Controllo degli accessi in base al ruolo per il Servizio OpenAI di Azure
Il servizio OpenAI di Azure supporta il controllo degli accessi in base al ruolo di Azure, un sistema di autorizzazione per la gestione dell'accesso individuale alle risorse di Azure. Usando il controllo degli accessi in base al ruolo di Azure, si assegnano livelli differenti di autorizzazioni ai vari membri del team a seconda delle esigenze per un progetto specifico. Per altre informazioni, vedere la documentazione sul controllo degli accessi in base al ruolo di Azure.
Aggiungere un'assegnazione di ruolo a una risorsa del servizio OpenAI di Azure
Il controllo degli accessi in base al ruolo di Azure può essere assegnato a una risorsa del servizio OpenAI di Azure. Per concedere l'accesso a una risorsa di Azure, aggiungere un'assegnazione di ruolo.
Nel portale di Azure e cercare Servizio OpenAI di Azure.
Selezionare Servizio OpenAI di Azure e passare alla risorsa specifica.
Nota
Puoi anche configurare il controllo degli accessi in base al ruolo (RBAC) di Azure per gruppi di risorse, sottoscrizioni o gruppi di gestione interi. A tale scopo, selezionare il livello di ambito desiderato e andare all'elemento desiderato. Ad esempio, selezionando Gruppi di risorse e andando a un gruppo di risorse specifico.
Nel pannello di navigazione a sinistra selezionare Controllo di accesso (IAM).
Selezionare Aggiungi e quindi Aggiungi assegnazione di ruolo.
Nella scheda Ruolo nella schermata successiva selezionare un ruolo da aggiungere.
Nella scheda Membri selezionare un utente, gruppo, entità servizio o identità gestita.
Nella scheda Rivedi e assegna selezionare Rivedi e assegna per assegnare il ruolo.
Entro pochi minuti, alla destinazione verrà assegnato il ruolo selezionato nell'ambito selezionato. Per informazioni su questa procedura, vedere Assegnare ruoli di Azure usando il portale di Azure.
Ruoli del servizio OpenAI di Azure
- Utente Servizi cognitivi OpenAI
- Collaboratore Servizi cognitivi OpenAI
- Collaboratore Servizi cognitivi
- Lettore utilizzi di Servizi cognitivi
Nota
I ruoli Proprietario e Collaboratore a livello della sottoscrizione vengono ereditati e hanno la priorità sui ruoli personalizzati del servizio OpenAI di Azure applicati a livello del gruppo di risorse.
Questa sezione illustra le attività comuni che possono essere eseguite da account e combinazioni di account diversi per le risorse del servizio OpenAI di Azure. Per visualizzare l'elenco completo di elementi Actions e DataActions disponibili concessi a un singolo ruolo dalla risorsa OpenAI di Azure passare a Controllo di accesso (IAM)>Ruoli>, quindi nella colonna Dettagli per il ruolo a cui si è interessati selezionare Visualizza. Per impostazione predefinita, è selezionato il pulsante di opzione Actions. È necessario esaminare sia Actions che DataActions per comprendere l'ambito completo delle funzionalità assegnate a un ruolo.
Utente Servizi cognitivi OpenAI
Se a un utente è stato concesso l'accesso in base al ruolo solo a questo ruolo per una risorsa del servizio OpenAI di Azure, sarà possibile eseguire le attività comuni seguenti:
✅ Visualizzare la risorsa nel portale di Azure
✅ Visualizzare l'endpoint della risorsa in Chiavi ed Endpoint
✅ Visualizzare la risorsa e le distribuzioni di modelli associate in Azure OpenAI Studio.
✅ Visualizzare i modelli disponibili per la distribuzione in Azure OpenAI Studio.
✅ Usare le esperienze del playground Chat, Completamenti e DALL-E (anteprima) per generare testo e immagini con tutti i modelli già distribuiti in questa risorsa del servizio OpenAI di Azure.
✅ Effettuare chiamate API di inferenza con Microsoft Entra ID.
