйте существующие.
❌ Создание и развертывание пользовательских точно настроенных моделей
❌ Отправка наборов данных для точной настройки
❌ Просмотр, запрос, фильтрация сохраненных данных выполнения
❌ Квота доступа
❌ Создание настраиваемых ограничений
Вкладчик Cognitive Services OpenAI
Эта роль имеет все разрешения пользователя OpenAI Cognitive Services и также может выполнять дополнительные задачи, такие как:
✅ Создайте пользовательские точно настроенные модели
✅ Отправка наборов данных для точной настройки
✅ Просмотр, запрос, фильтрация сохраненных данных выполнения
✅ Создайте новые развертывания моделей или редактируйте существующие развертывания моделей [Добавлено осенью 2023 года]
✅ Предоставление доступа к API Помощников
✅ Добавьте источники данных в Azure OpenAI на платформе On Your Data.
Пользователю, которому назначена только эта роль, не удается:
❌ Создание новых ресурсов Azure OpenAI
❌ Просмотр и копирование и повторное создание ключей в разделе "Ключи" и " Конечная точка"
❌ Квота доступа
❌ Создание настраиваемых ограничений
Участник служб когнитивных сервисов
Эта роль обычно предоставляется на уровне группы ресурсов для пользователя в сочетании с дополнительными ролями. Сама по себе эта роль позволит пользователю выполнять следующие задачи.
✅ Создайте новые ресурсы Azure OpenAI в назначенной группе ресурсов.
✅ Просмотр ресурсов в назначенной группе ресурсов на портале Azure.
✅ Просмотр конечной точки ресурса в разделе "Ключи и конечная точка"
✅ Просмотр и копирование и повторное создание ключей в разделе "Ключи" и " Конечная точка"
✅ Возможность просматривать модели, доступные для развертывания на портале Foundry
✅ Используйте интерфейсы площадки чата, завершения и DALL-E (предварительная версия) для создания текста и изображений с любыми моделями, которые уже развернуты в этом ресурсе Azure OpenAI
✅ Создание настраиваемых ограничений
✅ Добавьте источники данных в Azure OpenAI на платформе On Your Data.
✅ Создание новых развертываний моделей или изменение существующих развертываний моделей (с помощью API)
✅ Создание пользовательских настроенных моделей [Добавлено осенью 2023 года]
✅ Отправка наборов данных для точной настройки [добавлено осень 2023]
✅ Создайте новые развертывания моделей или редактируйте существующие развертывания моделей (с помощью Foundry) [Добавлено осенью 2023 г.]
✅ Просмотр, запрос, фильтрация сохраненных данных выполнения
Пользователю, которому назначена только эта роль, не удается:
❌ Квота доступа
❌ Выполняйте инференс API вызовы с помощью идентификации Microsoft Entra.
Просмотр использования сервисов ИИ
Для просмотра квоты требуется роль читателя служб Cognitive Services Usages. Эта роль обеспечивает минимальный доступ, необходимый для просмотра использования квот в подписке Azure.
Эту роль можно найти на портале Azure в разделе Подписки> * Управление доступом (IAM)>Назначение ролей>, найдите роль Читатель использования Cognitive Services. Роль должна применяться на уровне подписки, она не существует на уровне ресурса.
Если вы не хотите использовать эту роль, роль читателя подписки предоставляет эквивалентный доступ, но также предоставляет доступ для чтения за пределы области, необходимой для просмотра квоты. Развертывание модели с помощью портала Foundry также частично зависит от присутствия этой роли.
Эта роль обеспечивает небольшое значение сама по себе и обычно назначается в сочетании с одной или несколькими ранее описанными ролями.
Читатель данных об использовании Cognitive Services + Пользователь OpenAI в рамках Cognitive Services
Все возможности Пользователя OpenAI в рамках Cognitive Services, а также возможность:
✅ Просмотр выделений квот на портале Foundry
Читатель данных о использовании Cognitive Services + Участник OpenAI для Cognitive Services
Все возможности Cognitive Services OpenAI Contributor, а также способность:
✅ Просмотр выделений квот на портале Foundry
Читатель использования Cognitive Services + Участник Cognitive Services
Все возможности участника Cognitive Services, а также возможность:
✅ Просмотр и изменение выделения квот на портале Foundry
✅ Создание развертываний моделей или изменение существующих развертываний моделей (с помощью Foundry)
Summary
| Permissions | Пользователь когнитивных сервисов OpenAI | Вкладчик Cognitive Services OpenAI | Участник служб когнитивных сервисов | Просмотр использования сервисов ИИ |
|---|---|---|---|---|
| Просмотр ресурса в портале Azure | ✅ | ✅ | ✅ | ➖ |
| Просмотр конечной точки ресурса в разделе "Ключи и конечная точка" | ✅ | ✅ | ✅ | ➖ |
| Просмотр ресурсов и связанных развертываний моделей на портале Foundry | ✅ | ✅ | ✅ | ➖ |
| Просмотр моделей, доступных для развертывания на портале Foundry | ✅ | ✅ | ✅ | ➖ |
| Используйте возможности чата, завершения и DALL-E (предварительная версия) с любыми моделями, которые уже развернуты в этом Azure OpenAI ресурсе. | ✅ | ✅ | ✅ | ➖ |
| Создание или изменение развертываний моделей | ❌ | ✅ | ✅ | ➖ |
| Создание или развертывание кастомных моделей | ❌ | ✅ | ✅ | ➖ |
| Отправка наборов данных для точной настройки | ❌ | ✅ | ✅ | ➖ |
| Просмотр, запрос и фильтрация данных завершений, сохраненных в системе | ❌ | ✅ | ✅ | ➖ |
| Создание новых ресурсов Azure OpenAI | ❌ | ❌ | ✅ | ➖ |
| Просмотр и копирование и повторное создание ключей в разделе "Ключи и конечная точка" | ❌ | ❌ | ✅ | ➖ |
| Создание настраиваемых ограничений | ❌ | ❌ | ✅ | ➖ |
| Добавьте источник данных для функции "на ваших данных" | ✅ | ✅ | ✅ | ➖ |
| Квота доступа | ❌ | ❌ | ❌ | ✅ |
| Выполняйте вызовы API выводов с помощью Microsoft Entra ID | ✅ | ✅ | ❌ | ➖ |
Распространенные проблемы
Не удается просмотреть параметр "Когнитивный поиск Azure" на портале Foundry
Issue:
При выборе существующего ресурса Azure Когнитивного поиска индексы поиска не загружаются, а колесо загрузки вращается непрерывно. На портале Foundry перейдите в раздел Playground Chat>Добавьте свои данные (предварительный просмотр) в разделе "Настройка помощника". При выборе "Добавить источник данных" открывается модальный режим, позволяющий добавлять источник данных через Когнитивный поиск Azure или хранилище BLOB-объектов. Выбор параметра и ресурса Когнитивный поиск Azure должен загрузить доступные индексы для выбора.
