Řízení přístupu na základě role pro službu Azure OpenAI Service

Služba Azure OpenAI podporuje řízení přístupu na základě role v Azure (Azure RBAC), autorizační systém pro správu individuálního přístupu k prostředkům Azure. Pomocí Azure RBAC přiřadíte různým členům týmu různé úrovně oprávnění na základě jejich potřeb pro daný projekt. Další informace najdete v dokumentaci k Azure RBAC.

Přidání přiřazení role k prostředku Azure OpenAI

Azure RBAC je možné přiřadit k prostředku Azure OpenAI. Pokud chcete udělit přístup k prostředku Azure, přidejte přiřazení role.

  1. Na webu Azure Portal vyhledejte Azure OpenAI.

  2. Vyberte Azure OpenAI a přejděte ke konkrétnímu prostředku.

    Poznámka:

    Azure RBAC můžete také nastavit pro celé skupiny prostředků, předplatná nebo skupiny pro správu. Uděláte to tak, že vyberete požadovanou úroveň oboru a pak přejdete na požadovanou položku. Vyberte například skupiny prostředků a pak přejděte na konkrétní skupinu prostředků.

  3. V levém navigačním podokně vyberte Řízení přístupu (IAM ).

  4. Vyberte Přidat a pak vyberte Přidat přiřazení role.

  5. Na kartě Role na další obrazovce vyberte roli, kterou chcete přidat.

  6. Na kartě Členové vyberte uživatele, skupinu, instanční objekt nebo spravovanou identitu.

  7. Na kartě Zkontrolovat a přiřadit vyberte možnost Zkontrolovat a přiřadit a přiřaďte roli.

Během několika minut bude cíli přiřazena vybraná role ve vybraném oboru. Nápovědu k těmto krokům najdete v tématu Přiřazení rolí Azure pomocí webu Azure Portal.

Role Azure OpenAI

  • Uživatel Cognitive Services OpenAI
  • Přispěvatel Cognitive Services OpenAI
  • Přispěvatel služeb Cognitive Services
  • Čtenář využití služeb Cognitive Services

Poznámka:

Role Vlastník a Přispěvatel na úrovni předplatného se dědí a mají přednost před vlastními rolemi Azure OpenAI použitými na úrovni skupiny prostředků.

Tato část popisuje běžné úlohy, které mohou různé účty a kombinace účtů provádět pro prostředky Azure OpenAI. Pokud chcete zobrazit úplný seznam dostupných akcí a akcí DataActions, z vašeho prostředku Azure OpenAI se udělí role řízení přístupu (IAM)>Role> v části Podrobnosti pro roli, kterou vás zajímá, vybrat Zobrazení. Ve výchozím nastavení je vybráno kruhové tlačítko Akce . Abyste porozuměli plnému rozsahu funkcí přiřazených k roli, musíte prozkoumat akce i akce DataActions .

Uživatel Cognitive Services OpenAI

Pokud by uživateli byl udělen přístup na základě role pouze k této roli pro prostředek Azure OpenAI, mohl by provádět následující běžné úlohy:

✅ Zobrazení prostředku na webu Azure Portal
✅ Zobrazení koncového bodu prostředku v části Klíče a koncový bod
✅ Možnost zobrazení prostředků a přidružených nasazení modelů v nástroji Azure OpenAI Studio
✅ Možnost zobrazit modely, které jsou k dispozici pro nasazení v nástroji Azure OpenAI Studio.
✅ Pomocí prostředí chatu, dokončování a DALL-E (Preview) můžete vygenerovat text a obrázky se všemi modely, které už byly nasazeny do tohoto prostředku Azure OpenAI.
✅ Volání rozhraní API pro odvozování pomocí ID Microsoft Entra

Uživatel, který má přiřazenou jenom tuto roli, by nemohl:

❌ Vytvoření nových prostředků Azure OpenAI
❌ Zobrazení, kopírování a opětovné vygenerování klíčů v části Klíče a koncový bod
❌ Vytvoření nových nasazení modelu nebo úprava existujících nasazení modelu
❌ Vytvoření nebo nasazení vlastních jemně vyladěných modelů
❌ Nahrání datových sad pro vyladění
❌ Kvóta přístupu
❌ Vytvoření přizpůsobených filtrů obsahu
❌ Přidání zdroje dat pro použití funkce dat

Přispěvatel Cognitive Services OpenAI

Tato role má všechna oprávnění uživatele OpenAI služeb Cognitive Services a může také provádět další úlohy, jako jsou:

✅ Vytváření vlastních jemně vyladěných modelů
✅ Nahrání datových sad pro vyladění
✅ Vytvoření nových nasazení modelu nebo úprava existujících nasazení modelu [Přidáno z podzimu 2023]

Uživatel, který má přiřazenou jenom tuto roli, by nemohl:

❌ Vytvoření nových prostředků Azure OpenAI
❌ Zobrazení, kopírování a opětovné vygenerování klíčů v části Klíče a koncový bod
❌ Kvóta přístupu
❌ Vytvoření přizpůsobených filtrů obsahu
❌ Přidání zdroje dat pro použití funkce dat

Přispěvatel služeb Cognitive Services

Tato role má obvykle udělený přístup na úrovni skupiny prostředků pro uživatele ve spojení s dalšími rolemi. Sama o sobě by tato role uživateli umožnila provádět následující úlohy.

