Contrôle d’accès en fonction du rôle pour Azure OpenAI Service
Azure OpenAI Service prend en charge le contrôle d’accès en fonction du rôle Azure (Azure RBAC), un système d’autorisation pour la gestion des accès individuels aux ressources Azure. Avec Azure RBAC, vous attribuez différents niveaux d’autorisations à différents membres de l’équipe en fonction de leurs besoins pour un projet donné. Pour plus d’informations, consultez la documentation sur Azure RBAC.
Ajouter une attribution de rôle à une ressource Azure OpenAI
Azure RBAC peut être attribué à une ressource Azure OpenAI. Pour accorder l’accès à une ressource Azure, vous ajoutez une attribution de rôle.
Dans le Portail Azure, recherchez Azure OpenAI.
Sélectionnez Azure OpenAI, puis accédez à votre ressource spécifique.
Remarque
Vous pouvez également configurer Azure RBAC pour des groupes de ressources, des abonnements ou des groupes d’administration complets. Pour ce faire, sélectionnez le niveau d’étendue souhaité, puis accédez à l’élément souhaité. Par exemple, en sélectionnant Groupes de ressources, puis en accédant à un groupe de ressources spécifique.
Sélectionnez Contrôle d’accès (IAM) dans le menu de navigation de gauche.
Sélectionnez Ajouter, puis Ajouter une attribution de rôle.
Dans l’onglet Rôle de l’écran suivant, sélectionnez le rôle que vous souhaitez ajouter.
Dans l’onglet Membres, sélectionnez un utilisateur, un groupe, un principal de service ou une identité managée.
Dans l’onglet Passer en revue + affecter, sélectionnez Passer en revue + affecter pour affecter le rôle.
Au bout de quelques minutes, le rôle sélectionné est attribué à la cible dans l’étendue sélectionnée. Pour recevoir del’aide relative à ces étapes, consultez Attribuer des rôles Azure à l’aide du Portail Azure.
Rôles Azure OpenAI
- Utilisateur OpenAI Cognitive Services
- Contributeur OpenAI Cognitive Services
- Contributeur Cognitive Services
- Lecteur des utilisations Cognitive Services
Remarque
Les rôles Propriétaire et Contributeur au niveau de l’abonnement sont hérités, et sont prioritaires sur les rôles Azure OpenAI personnalisés appliqués au niveau du groupe de ressources.
Cette section décrit les tâches courantes que différents comptes ou combinaisons de comptes sont en mesure d’effectuer pour les ressources Azure OpenAI. Pour afficher la liste complète des Actions et DataActions disponibles, un rôle individuel est accordé à partir de votre ressource Azure OpenAI. Accédez à Contrôle d’accès (IAM)>Rôles>. Sous la colonne Détails du rôle qui vous intéresse, sélectionnez Afficher. Par défaut, le bouton radial Actions est sélectionné. Vous devez examiner à la fois Actions et DataActions pour comprendre la portée complète des fonctionnalités attribuées à un rôle.
Utilisateur OpenAI Cognitive Services
Si un utilisateur se voit attribuer un accès en fonction du rôle uniquement pour ce rôle pour une ressource Azure OpenAI, il peut effectuer les tâches courantes suivantes :
✅ Afficher la ressource dans le Portail Azure
✅ Afficher le point de terminaison de la ressource sous Clés et point de terminaison
✅ Possibilité d’afficher la ressource et les modèles de déploiement associés dans Azure OpenAI Studio.
✅ Possibilité d’afficher les modèles disponibles pour déploiement dans Azure OpenAI Studio.
✅ Utiliser les expériences de terrain de jeu Conversation, Complétion et DALL-E (préversion) pour générer du texte et des images avec tous les modèles qui ont déjà été déployés sur cette ressource Azure OpenAI.
✅ Effectuez des appels d’API d’inférence avec Microsoft Entra ID.