Коренная причина
Чтобы сделать универсальный вызов API для перечисления служб Когнитивный поиск Azure, выполняется следующий вызов:
https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Search/searchServices?api-version=2021-04-01-Preview
Замените {subscriptionId} фактическим идентификатором подписки.
Для этого вызова API требуется роль области действия подписки . Роль читателя можно использовать для доступа только для чтения, или роль участника — для доступа на чтение и запись. Если вам нужен доступ только к службам Когнитивного поиска Azure, можно использовать роль Участник службы Когнитивного поиска Azure или роль Читатель службы Когнитивного поиска Azure.
Варианты решения
Обратитесь к администратору подписки или владельцу: обратитесь к пользователю, управляющему подпиской Azure, и попросите соответствующего доступа. Объясните свои требования и конкретную роль, которая вам нужна (например, Читатель, Участник, Участник службы Когнитивного поиска Azure или Читатель службы Когнитивного поиска Azure).
Запрос доступа на уровне подписки или группы ресурсов: если вам нужен доступ к определенным ресурсам, попросите владельца подписки предоставить вам доступ на соответствующем уровне (подписка или группа ресурсов). Это позволяет выполнять необходимые задачи без доступа к несвязанным ресурсам.
Используйте ключи API для Когнитивный поиск Azure. Если вам нужно взаимодействовать только с службой Когнитивный поиск Azure, можно запросить ключи администратора или ключи запроса от владельца подписки. Эти ключи позволяют выполнять вызовы API непосредственно в службу поиска, не требуя роли Azure RBAC. Помните, что использование ключей API будет обходить управление доступом Azure RBAC, поэтому используйте их осторожно и следуйте рекомендациям по безопасности.
Не удается передать файлы на портале Foundry для ваших данных
Симптом: Не удается получить доступ к хранилищу для функции «Ваши данные» с помощью Foundry.
Первопричина.
Недостаточно прав доступа на уровне подписки для пользователя, который пытается получить доступ к хранилищу blob-данных на портале Foundry. У пользователя могут не быть необходимых разрешений для вызова конечной точки API управления Azure: https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{accountName}/listAccountSas?api-version=2022-09-01
Владелец подписки на Azure по соображениям безопасности отключил общий доступ к хранилищу BLOB-объектов.
Разрешения, необходимые для вызова API: **Microsoft.Storage/storageAccounts/listAccountSas/action:** это разрешение позволяет пользователю перечислять токены SAS (Маркер Общего Доступа) для указанной учетной записи хранения.
Возможные причины, по которым у пользователя могут не быть разрешений:
- Пользователю назначена ограниченная роль в подписке Azure, которая не включает необходимые разрешения для вызова API.
- Владелец подписки или администратор ограничил права роли пользователя по соображениям безопасности или из-за политик организации.
- Роль пользователя недавно изменилась, и новая роль не предоставляет необходимые разрешения.
Варианты решения
- Проверка и обновление прав доступа. Убедитесь, что у пользователя есть соответствующий доступ на уровне подписки, включая необходимые разрешения для вызова API (Microsoft.Storage/storageAccounts/listAccountSas/action). При необходимости попросите владельца подписки или администратора предоставить необходимые права доступа.
- Обратитесь за помощью к владельцу или администратору: если приведенное выше решение не возможно, попробуйте запросить владельца подписки или администратора отправить файлы данных от вашего имени. Этот подход поможет импортировать данные в Foundry, не требуя доступа пользователя на уровне подписки или общедоступного доступа к хранилищу BLOB-объектов.
Дальнейшие шаги
- Начните работать с модулем безопасности Azure OpenAI
- Дополнительные сведения об управлении доступом на основе ролей Azure (Azure RBAC)
- Кроме того, ознакомьтесь с назначением ролей Azure с помощью портала Azure.