Un utente a cui è assegnato solo questo ruolo non potrà:
❌ Creare nuove risorse del servizio OpenAI di Azure
❌ Visualizzare/copiare/rigenerare le chiavi in Chiavi ed endpoint
❌ Creare nuove distribuzioni di modelli o modificare le distribuzioni di modelli esistenti
❌ Creare/distribuire modelli personalizzati ottimizzati
❌ Caricare set di dati per l'ottimizzazione
❌ Accedere alla quota
❌ Creare filtri di contenuto personalizzati
❌ Aggiungere un'origine dati per l'uso della funzionalità dati
Collaboratore Servizi cognitivi OpenAI
Questo ruolo dispone di tutte le autorizzazioni Utente OpenAI di Servizi cognitivi ed è anche in grado di eseguire attività aggiuntive come:
✅ Creare modelli personalizzati ottimizzati
✅ Caricare set di dati per l'ottimizzazione
✅ Creare nuove distribuzioni di modelli o modificare le distribuzioni di modelli esistenti [Aggiunta nell'autunno 2023]
Un utente a cui è assegnato solo questo ruolo non potrà:
❌ Creare nuove risorse del servizio OpenAI di Azure
❌ Visualizzare/copiare/rigenerare le chiavi in Chiavi ed endpoint
❌ Accedere alla quota
❌ Creare filtri di contenuto personalizzati
❌ Aggiungere un'origine dati per l'uso della funzionalità dati
Collaboratore Servizi cognitivi
A questo ruolo viene in genere concesso l'accesso a livello di gruppo di risorse per un utente in combinazione con ruoli aggiuntivi. Da solo questo ruolo consente a un utente di eseguire le attività seguenti.
✅ Creare nuove risorse del servizio OpenAI di Azure all'interno del gruppo di risorse assegnato.
✅ Visualizzare le risorse nel gruppo di risorse assegnato nel portale di Azure .
✅ Visualizzare l'endpoint della risorsa in Chiavi ed Endpoint
✅ Visualizzare/copiare/rigenerare le chiavi in Chiavi ed endpoint
✅ Visualizzare i modelli disponibili per la distribuzione in Azure OpenAI Studio
✅ Usare le esperienze del playground Chat, Completamenti e DALL-E (anteprima) per generare testo e immagini con tutti i modelli già distribuiti in questa risorsa del servizio OpenAI di Azure
✅ Creare filtri di contenuto personalizzati
✅ Aggiungere un'origine dati per l'uso della funzionalità dati
✅ Creare nuove distribuzioni di modelli o modificare le distribuzioni di modelli esistenti (tramite API)
✅ Creare modelli personalizzati ottimizzati [Aggiunta nell'autunno 2023]
✅ Caricare set di dati per l'ottimizzazione [Aggiunta nell'autunno 2023]
✅ Creare nuove distribuzioni di modelli o modificare le distribuzioni di modelli esistenti (tramite Azure OpenAI Studio) [Aggiunta nell'autunno 2023]
Un utente a cui è assegnato solo questo ruolo non potrà:
❌ Accedere alla quota
❌ Effettuare chiamate API di inferenza con Microsoft Entra ID.
Lettore utilizzi di Servizi cognitivi
La visualizzazione della quota richiede il ruolo Lettore utilizzi di Servizi cognitivi. Questo ruolo fornisce l'accesso minimo necessario per visualizzare l'utilizzo della quota in una sottoscrizione di Azure.
Questo ruolo è disponibile nel portale di Azure in Sottoscrizioni> *Controllo di accesso (IAM)>Aggiungi un'assegnazione di ruolo>, quindi cercare Lettore utilizzi di Servizi cognitivi. Il ruolo deve essere applicato a livello della sottoscrizione, non esiste a livello di risorsa.
Se non si vuole usare questo ruolo, il ruolo Lettore della sottoscrizione fornisce accesso equivalente, ma concede anche l'accesso in lettura oltre l'ambito di ciò che è necessario per la visualizzazione della quota. La distribuzione di modelli tramite Azure OpenAI Studio dipende anche parzialmente dalla presenza di questo ruolo.
Questo ruolo da solo è di scarsa utilità ed è in genere assegnato in combinazione con uno o più ruoli descritti in precedenza.