Un utilisateur avec uniquement ce rôle attribué ne pourrait pas :
❌ Créer des ressources Azure OpenAI
❌ Afficher/copier/régénérer des clés sous Clés et point de terminaison
❌ Créer des modèles de déploiement ou modifier des modèles existants
❌ Créer/déployer des modèles personnalisés affinés
❌ Charger des jeux de données pour un réglage
❌ Quota d’accès
❌ Créer des filtres de contenu personnalisés
❌ Ajouter une source de données pour la fonctionnalité Utiliser vos données
Contributeur OpenAI Cognitive Services
Ce rôle dispose de toutes les autorisations de l’utilisateur OpenAI Cognitive Services et est également en mesure d’effectuer des tâches supplémentaires comme :
✅ Créer des modèles personnalisés affinés
✅ Charger des jeux de données pour un réglage
✅ Créer des modèles de déploiement ou modifier les existants [Ajouté à l’automne 2023]
Un utilisateur avec uniquement ce rôle attribué ne pourrait pas :
❌ Créer des ressources Azure OpenAI
❌ Afficher/copier/régénérer des clés sous Clés et point de terminaison
❌ Quota d’accès
❌ Créer des filtres de contenu personnalisés
❌ Ajouter une source de données pour la fonctionnalité Utiliser vos données
Contributeur Cognitive Services
Ce rôle se voit généralement attribuer un accès au niveau du groupe de ressources pour un utilisateur, conjointement à des rôles supplémentaires. Par lui-même, ce rôle permet à un utilisateur d’effectuer les tâches suivantes.
✅ Créer des ressources Azure OpenAI dans le groupe de ressources attribué.
✅ Afficher les ressources du groupe de ressources attribué dans le Portail Azure.
✅ Afficher le point de terminaison de la ressource sous Clés et point de terminaison
✅ Afficher/copier/régénérer des clés sous Clés et point de terminaison
✅ Possibilité d’afficher les modèles disponibles pour le déploiement dans Azure OpenAI Studio
✅ Utiliser les expériences de terrain de jeu Conversation, Complétion et DALL-E (préversion) pour générer du texte et des images avec tous les modèles déjà déployés sur cette ressource Azure OpenAI
✅ Créer des filtres de contenu personnalisés
✅ Ajouter une source de données pour la fonctionnalité Utiliser vos données
✅ Créer des modèles de déploiement ou modifier les existants (par l’API)
✅ Créer des modèles personnalisés affinés [Ajouté à l’automne 2023]
✅ Charger des jeux de données pour les affiner [Ajouté à l’automne 2023]
✅ Créer des modèles de déploiement ou modifier les existants (avec Azure OpenAI Studio) [Ajouté à l’automne 2023]
Un utilisateur avec uniquement ce rôle attribué ne pourrait pas :
❌ Quota d’accès
❌ Effectuez des appels d’API d’inférence avec Microsoft Entra ID.
Lecteur des utilisations Cognitive Services
L’affichage des quotas nécessite le rôle Lecteur des utilisations Cognitive Services. Ce rôle fournit l’accès minimal nécessaire pour afficher l’utilisation des quotas dans un abonnement Azure.
Ce rôle est accessible depuis le Portail Azure sous Abonnements> *Contrôle d’accès (IAM)>Ajouter une attribution de rôle> rechercher Lecteur des utilisations Cognitive Services. Le rôle doit être appliqué au niveau de l’abonnement, il n’existe pas au niveau de la ressource.
Si vous ne souhaitez pas utiliser ce rôle, le rôle Lecteur de l’abonnement fournit un accès équivalent, mais il accorde également un accès en lecture au-delà de ce qui est nécessaire pour afficher les quotas. Le modèle de déploiement via Azure OpenAI Studio dépend également partiellement de la présence de ce rôle.
Ce rôle apporte peu de valeur par lui-même et est généralement attribué en combinaison avec un ou plusieurs des rôles décrits précédemment.
