Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Применяется только к:
Портал Foundry (классический). Эта статья недоступна для нового портала Foundry.
Дополнительные сведения о новом портале.
Замечание
Ссылки в этой статье могут открывать содержимое в новой документации Microsoft Foundry вместо классической документации Foundry, которую вы просматриваете в данный момент.
Azure OpenAI поддерживает ролевое управление доступом Azure (Azure RBAC), систему авторизации для управления индивидуальным доступом к ресурсам Azure. Используя Azure RBAC, вы назначаете разных участников команды разные уровни разрешений в зависимости от их потребностей в данном проекте. Дополнительные сведения см. в документации Azure RBAC.
Добавление назначения ролей в ресурс OpenAI Azure
Azure RBAC можно назначить ресурсу OpenAI Azure. Чтобы предоставить доступ к ресурсу Azure, добавьте назначение ролей.
На портале Azure найдите Azure OpenAI.
Выберите Azure OpenAI и перейдите к конкретному ресурсу.
Замечание
Вы также можете настроить Azure RBAC для целых групп ресурсов, подписок или групп управления. Для этого выберите нужный уровень области и перейдите к требуемому элементу. Например, выберите группы ресурсов и перейдите к определенной группе ресурсов.
Выберите Access control (IAM) на левой панели.
Нажмите + Добавить и выберите Добавить назначение ролей.
На вкладке Роль на следующем экране выберите роль, которую вы хотите добавить.
На вкладке Участники выберите пользователя, группу, субъект-службу или управляемое удостоверение.
На вкладке Проверка и назначение выберите пункт Проверка и назначение, чтобы назначить роль.
Целевой объект будет назначен выбранной роли в выбранной области в течение нескольких минут. Помощь по выполнению этих шагов см. в статье Назначение ролей Azure с помощью портала Azure.
Роли Azure OpenAI
- Пользователь OpenAI в службе Cognitive Services
- Участник службы OpenAI в Cognitive Services
- Участник служб когнитивных сервисов
- Читатель данных об использовании Cognitive Services
Замечание
Уровень подписки Owner и Contributor роли наследуются и имеют приоритет над пользовательскими ролями Azure OpenAI, применяемыми на уровне группы ресурсов.
В этом разделе рассматриваются общие задачи, которые могут выполнять различные учетные записи и их комбинации для ресурсов Azure OpenAI. Чтобы просмотреть полный список доступных
Пользователь когнитивных сервисов OpenAI
Если пользователю предоставлен доступ на основе ролей только к этой роли для ресурса OpenAI Azure, они смогут выполнять следующие распространенные задачи:
✅ Просмотр ресурса на портале Azure
✅ Просмотр конечной точки ресурса в разделе "Ключи и конечная точка"
✅ Возможность просматривать развертывания ресурсов и связанных моделей на портале Microsoft Foundry.
✅ Возможность просматривать модели, доступные для развертывания на портале Foundry.
✅ Используйте функции в чате, завершениях и приложении DALL-E (предварительная версия) для создания текста и изображений с использованием любых моделей, которые уже развернуты в этом ресурсе Azure OpenAI.
✅ вызовы API для выполнения инференса с помощью Microsoft Entra ID.
Пользователю, которому назначена только эта роль, не удается:
❌ Создайте новые ресурсы Azure OpenAI
❌ Просмотр и копирование и повторное создание ключей в разделе "Ключи" и " Конечная точка"
❌ Создавайте новые развертывания моделей или редактируйте существующие.
❌ Создание и развертывание пользовательских точно настроенных моделей
❌ Отправка наборов данных для точной настройки
❌ Просмотр, запрос, фильтрация сохраненных данных выполнения
Квота доступа ❌
❌ Создание настраиваемых ограничений
Вкладчик Cognitive Services OpenAI
Эта роль имеет все разрешения пользователя OpenAI Cognitive Services и также может выполнять дополнительные задачи, такие как:
✅ Создайте пользовательские точно настроенные модели
✅ Отправка наборов данных для точной настройки
✅ Просмотр, запрос, фильтрация сохраненных данных выполнения
✅ Создайте новые развертывания моделей или редактируйте существующие развертывания моделей [Добавлено осенью 2023 года]
✅ предоставление доступа к API помощников
✅ Добавьте источники данных в Azure OpenAI on your Data.
Пользователю, которому назначена только эта роль, не удается:
❌ Создайте новые ресурсы Azure OpenAI
❌ Просмотр и копирование и повторное создание ключей в разделе "Ключи" и " Конечная точка"
Квота доступа ❌
❌ Создание настраиваемых ограничений
Участник служб когнитивных сервисов
Эта роль обычно предоставляется на уровне группы ресурсов для пользователя в сочетании с дополнительными ролями. Сама по себе эта роль позволит пользователю выполнять следующие задачи.