Lettore utilizzi di Servizi cognitivi e Utente OpenAI di Servizi cognitivi
Tutte le autorizzazioni di Utente OpenAI di Servizi cognitivi e la possibilità di:
✅ Visualizzare le allocazioni delle quote in Azure OpenAI Studio
Lettore di utilizzi di Servizi cognitivi + Collaboratore OpenAI di Servizi cognitivi
Tutte le autorizzazioni di Collaboratore OpenAI di Servizi cognitivi e la possibilità di:
✅ Visualizzare le allocazioni delle quote in Azure OpenAI Studio
Lettore di utilizzi di Servizi cognitivi + Collaboratore di Servizi cognitivi
Tutte le autorizzazioni di Collaboratore di Servizi cognitivi e la possibilità di:
✅ Visualizzare e modificare le allocazioni delle quote in Azure OpenAI Studio
✅ Creare nuove distribuzioni di modelli o modificare le distribuzioni di modelli esistenti (tramite Azure OpenAI Studio)
Riepilogo
| Autorizzazioni | Utente Servizi cognitivi OpenAI | Collaboratore Servizi cognitivi OpenAI | Collaboratore Servizi cognitivi | Lettore utilizzi di Servizi cognitivi |
|---|---|---|---|---|
| Visualizzare la risorsa nel portale di Azure | ✅ | ✅ | ✅ | ➖ |
| Visualizzare l'endpoint della risorsa in "Chiavi ed endpoint" | ✅ | ✅ | ✅ | ➖ |
| Visualizzare la risorsa e le distribuzioni di modelli associate in Azure OpenAI Studio | ✅ | ✅ | ✅ | ➖ |
| Visualizzare i modelli disponibili per la distribuzione in Azure OpenAI Studio | ✅ | ✅ | ✅ | ➖ |
| Usare le esperienze del playground Chat, Completamenti e DALL-E (anteprima) con tutti i modelli già distribuiti in questa risorsa del servizio OpenAI di Azure. | ✅ | ✅ | ✅ | ➖ |
| Creare o modificare distribuzioni di modelli | ❌ | ✅ | ✅ | ➖ |
| Creare o distribuire modelli personalizzati ottimizzati | ❌ | ✅ | ✅ | ➖ |
| Caricare set di dati per l'ottimizzazione | ❌ | ✅ | ✅ | ➖ |
| Creare nuove risorse del servizio OpenAI di Azure | ❌ | ❌ | ✅ | ➖ |
| Visualizzare/copiare/rigenerare le chiavi in "Chiavi ed endpoint" | ❌ | ❌ | ✅ | ➖ |
| Creare filtri di contenuto personalizzati | ❌ | ❌ | ✅ | ➖ |
| Aggiungere un'origine dati per la funzionalità "sui dati personali" | ❌ | ❌ | ✅ | ➖ |
| Accedere alla quota | ❌ | ❌ | ❌ | ✅ |
| Effettuare chiamate API di inferenza con Microsoft Entra ID | ✅ | ✅ | ❌ | ➖ |
Problemi comuni
Non è possibile visualizzare l'opzione Ricerca cognitiva di Azure in Azure OpenAI Studio
Problema:
Quando si seleziona una risorsa Ricerca cognitiva di Azure esistente, gli indici di ricerca non vengono caricati e la rotellina di caricamento ruota continuamente. In Azure OpenAI Studio passare a Playground Chat>Aggiungere i dati (anteprima) in Configurazione assistente. Selezionando Aggiungi un'origine dati si apre una finestra modale che consente di aggiungere un'origine dati tramite Ricerca cognitiva di Azure o Archiviazione BLOB. Se si seleziona l'opzione Ricerca cognitiva di Azure e una risorsa di Ricerca cognitiva di Azure esistente verranno caricati gli indici di Ricerca cognitiva di Azure disponibili da selezionare.
Causa radice
Per effettuare una chiamata API generica per elencare i servizi di Ricerca cognitiva di Azure, viene effettuata la chiamata seguente:
https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Search/searchServices?api-version=2021-04-01-Preview
Sostituire {subscriptionId} con l'ID sottoscrizione effettivo.
