Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Azure OpenAI podporuje řízení přístupu na základě role v Azure (Azure RBAC), autorizační systém pro správu individuálního přístupu k prostředkům Azure. Pomocí Azure RBAC přiřadíte různým členům týmu různé úrovně oprávnění na základě jejich potřeb pro daný projekt. Další informace najdete v dokumentaci k Azure RBAC.
Přiřadit roli k prostředku Azure OpenAI
Azure RBAC je možné přiřadit k prostředku Azure OpenAI. Pokud chcete udělit přístup k prostředku Azure, přidejte přiřazení role.
Na webu Azure Portal vyhledejte Azure OpenAI.
Vyberte Azure OpenAI a přejděte ke konkrétnímu prostředku.
Poznámka:
Azure RBAC můžete také nastavit pro celé skupiny prostředků, předplatná nebo skupiny pro správu. Uděláte to tak, že vyberete požadovanou úroveň oboru a pak přejdete na požadovanou položku. Vyberte například skupiny prostředků a pak přejděte na konkrétní skupinu prostředků.
V levém podokně vyberte Řízení přístupu (IAM ).
Vyberte Přidat a pak vyberte Přidat přiřazení role.
Na kartě Role na další obrazovce vyberte roli, kterou chcete přidat.
Na kartě Členové vyberte uživatele, skupinu, instanční objekt nebo spravovanou identitu.
Na kartě Zkontrolovat a přiřadit vyberte možnost Zkontrolovat a přiřadit a přiřaďte roli.
Během několika minut bude cíli přiřazena vybraná role ve vybraném oboru. Nápovědu k těmto krokům najdete v tématu Přiřazení rolí Azure pomocí webu Azure Portal.
Role Azure OpenAI
- Uživatel Cognitive Services OpenAI
- Přispěvatel Cognitive Services OpenAI
- Přispěvatel služeb Cognitive Services
- Čtenář využití služeb Cognitive Services
Poznámka:
Role Vlastník a Přispěvatel na úrovni předplatného se dědí a mají přednost před uživatelskými rolemi Azure OpenAI použitými na úrovni skupiny prostředků.
Tato část popisuje běžné úlohy, které mohou různé účty a kombinace účtů provádět pro prostředky Azure OpenAI. Pokud chcete zobrazit úplný seznam dostupných akcí a DataActions, přejděte z vašeho prostředku Azure OpenAI na Řízení přístupu (IAM)>, kde vám bude udělena individuální role>. V části Podrobnosti u role, která vás zajímá, vyberte možnost Zobrazit. Ve výchozím nastavení je vybráno kruhové tlačítko Akce . Abyste porozuměli plnému rozsahu schopností přiřazených k roli, musíte prozkoumat Actions i DataActions.
Uživatel Cognitive Services OpenAI
Pokud by uživateli byl udělen přístup na základě role pouze k této roli pro prostředek Azure OpenAI, mohl by provádět následující běžné úlohy:
✅ Zobrazit prostředek v Azure Portal
✅ Zobrazení koncového bodu prostředku v části Klíče a koncový bod
✅Možnost zobrazit prostředky a přidružená nasazení modelu na portálu Azure AI Foundry
✅ Možnost zobrazit, jaké modely jsou k dispozici pro nasazení na portálu Azure AI Foundry.
✅ Pomocí chatu, dokončování a prostředí DALL-E (náhled) můžete vygenerovat text a obrázky s jakýmkoliv modelem, který už byl nasazen do této Azure OpenAI služby.
✅ Provádějte volání rozhraní API pro inferenci pomocí identifikátoru Microsoft Entra.