✅ Vytvořte nové prostředky Azure OpenAI v rámci přiřazené skupiny prostředků.
✅ Zobrazte prostředky v přiřazené skupině prostředků na webu Azure Portal.
✅ Zobrazení koncového bodu prostředku v části Klíče a koncový bod
✅ Zobrazení, kopírování a opětovné vygenerování klíčů v části Klíče a koncový bod
✅ Možnost zobrazit, jaké modely jsou k dispozici pro nasazení v Nástroji Azure OpenAI Studio
✅ Použití prostředí chatu, dokončování a DALL-E (Preview) k vygenerování textu a obrázků s libovolnými modely, které už byly nasazené na tento prostředek Azure OpenAI
✅ Vytvoření přizpůsobených filtrů obsahu
✅ Přidání zdroje dat pro použití funkce dat
✅ Vytvoření nových nasazení modelu nebo úprava existujících nasazení modelu (prostřednictvím rozhraní API)
✅ Vytváření vlastních jemně vyladěných modelů [Přidáno z podzimu 2023]
✅ Nahrání datových sad pro vyladění [přidáno z podzimu 2023]
✅ Vytvoření nových nasazení modelu nebo úprava existujících nasazení modelu (prostřednictvím nástroje Azure OpenAI Studio) [Přidáno z podzimu 2023]

Uživatel, který má přiřazenou jenom tuto roli, by nemohl:

❌ Kvóta přístupu
❌ Volání rozhraní API pro odvozování pomocí ID Microsoft Entra

Čtenář využití služeb Cognitive Services

Zobrazení kvóty vyžaduje roli Čtenář využití služeb Cognitive Services. Tato role poskytuje minimální přístup potřebný k zobrazení využití kvóty napříč předplatným Azure.

Tuto roli najdete na webu Azure Portal v části Předplatná> *Řízení přístupu (IAM)>Přidání vyhledávání přiřazení> rolí pro čtenář využití služeb Cognitive Services. Role se musí použít na úrovni předplatného, na úrovni prostředku neexistuje.

Pokud tuto roli nechcete používat, role čtenáře předplatného poskytuje ekvivalentní přístup, ale také uděluje přístup pro čtení nad rámec toho, co je potřeba pro zobrazení kvóty. Nasazení modelu přes Azure OpenAI Studio je také částečně závislé na přítomnosti této role.

Tato role poskytuje malou hodnotu sama o sobě a místo toho se obvykle přiřazuje v kombinaci s jednou nebo více dříve popsanými rolemi.

Čtenář využití služeb Cognitive Services + Uživatel OpenAI služeb Cognitive Services

Všechny možnosti uživatele OpenAI služeb Cognitive Services a možnosti:

✅ Zobrazení přidělení kvót v nástroji Azure OpenAI Studio

Čtenář využití služeb Cognitive Services + Přispěvatel OpenAI služeb Cognitive Services

Všechny možnosti přispěvatele OpenAI služeb Cognitive Services a možnosti:

✅ Zobrazení přidělení kvót v nástroji Azure OpenAI Studio

Čtenář využití služeb Cognitive Services + Přispěvatel služeb Cognitive Services

Všechny možnosti přispěvatele služeb Cognitive Services a možnosti:

✅ Zobrazení a úprava přidělení kvót v Nástroji Azure OpenAI Studio
✅ Vytvoření nových nasazení modelu nebo úprava existujících nasazení modelu (přes Azure OpenAI Studio)

Shrnutí

Oprávnění Uživatel Cognitive Services OpenAI Přispěvatel Cognitive Services OpenAI Přispěvatel služeb Cognitive Services Čtenář využití služeb Cognitive Services
Zobrazení prostředku na webu Azure Portal
Zobrazení koncového bodu prostředku v části Klíče a koncový bod
Zobrazení nasazení prostředků a přidružených modelů v Nástroji Azure OpenAI Studio
Zobrazení modelů, které jsou k dispozici pro nasazení v nástroji Azure OpenAI Studio
Použití prostředí chatu, dokončování a DALL-E (Preview) s libovolnými modely, které už byly nasazeny do tohoto prostředku Azure OpenAI.
Vytvoření nebo úprava nasazení modelu
Vytvoření nebo nasazení vlastních jemně vyladěných modelů
Nahrání datových sad pro vyladění
Vytvoření nových prostředků Azure OpenAI
Zobrazení, kopírování a opětovné vygenerování klíčů v části Klíče a koncový bod
Vytvoření přizpůsobených filtrů obsahu
Přidání zdroje dat pro funkci "na vašich datech"
Kvóta přístupu
Volání rozhraní API pro odvozování pomocí ID Microsoft Entra