Lecteur des utilisations Cognitive Services + Utilisateur OpenAI Cognitive Services
Toutes les fonctionnalités de l’utilisateur OpenAI Cognitive Services, ainsi que la possibilité de :
✅ Visualiser les allocations de quota dans Azure OpenAI Studio
Lecteur d’utilisations Cognitive Services + Contributeur OpenAI Cognitive Services
Toutes les fonctionnalités du Contributeur OpenAI Cognitive Services, ainsi que la possibilité de :
✅ Visualiser les allocations de quota dans Azure OpenAI Studio
Lecteur des utilisations Cognitive Services + Contributeur Cognitive Services
Toutes les fonctionnalités du Contributeur Cognitive Services, ainsi que la possibilité de :
✅ Visualiser et modifier les allocations de quota dans Azure OpenAI Studio
✅ Créer des modèles de déploiement ou modifier les existants (par Azure OpenAI Studio)
Résumé
| Autorisations | Utilisateur OpenAI Cognitive Services | Contributeur OpenAI Cognitive Services | Contributeur Cognitive Services | Lecteur des utilisations Cognitive Services |
|---|---|---|---|---|
| Voir la ressource dans le portail Azure | ✅ | ✅ | ✅ | ➖ |
| Voir le point de terminaison de la ressource sous « Clés et point de terminaison » | ✅ | ✅ | ✅ | ➖ |
| Voir la ressource et les modèles de déploiement associés dans Azure OpenAI Studio | ✅ | ✅ | ✅ | ➖ |
| Voir les modèles qui sont disponibles pour le déploiement dans Azure OpenAI Studio | ✅ | ✅ | ✅ | ➖ |
| Utilisez les expériences de terrain de jeu Conversation, Complétions et DALL-E (préversion) avec n’importe quel modèle déjà déployé sur cette ressource Azure OpenAI. | ✅ | ✅ | ✅ | ➖ |
| Créer ou modifier des modèles de déploiement | ❌ | ✅ | ✅ | ➖ |
| Créer ou déployer des modèles personnalisés affinés | ❌ | ✅ | ✅ | ➖ |
| Charger des jeux de données pour les affiner | ❌ | ✅ | ✅ | ➖ |
| Créer des ressources Azure OpenAI | ❌ | ❌ | ✅ | ➖ |
| Voir/copier/regénérer des clés sous « Clés et point de terminaison » | ❌ | ❌ | ✅ | ➖ |
| Créer des filtres de contenu personnalisés | ❌ | ❌ | ✅ | ➖ |
| Ajouter une source de données pour la fonctionnalité « Sur vos données » | ❌ | ❌ | ✅ | ➖ |
| Quota d’accès | ❌ | ❌ | ❌ | ✅ |
| Effectuer des appels d’API d’inférence avec Microsoft Entra ID | ✅ | ✅ | ❌ | ➖ |
Problèmes courants
Impossible d’afficher l’option Recherche cognitive Azure dans Azure OpenAI Studio
Problème :
Lors de la sélection d’une ressource Recherche cognitive Azure existante, les index de recherche ne se chargent pas et la roue de chargement tourne en continu. Dans Azure OpenAI Studio, accédez à Terrain de jeu de conversation>Ajouter vos données (préversion) sous Configuration assistant. Sélectionner Ajouter une source de données ouvre une fenêtre modale qui vous permet d’ajouter une source de données via Recherche cognitive Azure ou le Stockage Blob. Sélectionner l’option Recherche cognitive Azure et une ressource Recherche cognitive Azure existante doit charger les index Recherche cognitive Azure disponibles parmi lesquels choisir.
Cause racine
Pour effectuer un appel d’API générique pour répertorier les services Recherche cognitive Azure, l’appel suivant est effectué :
https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Search/searchServices?api-version=2021-04-01-Preview
Remplacez {subscriptionId} par votre ID d'abonnement réel.
Pour cet appel d’API, vous avez besoin d’un rôle avec portée au niveau de l’abonnement. Vous pouvez utiliser le rôle Lecteur pour l’accès en lecture seule ou le rôle Contributeur pour l’accès en lecture-écriture. Si vous avez uniquement besoin d’accéder aux services Recherche cognitive Azure, vous pouvez utiliser les rôles Contributeur de service Recherche cognitive Azure ou Lecteur de service Recherche cognitive Azure.