Uživatel, který má přiřazenou jenom tuto roli, by nemohl:
❌ Vytvoření nových prostředků Azure OpenAI
❌ Zobrazení, kopírování a opětovné vygenerování klíčů v části Klíče a koncový bod
❌ Vytvoření nových nasazení modelu nebo úprava existujících nasazení modelu
❌ Vytvoření nebo nasazení vlastních jemně vyladěných modelů
❌ Nahrání datových sad pro vyladění
❌ Zobrazení, dotazování, filtrování uložených dat dokončení
❌ Kvóta přístupu
❌ Vytvoření přizpůsobených filtrů obsahu
❌ Přidat zdroj dat pro funkci 'použití vašich dat'
Přispěvatel Cognitive Services OpenAI
Tato role má všechna oprávnění uživatele OpenAI služeb Cognitive Services a může také provádět další úlohy, jako jsou:
✅ Vytváření vlastních jemně vyladěných modelů
✅ Nahrání datových sad pro vyladění
✅ Zobrazení, dotazování, filtrování uložených dat dokončení
✅ Vytvořte nová nasazení modelu nebo upravte stávající nasazení [Přidáno na podzim 2023]
✅ Přidejte zdroje dat do Azure OpenAI ve vašich datech.
Musíte mít také roli Přispěvatel služeb Cognitive Services.
Uživatel, který má přiřazenou jenom tuto roli, by nemohl:
❌ Vytvoření nových prostředků Azure OpenAI
❌ Zobrazení, kopírování a opětovné vygenerování klíčů v části Klíče a koncový bod
❌ Kvóta přístupu
❌ Vytvoření přizpůsobených filtrů obsahu
❌ Přidání zdroje dat pro Azure OpenAI do vašich dat
Přispěvatel služeb Cognitive Services
Tato role obvykle poskytuje uživateli přístup na úrovni skupiny prostředků ve spojení s dalšími rolemi. Sama o sobě by tato role uživateli umožnila provádět následující úlohy.
✅ Vytvořte nové prostředky Azure OpenAI v rámci přiřazené skupiny prostředků.
✅ Zobrazte prostředky v přiřazené skupině prostředků na webu Azure Portal.
✅ Zobrazení koncového bodu prostředku v části Klíče a koncový bod
✅ Zobrazení, kopírování a opětovné vygenerování klíčů v části Klíče a koncový bod
✅ Možnost zobrazit, jaké modely jsou k dispozici pro nasazení na portálu Azure AI Foundry
✅ Použijte prostředí chatu, dokončování a DALL-E (Preview) k vygenerování textu a obrázků s libovolnými modely, které již byly nasazeny na tento prostředek Azure OpenAI
✅ Vytvoření přizpůsobených filtrů obsahu
✅ Přidejte zdroje dat do Azure OpenAI ve vašich datech.
Také musíte mít roli Přispěvatele v OpenAI Cognitive Services.
✅ Vytvoření nových nasazení modelu nebo úprava existujících nasazení modelu (prostřednictvím rozhraní API)
✅ Vytvořte vlastní jemně vyladěné modely [Přidáno na podzim 2023]
✅ Nahrání datových sad pro vyladění [přidáno na podzim 2023]
✅ Vytvoření nových nasazení modelu nebo úprava existujících nasazení modelu (prostřednictvím Azure AI Foundry) [Přidáno z podzimu 2023]
✅ Zobrazení, dotazování, filtrování uložených dat dokončení
Uživatel, který má přiřazenou jenom tuto roli, by nemohl:
❌ Kvóta přístupu
❌ Provádějte volání rozhraní API pro inferenci pomocí identifikátoru Microsoft Entra.
Čtenář využití služeb Cognitive Services
Zobrazení kvóty vyžaduje roli Čtenář využití služeb Cognitive Services. Tato role poskytuje minimální přístup potřebný k zobrazení využití kvóty napříč předplatným Azure.
Tuto roli najdete v portálu Azure v části Předplatná> *Řízení přístupu (IAM)>Přidat přiřazení role> vyhledejte Čtenář využití Cognitive Services. Role se musí použít na úrovni předplatného, na úrovni prostředku neexistuje.
Pokud tuto roli nechcete používat, role čtenáře předplatného poskytuje ekvivalentní přístup, ale také uděluje přístup pro čtení nad rámec toho, co je potřeba pro zobrazení kvóty. Nasazení modelu prostřednictvím portálu Azure AI Foundry je také částečně závislé na přítomnosti této role.
Tato role poskytuje malou hodnotu sama o sobě a místo toho se obvykle přiřazuje v kombinaci s jednou nebo více dříve popsanými rolemi.