✅ Создайте новые ресурсы OpenAI Azure в назначенной группе ресурсов.
✅ Просмотр ресурсов в назначенной группе ресурсов на портале Azure.
✅ Просмотр конечной точки ресурса в разделе "Ключи и конечная точка"
✅ Просмотр и копирование и повторное создание ключей в разделе "Ключи" и " Конечная точка"
✅ Возможность просмотра моделей, доступных для развертывания на портале Foundry
✅ Используйте платформу чата, завершения и DALL-E (предварительный просмотр) для создания текста и изображений с любыми моделями, уже развернутыми на этом ресурсе Azure OpenAI
✅ Создание настраиваемых ограничений
✅ Добавьте источники данных в Azure OpenAI on your Data.
✅ Создание новых развертываний моделей или изменение существующих развертываний моделей (с помощью API)
✅ Создание пользовательских настроенных моделей [Добавлено осенью 2023 года]
✅ Отправка наборов данных для точной настройки [добавлено осень 2023]
✅ Создайте новые развертывания моделей или редактируйте существующие развертывания моделей (с помощью Foundry) [Добавлено осенью 2023 г.]
✅ Просмотр, запрос, фильтрация сохраненных данных выполнения
Пользователю, которому назначена только эта роль, не удается:
Квота доступа ❌
❌ вызовы API для выполнения инференса с помощью Microsoft Entra ID.
Просмотр использования сервисов ИИ
Для просмотра квоты требуется роль читателя служб Cognitive Services Usages. Эта роль обеспечивает минимальный доступ, необходимый для просмотра использования квот в Azure подписке.
Эту роль можно найти на портале Azure в разделе Subscriptions> *Access control (IAM)>Добавить назначение роли> найдите Cognitive Services Usages Reader. Роль должна применяться на уровне подписки, она не существует на уровне ресурса.
Если вы не хотите использовать эту роль, роль Reader предоставляет эквивалентный доступ, но также предоставляет доступ чтения, который превышает объем прав, необходимых для просмотра квоты. Развертывание модели с помощью портала Foundry также частично зависит от присутствия этой роли.
Эта роль обеспечивает небольшое значение сама по себе и обычно назначается в сочетании с одной или несколькими ранее описанными ролями.
Читатель данных об использовании Cognitive Services + Пользователь OpenAI в рамках Cognitive Services
Все возможности Пользователя OpenAI в рамках Cognitive Services, а также возможность:
✅ Просмотр распределения квот на портале Foundry
Читатель данных о использовании Cognitive Services + Участник OpenAI для Cognitive Services
Все возможности Cognitive Services OpenAI Contributor, а также способность:
✅ Просмотр распределения квот на портале Foundry
Читатель использования Cognitive Services + Участник Cognitive Services
Все возможности участника Cognitive Services, а также возможность:
✅ Создание развертываний моделей или изменение существующих развертываний моделей (с помощью Foundry)
Сводка
| Permissions | Пользователь когнитивных сервисов OpenAI | Вкладчик Cognitive Services OpenAI | Участник служб когнитивных сервисов | Просмотр использования сервисов ИИ |
|---|---|---|---|---|
| Просмотр ресурса на портале Azure | ✅ | ✅ | ✅ | ➖ |
| Просмотр конечной точки ресурса в разделе "Ключи и конечная точка" | ✅ | ✅ | ✅ | ➖ |
| Просмотр развертываний ресурсов и связанных моделей на портале Foundry | ✅ | ✅ | ✅ | ➖ |
| Просмотр моделей, доступных для развертывания на портале Foundry | ✅ | ✅ | ✅ | ➖ |
| Используйте среды чата, завершения текстов и DALL-E (предварительная версия) с любыми моделями, которые уже развернуты в данном ресурсе Azure OpenAI. | ✅ | ✅ | ✅ | ➖ |
| Создание или изменение развертываний моделей | ❌ | ✅ | ✅ | ➖ |
| Создание или развертывание кастомных моделей | ❌ | ✅ | ✅ | ➖ |
| Отправка наборов данных для точной настройки | ❌ | ✅ | ✅ | ➖ |
| Просмотр, запрос и фильтрация данных завершений, сохраненных в системе | ❌ | ✅ | ✅ | ➖ |
| Создание новых Azure ресурсов OpenAI | ❌ | ❌ | ✅ | ➖ |
| Просмотр и копирование и повторное создание ключей в разделе "Ключи и конечная точка" | ❌ | ❌ | ✅ | ➖ |
| Создание настраиваемых ограничений | ❌ | ❌ | ✅ | ➖ |
| Добавьте источник данных для функции "на ваших данных" | ✅ | ✅ | ✅ | ➖ |
| квота доступа | ❌ | ❌ | ❌ | ✅ |
| Осуществить вызовы API для вывода с помощью Microsoft Entra ID | ✅ | ✅ | ❌ | ➖ |
Распространенные проблемы
Не удалось просмотреть параметр Когнитивный поиск Azure на портале Foundry
Issue:
При выборе существующего ресурса Когнитивный поиск Azure индексы поиска не загружаются, а индикатор загрузки постоянно крутится. На портале Foundry перейдите к Playground Chat>Добавьте ваши данные (предварительная версия) в разделе настройки Ассистента. При выборе Добавить источник данных открывается модальное окно, которое позволяет добавить источник данных через Когнитивный поиск Azure или Хранилище BLOB-объектов. Выбор параметра Когнитивный поиск Azure и существующего ресурса Когнитивный поиск Azure должен загружать доступные индексы Когнитивный поиск Azure для выбора.