Běžné problémy

V nástroji Azure OpenAI Studio nejde zobrazit možnost Azure Cognitive Search

Problém:

Když vyberete existující prostředek služby Azure Cognitive Search, indexy vyhledávání se nenačtou a kolečko načítání se bude průběžně otáčet. V nástroji Azure OpenAI Studio přejděte do části Dětské hřiště Chat>Přidat vaše data (Preview) v části Nastavení Pomocníka. Výběrem možnosti Přidat zdroj dat se otevře modální způsob, který umožňuje přidat zdroj dat prostřednictvím služby Azure Cognitive Search nebo Blob Storage. Výběrem možnosti Azure Cognitive Search a existujícím prostředkem služby Azure Cognitive Search by se měly načíst dostupné indexy služby Azure Cognitive Search, ze které se mají vybírat.

Původní příčina

Chcete-li provést obecné volání rozhraní API pro výpis azure Cognitive Search, provede se následující volání:

https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Search/searchServices?api-version=2021-04-01-Preview

{subscriptionId} nahraďte skutečným ID předplatného.

Pro toto volání rozhraní API potřebujete roli oboru na úrovni předplatného. Roli Čtenář můžete použít pro přístup jen pro čtení nebo roli Přispěvatel pro přístup pro čtení i zápis. Pokud potřebujete přístup jenom ke službám Azure Cognitive Search, můžete použít role Přispěvatel služby Azure Cognitive Search nebo Čtenář služby Azure Cognitive Search.

Možnosti řešení

  • Obraťte se na správce nebo vlastníka předplatného: Obraťte se na osobu, která spravuje vaše předplatné Azure, a požádejte o odpovídající přístup. Vysvětlete své požadavky a konkrétní roli, kterou potřebujete (například Čtenář, Přispěvatel, Přispěvatel služby Azure Cognitive Search nebo Čtenář služby Azure Cognitive Search).

  • Požádat o přístup na úrovni předplatného nebo skupiny prostředků: Pokud potřebujete přístup k určitým prostředkům, požádejte vlastníka předplatného, aby vám udělil přístup na příslušné úrovni (předplatné nebo skupina prostředků). To vám umožní provádět požadované úlohy bez přístupu k nesouvisejícím prostředkům.

  • Použijte klíče rozhraní API pro Azure Cognitive Search: Pokud potřebujete pracovat jenom s azure Cognitive Search, můžete požádat o klíče správce nebo klíče dotazu od vlastníka předplatného. Tyto klíče umožňují provádět volání rozhraní API přímo do vyhledávací služby bez nutnosti role Azure RBAC. Mějte na paměti, že použití klíčů rozhraní API obchází řízení přístupu Azure RBAC, proto je používejte opatrně a dodržujte osvědčené postupy zabezpečení.

Nejde nahrát soubory ve službě Azure OpenAI Studio pro vaše data

Příznak: Nejde získat přístup k úložišti pro funkci dat pomocí nástroje Azure OpenAI Studio.

Původní příčina:

Nedostatečný přístup na úrovni předplatného pro uživatele, který se pokouší získat přístup k úložišti objektů blob v Azure OpenAI Studiu. Uživatel nemusí mít potřebná oprávnění k volání koncového bodu rozhraní API služby Azure Management:https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{accountName}/listAccountSas?api-version=2022-09-01

Veřejný přístup k úložišti objektů blob je zakázán vlastníkem odběru Azure z bezpečnostních důvodů.

Oprávnění potřebná pro volání rozhraní API: **Microsoft.Storage/storageAccounts/listAccountSas/action:** Toto oprávnění umožňuje uživateli zobrazit seznam tokenů sdíleného přístupového podpisu (SAS) pro zadaný účet úložiště.

Možné důvody, proč uživatel nemá oprávnění:

  • Uživateli je přiřazena omezená role v předplatném Azure, která nezahrnuje potřebná oprávnění pro volání rozhraní API.
  • Roli uživatele omezil vlastník nebo správce odběru kvůli obavám zabezpečení nebo zásadám organizace.
  • Role uživatele byla nedávno změněna a nová role neuděluje požadovaná oprávnění.

Možnosti řešení

  • Ověření a aktualizace přístupových práv: Ujistěte se, že má uživatel odpovídající přístup na úrovni předplatného, včetně potřebných oprávnění pro volání rozhraní API (Microsoft.Storage/storageAccounts/listAccountSas/action). V případě potřeby požádejte vlastníka nebo správce předplatného, aby udělil potřebná přístupová práva.
  • Požádejte vlastníka nebo správce o pomoc: Pokud výše uvedené řešení není možné, zvažte požádat vlastníka nebo správce předplatného, aby za vás nahrál datové soubory. Tento přístup může pomoct s importem dat do azure OpenAI Studia, aniž by uživatel vyžadoval přístup na úrovni předplatného nebo veřejný přístup k úložišti objektů blob.

Další kroky