Čtenář využití služeb Cognitive Services + Uživatel OpenAI služeb Cognitive Services
Všechny možnosti uživatele OpenAI služeb Cognitive Services plus schopnost:
✅ Zobrazení přidělení kvót na portálu Azure AI Foundry
Čtenář využití služeb Cognitive Services + Přispěvatel OpenAI služeb Cognitive Services
Všechny možnosti přispěvatele OpenAI služeb Cognitive Services a možnosti:
✅ Zobrazení přidělení kvót na portálu Azure AI Foundry
Čtenář využití služeb Cognitive Services + Přispěvatel služeb Cognitive Services
Všechny možnosti přispěvatele služeb Cognitive Services plus schopnost:
✅ Zobrazení a úprava přidělování kvót na portálu Azure AI Foundry
✅ Vytvořte nová nasazení modelu nebo upravte stávající nasazení modelu (prostřednictvím Azure AI Foundry)
Shrnutí
| Oprávnění | Uživatel Cognitive Services OpenAI | Přispěvatel Cognitive Services OpenAI | Přispěvatel služeb Cognitive Services | Čtenář využití služeb Cognitive Services |
|---|---|---|---|---|
| Zobrazení prostředku na webu Azure Portal | ✅ | ✅ | ✅ | ➖ |
| Zobrazit koncový bod prostředku pod „Klíče a koncový bod“ | ✅ | ✅ | ✅ | ➖ |
| Zobrazení nasazení prostředků a přidružených modelů na portálu Azure AI Foundry | ✅ | ✅ | ✅ | ➖ |
| Zobrazení modelů dostupných pro nasazení na portálu Azure AI Foundry | ✅ | ✅ | ✅ | ➖ |
| Použijte prostor chatu, dokončování a DALL-E (Preview) s jakýmikoli modely, které už byly nasazeny v tomto prostředku Azure OpenAI. | ✅ | ✅ | ✅ | ➖ |
| Vytvořte nebo upravte nasazení modelu | ❌ | ✅ | ✅ | ➖ |
| Vytvoření nebo nasazení vlastních jemně vyladěných modelů | ❌ | ✅ | ✅ | ➖ |
| Nahrání datových sad pro vyladění | ❌ | ✅ | ✅ | ➖ |
| Zobrazení, dotaz, filtrování uložených dat competions | ❌ | ✅ | ✅ | ➖ |
| Vytvoření nových prostředků Azure OpenAI | ❌ | ❌ | ✅ | ➖ |
| Zobrazení, kopírování a opětovné vygenerování klíčů v části Klíče a koncový bod | ❌ | ❌ | ✅ | ➖ |
| Vytvoření přizpůsobených filtrů obsahu | ❌ | ❌ | ✅ | ➖ |
| Přidání zdroje dat pro funkci "na vašich datech" | ❌ | ❌ | ✅ | ➖ |
| Kvóta přístupu | ❌ | ❌ | ❌ | ✅ |
| Volání API pro inference pomocí ID Microsoft Entra | ✅ | ✅ | ❌ | ➖ |
Běžné problémy
Na portálu Azure AI Foundry nejde zobrazit možnost Azure Cognitive Search
Problém:
Když vyberete existující prostředek služby Azure Cognitive Search, indexy vyhledávání se nenačtou a načítací kolečko se neustále točí. Na portálu Azure AI Foundry přejděte do sekce Playground Chat>Přidat vaše data (náhled) v části Nastavení Pomocníka. Výběrem možnosti Přidat zdroj dat se otevře modální způsob, který umožňuje přidat zdroj dat prostřednictvím služby Azure Cognitive Search nebo Blob Storage. Výběrem možnosti Azure Cognitive Search a existujícím prostředkem služby Azure Cognitive Search by se měly načíst dostupné indexy služby Azure Cognitive Search, ze které se mají vybírat.
Původní příčina
Chcete-li provést obecné volání rozhraní API pro výpis služeb Azure Cognitive Search, proveďte následující volání:
https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Search/searchServices?api-version=2021-04-01-Preview
{subscriptionId} nahraďte skutečným ID předplatného.