Per questa chiamata API è necessario un ruolo con ambito a livello di sottoscrizione. È possibile usare il ruoloLettore per l'accesso in sola lettura o il ruolo Collaboratore per l'accesso in lettura/scrittura. Se occorre solo accedere ai servizi di Ricerca cognitiva di Azure, è possibile usare i ruoli Collaboratore Servizio di ricerca cognitiva di Azure o Lettore Servizio di ricerca cognitiva di Azure.
Soluzioni disponibili
Contattare l'amministratore o il proprietario della sottoscrizione: contattare la persona che gestisce la sottoscrizione di Azure e richiedere l'accesso appropriato. Spiegare i requisiti e il ruolo specifico necessario, ad esempio Lettore, Collaboratore, Collaboratore Servizio di ricerca cognitiva di Azure o Lettore Servizio di ricerca cognitiva di Azure.
Richiedere l'accesso a livello di sottoscrizione o di gruppo di risorse: se è necessario accedere a risorse specifiche, chiedere al proprietario della sottoscrizione di concedere l'accesso a livello appropriato (sottoscrizione o gruppo di risorse). In questo modo è possibile eseguire le attività necessarie senza avere accesso a risorse non correlate.
Usare le chiavi API per Ricerca cognitiva di Azure: se è sufficiente interagire con il servizio Ricerca cognitiva di Azure, è possibile richiedere le chiavi di amministrazione o le chiavi di query dal proprietario della sottoscrizione. Queste chiavi consentono di effettuare chiamate API direttamente al servizio di ricerca senza che sia necessario un ruolo di controllo degli accessi in base al ruolo di Azure. Tenere presente che l'uso delle chiavi API consente di ignorare il controllo degli accessi in base al ruolo di Azure, quindi usarle con cautela e seguire le procedure consigliate per la sicurezza.
Non è possibile caricare file in Azure OpenAI Studio per la funzionalità "sui dati personali"
Sintomo: non è possibile accedere all'archiviazione per la funzionalità sui dati personali usando Azure OpenAI Studio.
Causa radice:
Accesso a livello di sottoscrizione insufficiente per l'utente che tenta di accedere all'archivio BLOB in Azure OpenAI Studio. L'utente può non disporre delle autorizzazioni necessarie per chiamare l'endpoint API di gestione di Azure: https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{accountName}/listAccountSas?api-version=2022-09-01
L'accesso pubblico all'archiviazione BLOB è disabilitato dal proprietario della sottoscrizione di Azure per motivi di sicurezza.
Autorizzazioni necessarie per la chiamata API: **Microsoft.Storage/storageAccounts/listAccountSas/action:**. Questa autorizzazione consente all'utente di elencare i token di firma di accesso condiviso per l'account di archiviazione specificato.
Possibili motivi per cui l'utente potrebbe non disporre delle autorizzazioni:
- All'utente è assegnato un ruolo limitato nella sottoscrizione di Azure, che non include le autorizzazioni necessarie per la chiamata API.
- Il ruolo dell'utente è stato limitato dal proprietario o dall'amministratore della sottoscrizione a causa di problemi di sicurezza o criteri dell'organizzazione.
- Il ruolo dell'utente è stato modificato di recente e il nuovo ruolo non concede le autorizzazioni necessarie.
Soluzioni disponibili
- Verificare e aggiornare i diritti di accesso: assicurarsi che l'utente disponga dell'accesso a livello di sottoscrizione appropriato, incluse le autorizzazioni necessarie per la chiamata API (Microsoft.Storage/storageAccounts/listAccountSas/action). Se necessario, richiedere al proprietario o all'amministratore della sottoscrizione di concedere i diritti di accesso necessari.
- Richiedere assistenza al proprietario o all'amministratore: se la soluzione precedente non è fattibile, è consigliabile chiedere al proprietario o all'amministratore della sottoscrizione di caricare i file di dati per conto dell'utente. Questo approccio consente di importare i dati in Azure OpenAI Studio senza richiedere l'accesso a livello di sottoscrizione o l'accesso pubblico all'archiviazione BLOB da parte dell'utente.
Passaggi successivi
- Altre informazioni sul Controllo degli accessi in base al ruolo di Azure.
- Vedere anche Assegnare ruoli di Azure usando il portale di Azure.