Коренная причина
Чтобы сделать универсальный вызов API для перечисления служб Когнитивный поиск Azure, выполняется следующий вызов:
https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Search/searchServices?api-version=2021-04-01-Preview
Замените {subscriptionId} фактическим идентификатором подписки.
Для этого вызова API требуется роль области действия подписки . Вы можете использовать роль Reader для доступа только для чтения или роль Contributor для доступа с возможностью чтения и записи. Если вам нужен доступ только к службам Когнитивный поиск Azure, можно использовать роли участника службы Когнитивный поиск Azure или читателя службы Когнитивный поиск Azure.
Варианты решения
Обратитесь к администратору подписки или владельцу: обратитесь к лицу, управляющему Azure подпиской, и попросите соответствующего доступа. Объясните свои требования и определенную роль (например, читатель, участник, участник службы Когнитивный поиск Azure или читатель службы Когнитивный поиск Azure).
Запросите доступ уровня подписки или уровня группы ресурсов: если вам нужен доступ к определенным ресурсам, попросите владельца подписки предоставить вам доступ на соответствующем уровне (подписка или группа ресурсов). Это позволяет выполнять необходимые задачи без доступа к несвязанным ресурсам.
Используйте ключи API для Когнитивный поиск Azure. Если вам нужно взаимодействовать только с службой Когнитивный поиск Azure, вы можете запросить ключи администратора или ключи запроса от владельца подписки. Эти ключи позволяют выполнять вызовы API непосредственно в службу поиска без необходимости иметь роль RBAC в Azure. Помните, что использование ключей API будет обходить управление доступом RBAC в Azure, поэтому используйте их осторожно и соблюдайте лучшие практики безопасности.
Не удается передать файлы на портале Foundry для ваших данных
Symptom: Не удается получить доступ к хранилищу для функции on your data с помощью Foundry.
Первопричина.
Недостаточно доступа уровня подписки для пользователя, пытающегося получить доступ к блоб-хранилищу на портале Foundry. Пользователь может не иметь необходимые разрешения для вызова конечной точки API управления Azure: https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{accountName}/listAccountSas?api-version=2022-09-01
Общедоступный доступ к хранилищу BLOB-объектов отключен владельцем подписки Azure по соображениям безопасности.
Разрешения, необходимые для вызова API: Microsoft.Storage/storageAccounts/listAccountSas/action: Это разрешение позволяет пользователю перечислять токены общей подписи доступа (SAS) для указанной учетной записи хранения.
Возможные причины, по которым у пользователя могут не быть разрешений:
- Пользователю назначена ограниченная роль в подписке Azure, которая не включает необходимые разрешения для вызова API.
- Владелец подписки или администратор ограничил права роли пользователя по соображениям безопасности или из-за политик организации.
- Роль пользователя недавно изменилась, и новая роль не предоставляет необходимые разрешения.
Варианты решения
- Проверка и обновление прав доступа. Убедитесь, что у пользователя есть соответствующий доступ на уровне подписки, включая необходимые разрешения для вызова API (Microsoft. Storage/storageAccounts/listAccountSas/action). При необходимости попросите владельца подписки или администратора предоставить необходимые access права.
- Обратитесь за помощью к владельцу или администратору: если приведенное выше решение не возможно, попробуйте запросить владельца подписки или администратора отправить файлы данных от вашего имени. Этот подход может помочь импортировать данные в Foundry без необходимости наличия доступа уровня подписки или общедоступного доступа к хранилищу данных типа blob.
Дальнейшие шаги
- Начните работу с блоком безопасности Azure OpenAI
- Подробнее об управлении доступом на основе ролей Azure (Azure RBAC).
- Кроме того, ознакомьтесь с назначением ролей Azure в портале Azure.