Pro toto volání rozhraní API potřebujete roli s rozsahem na úrovni předplatného. Roli Čtenář můžete použít pro přístup jen pro čtení nebo roli Přispěvatel pro přístup pro čtení i zápis. Pokud potřebujete přístup jenom ke službám Azure Cognitive Search, můžete použít role Přispěvatel služby Azure Cognitive Search nebo Čtenář služby Azure Cognitive Search.
Možnosti řešení
Obraťte se na správce nebo vlastníka předplatného: Obraťte se na osobu, která spravuje vaše předplatné Azure, a požádejte o odpovídající přístup. Vysvětlete své požadavky a konkrétní roli, kterou potřebujete (například Čtenář, Přispěvatel, Přispěvatel služby Azure Cognitive Search nebo Čtenář služby Azure Cognitive Search).
Požádat o přístup na úrovni předplatného nebo skupiny prostředků: Pokud potřebujete přístup k určitým prostředkům, požádejte vlastníka předplatného, aby vám udělil přístup na příslušné úrovni (předplatné nebo skupina prostředků). To vám umožní provádět požadované úlohy bez přístupu k nesouvisejícím prostředkům.
Použijte klíče rozhraní API pro Azure Cognitive Search: Pokud potřebujete pracovat jenom s azure Cognitive Search, můžete požádat o klíče správce nebo klíče dotazu od vlastníka předplatného. Tyto klíče umožňují provádět volání rozhraní API přímo do vyhledávací služby bez nutnosti role Azure RBAC. Mějte na paměti, že použití klíčů rozhraní API obchází řízení přístupu Azure RBAC, proto je používejte opatrně a dodržujte osvědčené postupy zabezpečení.
Nejde nahrát soubory na portálu Azure AI Foundry pro vaše data
Příznak: Nejde získat přístup k úložišti pro funkci pro vaše data pomocí Azure AI Foundry.
Původní příčina:
Pro uživatele, který se pokouší získat přístup k úložišti objektů blob na portálu Azure AI Foundry, není dostatečný přístup na úrovni předplatného. Uživatel nemusí mít potřebná oprávnění k volání koncového bodu rozhraní API služby Azure Management:https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{accountName}/listAccountSas?api-version=2022-09-01
Veřejný přístup k úložišti objektů blob je z bezpečnostních důvodů zakázán vlastníkem předplatného služby Azure.
Oprávnění potřebná pro volání rozhraní API: **Microsoft.Storage/storageAccounts/listAccountSas/action:** Toto oprávnění umožňuje uživateli zobrazit seznam tokenů sdíleného přístupového podpisu (SAS) pro zadaný účet úložiště.
Možné důvody, proč uživatel nemá oprávnění:
- Uživateli je přiřazena omezená role v předplatném Azure, která nezahrnuje potřebná oprávnění pro volání rozhraní API.
- Roli uživatele omezil vlastník nebo správce odběru kvůli obavám zabezpečení nebo zásadám organizace.
- Role uživatele byla nedávno změněna a nová role neuděluje požadovaná oprávnění.
Možnosti řešení
- Ověření a aktualizace přístupových práv: Ujistěte se, že má uživatel odpovídající přístup na úrovni předplatného, včetně potřebných oprávnění pro volání rozhraní API (Microsoft.Storage/storageAccounts/listAccountSas/action). V případě potřeby požádejte vlastníka nebo správce předplatného, aby udělil potřebná přístupová práva.
- Požádejte vlastníka nebo správce o pomoc: Pokud výše uvedené řešení není možné, zvažte požádat vlastníka nebo správce předplatného, aby za vás nahrál datové soubory. Tento přístup může pomoct importovat data do Azure AI Foundry, aniž by uživatel vyžadoval přístup na úrovni předplatného nebo veřejný přístup k úložišti objektů blob.
Další kroky
- Začínáme s stavebním blokem zabezpečení Azure OpenAI
- Přečtěte si další informace o řízení přístupu na základě role v Azure (Azure RBAC).
- Také se podívejtena přiřazení rolí Azure pomocí webu Azure Portal.