Options de la solution
Contacter l’administrateur ou le propriétaire de votre abonnement : contactez la personne qui gère votre abonnement Azure et demandez l’accès approprié. Expliquez vos besoins et le rôle spécifique dont vous avez besoin (par exemple, Lecteur, Contributeur, Contributeur du service Recherche cognitive Azure ou Lecteur du service Recherche cognitive Azure).
Demander un accès au niveau de l’abonnement ou du groupe de ressources : si vous avez besoin d’accéder à des ressources spécifiques, demandez au propriétaire de l’abonnement de vous accorder l’accès au niveau approprié (abonnement ou groupe de ressources). Cela vous permet d’effectuer les tâches requises sans avoir accès à des ressources non liées.
Utiliser des clés API pour Recherche cognitive Azure : si vous devez uniquement interagir avec le service Recherche cognitive Azure, vous pouvez demander les clés d’administration ou les clés de requête au propriétaire de l’abonnement. Ces clés vous permettent d’effectuer des appels d’API directement au service de recherche sans avoir besoin d’un rôle Azure RBAC. N’oubliez pas que l’utilisation de clés API contourne le contrôle d’accès Azure RBAC. Vous devez donc les utiliser avec prudence et suivre les meilleures pratiques de sécurité.
Impossible de charger des fichiers dans Azure OpenAI Studio pour Sur vos données
Symptôme : impossible d’accéder au stockage pour la fonctionnalité Sur vos données à l’aide d’Azure OpenAI Studio.
Cause racine :
Accès au niveau de l’abonnement insuffisant pour l’utilisateur qui tente d’accéder au stockage blob dans Azure OpenAI Studio. Il est possible que l’utilisateur ne dispose pas des autorisations nécessaires pour appeler le point de terminaison de l’API Gestion Azure : https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{accountName}/listAccountSas?api-version=2022-09-01
L’accès public au stockage blob est désactivé par le propriétaire de l’abonnement Azure pour des raisons de sécurité.
Autorisations nécessaires pour l’appel d’API : **Microsoft.Storage/storageAccounts/listAccountSas/action:** cette autorisation permet à l’utilisateur de répertorier les jetons de signature d’accès partagé (SAP) pour le compte de stockage spécifié.
Raisons possibles pour lesquelles l’utilisateur peut ne pas disposer d’autorisations :
- Un rôle limité est attribué à l’utilisateur dans l’abonnement Azure, qui n’inclut pas les autorisations nécessaires pour l’appel d’API.
- Le rôle de l’utilisateur a été restreint par le propriétaire ou l’administrateur de l’abonnement en raison de problèmes de sécurité ou de stratégies organisationnelles.
- Le rôle de l’utilisateur a été modifié récemment et le nouveau rôle n’octroie pas les autorisations requises.
Options de la solution
- Vérifier et mettre à jour les droits d’accès : assurez-vous que l’utilisateur dispose de l’accès approprié au niveau de l’abonnement, y compris les autorisations nécessaires pour l’appel d’API (Microsoft.Storage/storageAccounts/listAccountSas/action). Si nécessaire, demandez au propriétaire ou à l’administrateur de l’abonnement d’octroyer les droits d’accès nécessaires.
- Demander de l’aide au propriétaire ou à l’administrateur : si la solution ci-dessus n’est pas possible, vous pouvez demander au propriétaire ou à l’administrateur de l’abonnement de charger les fichiers de données en votre nom. Cette approche peut vous aider à importer des données dans Azure OpenAI Studio sans que l’utilisateur doive demander un accès au niveau de l’abonnement ou un accès public au stockage blob.
Étapes suivantes
- Apprenez-en plus sur le contrôle d’accès en fonction du rôle Azure (Azure RBAC).
- Vous pouvez également consulter Attribuer des rôles Azure avec le Portail Azure.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour