Szerepalapú hozzáférés-szabályozás az Azure OpenAI szolgáltatáshoz
Az Azure OpenAI szolgáltatás támogatja az Azure szerepköralapú hozzáférés-vezérlését (Azure RBAC), amely az Azure-erőforrásokhoz való egyéni hozzáférés kezelésére szolgáló engedélyezési rendszer. Az Azure RBAC használatával különböző szintű engedélyeket rendelhet hozzá a csapattagokhoz az adott projekthez tartozó igényeik alapján. További információkért tekintse meg az Azure RBAC dokumentációját.
Szerepkör-hozzárendelés hozzáadása Azure OpenAI-erőforráshoz
Az Azure RBAC hozzárendelhető egy Azure OpenAI-erőforráshoz. Az Azure-erőforrásokhoz való hozzáférés biztosításához szerepkör-hozzárendelést kell hozzáadnia.
Az Azure Portalon keresse meg az Azure OpenAI-t.
Válassza ki az Azure OpenAI-t, és keresse meg az adott erőforrást.
Feljegyzés
Az Azure RBAC-t teljes erőforráscsoportokhoz, előfizetésekhez vagy felügyeleti csoportokhoz is beállíthatja. Ehhez válassza ki a kívánt hatókörszintet, majd navigáljon a kívánt elemre. Például válassza ki az Erőforráscsoportokat , majd navigáljon egy adott erőforráscsoportra.
A bal oldali navigációs panelen válassza a Hozzáférés-vezérlés (IAM) lehetőséget.
Válassza a Hozzáadás, majd a Szerepkör-hozzárendelés hozzáadása lehetőséget.
A következő képernyőn a Szerepkör lapon válassza ki a hozzáadni kívánt szerepkört.
A Tagok lapon válasszon ki egy felhasználót, csoportot, szolgáltatásnevet vagy felügyelt identitást.
A szerepkör hozzárendeléséhez a Felülvizsgálat + hozzárendelés lapon válassza a Felülvizsgálat + hozzárendelés lehetőséget.
A cél néhány percen belül hozzárendeli a kijelölt szerepkört a kijelölt hatókörhöz. A lépésekkel kapcsolatos segítségért tekintse meg az Azure-szerepkörök hozzárendelése az Azure Portalon című témakört.
Azure OpenAI-szerepkörök
- Cognitive Services OpenAI-felhasználó
- Cognitive Services OpenAI-közreműködő
- Cognitive Services-közreműködő
- Cognitive Services használati adatok olvasója
Feljegyzés
Az előfizetési szintű tulajdonosi és közreműködői szerepkörök öröklődnek, és elsőbbséget élveznek az erőforráscsoport szintjén alkalmazott egyéni Azure OpenAI-szerepkörök felett.
Ez a szakasz azokat a gyakori feladatokat ismerteti, amelyeket a különböző fiókok és fiókkombinációk képesek elvégezni az Azure OpenAI-erőforrások esetében. Az elérhető műveletek és DataActions teljes listájának megtekintéséhez az Azure OpenAI-erőforrásból kap egy egyéni szerepkört a Hozzáférés-vezérlés (IAM)>Roles (Details>) (Részletek) oszlopban a Nézet lehetőséget választva. Alapértelmezés szerint a Műveletek radiális gomb van kiválasztva. A szerepkörhöz rendelt képességek teljes hatókörének megértéséhez meg kell vizsgálnia az Actions és a DataActions műveletet is.
Cognitive Services OpenAI-felhasználó
Ha egy felhasználó csak ehhez a szerepkörhöz kapott szerepköralapú hozzáférést egy Azure OpenAI-erőforráshoz, a következő gyakori feladatokat végezheti el:
✅Az erőforrás megtekintése az Azure Portalon
✅Az erőforrásvégpont megtekintése a Kulcsok és végpont területen
✅ Lehetőség az erőforrás és a kapcsolódó modell üzembe helyezésének megtekintésére az Azure OpenAI Studióban.
✅ Az Azure OpenAI Studióban az üzembe helyezéshez elérhető modellek megtekintésének lehetősége.
✅ A Csevegés, a Befejezések és a DALL-E (előzetes verzió) játszótéri felülettel szövegeket és képeket hozhat létre az Azure OpenAI-erőforrásban már üzembe helyezett modellekkel.
✅ Következtetési API-hívások indítása a Microsoft Entra-azonosítóval.
Egy felhasználó, aki csak ezt a szerepkört rendelte, nem tudja:
❌ Új Azure OpenAI-erőforrások létrehozása
❌Kulcsok megtekintése/másolása/újragenerálása a Kulcsok és végpont területen
❌ Új modelltelepítések létrehozása vagy meglévő modelltelepítések szerkesztése
❌ Egyéni finomhangolt modellek létrehozása/üzembe helyezése
❌ Adatkészletek feltöltése finomhangoláshoz
❌ Hozzáférési kvóta
❌ Testreszabott tartalomszűrők létrehozása
❌ Adatforrás hozzáadása az adatfunkció használatához
Cognitive Services OpenAI-közreműködő
Ez a szerepkör rendelkezik a Cognitive Services OpenAI-felhasználó összes engedélyével, és további feladatok elvégzésére is képes, például:
✅ Egyéni finomhangolt modellek létrehozása
✅ Adatkészletek feltöltése finomhangoláshoz
✅ Új modelltelepítések létrehozása vagy meglévő modelltelepítések szerkesztése [2023. ősz hozzáadva]
Egy felhasználó, aki csak ezt a szerepkört rendelte, nem tudja:
❌ Új Azure OpenAI-erőforrások létrehozása
❌Kulcsok megtekintése/másolása/újragenerálása a Kulcsok és végpont területen
❌ Hozzáférési kvóta
❌ Testreszabott tartalomszűrők létrehozása
❌ Adatforrás hozzáadása az adatfunkció használatához
Cognitive Services-közreműködő
Ezt a szerepkört általában az erőforráscsoport szintjén kapják meg a felhasználók, további szerepkörökkel együtt. Ez a szerepkör önmagában lehetővé tenné a felhasználó számára a következő feladatok elvégzését.
✅ Hozzon létre új Azure OpenAI-erőforrásokat a hozzárendelt erőforráscsoporton belül.
✅ Erőforrások megtekintése a hozzárendelt erőforráscsoportban az Azure Portalon.
✅Az erőforrásvégpont megtekintése a Kulcsok és végpont területen
✅Kulcsok megtekintése/másolása/újragenerálása a Kulcsok és végpont területen
✅ Az Üzembe helyezéshez elérhető modellek megtekintése az Azure OpenAI Studióban
✅ A Csevegés, a Befejezések és a DALL-E (előzetes verzió) játszótéri felület használatával szövegeket és képeket hozhat létre az Azure OpenAI-erőforrásban már üzembe helyezett modellekkel
✅ Testreszabott tartalomszűrők létrehozása
✅ Adatforrás hozzáadása az adatfunkció használatához
✅ Új modelltelepítések létrehozása vagy meglévő modelltelepítések szerkesztése (API-n keresztül)
✅ Egyéni finomhangolt modellek létrehozása [Hozzáadva: 2023. ősz]
✅ Adatkészletek feltöltése a finomhangoláshoz [2023 őszén hozzáadva]
✅ Új modelltelepítések létrehozása vagy meglévő modelltelepítések szerkesztése (az Azure OpenAI Studióval) [Hozzáadva: 2023. ősz]
Egy felhasználó, aki csak ezt a szerepkört rendelte, nem tudja:
❌ Hozzáférési kvóta
❌ Következtetési API-hívások indítása a Microsoft Entra-azonosítóval.
Cognitive Services használati adatok olvasója
A kvóta megtekintéséhez a Cognitive Services Használati adatok olvasó szerepköre szükséges. Ez a szerepkör biztosítja az Azure-előfizetések kvótahasználatának megtekintéséhez szükséges minimális hozzáférést.
Ez a szerepkör az Azure Portal Előfizetések> *Hozzáférés-vezérlés (IAM)>Szerepkör-hozzárendelési> keresés hozzáadása a Cognitive Services Használati adatok olvasója területén található. A szerepkört az előfizetés szintjén kell alkalmazni, az erőforrás szintjén nem létezik.
Ha nem szeretné használni ezt a szerepkört, az előfizetés-olvasó szerepkör egyenértékű hozzáférést biztosít, de olvasási hozzáférést is biztosít a kvóta megtekintéséhez szükséges hatókörön túl. A modell Azure OpenAI Studión keresztüli üzembe helyezése részben függ ennek a szerepkörnek a jelenlététől is.
Ez a szerepkör önmagában kevés értéket biztosít, és általában egy vagy több korábban leírt szerepkörrel együtt van hozzárendelve.
Cognitive Services-használati olvasó + Cognitive Services OpenAI-felhasználó
A Cognitive Services OpenAI-felhasználó összes képessége, valamint a következő lehetőségek:
✅ Kvótafoglalások megtekintése az Azure OpenAI Studióban
Cognitive Services-használati olvasó + Cognitive Services OpenAI-közreműködő
A Cognitive Services OpenAI-közreműködő összes képessége, valamint a következő lehetőségek:
✅ Kvótafoglalások megtekintése az Azure OpenAI Studióban
Cognitive Services-használati olvasó + Cognitive Services-közreműködő
A Cognitive Services-közreműködő összes képessége, valamint a következő lehetőségek:
✅ Kvótafoglalások megtekintése és szerkesztése az Azure OpenAI Studióban
✅ Új modelltelepítések létrehozása vagy meglévő modelltelepítések szerkesztése (az Azure OpenAI Studióval)
Összegzés
| Engedélyek | Cognitive Services OpenAI-felhasználó | Cognitive Services OpenAI-közreműködő | Cognitive Services-közreműködő | Cognitive Services használati adatok olvasója |
|---|---|---|---|---|
| Az erőforrás megtekintése az Azure Portalon | ✅ | ✅ | ✅ | ➖ |
| Az erőforrásvégpont megtekintése a "Kulcsok és végpont" területen | ✅ | ✅ | ✅ | ➖ |
| Az erőforrás- és a kapcsolódó modelltelepítések megtekintése az Azure OpenAI Studióban | ✅ | ✅ | ✅ | ➖ |
| Az Üzembe helyezéshez elérhető modellek megtekintése az Azure OpenAI Studióban | ✅ | ✅ | ✅ | ➖ |
| Használja a Csevegés, a Befejezések és a DALL-E (előzetes verzió) játszótéri felületét az Azure OpenAI-erőforrásban már üzembe helyezett modellekkel. | ✅ | ✅ | ✅ | ➖ |
| Modelltelepítések létrehozása vagy szerkesztése | ❌ | ✅ | ✅ | ➖ |
| Egyéni finomhangolt modellek létrehozása vagy üzembe helyezése | ❌ | ✅ | ✅ | ➖ |
| Adatkészletek feltöltése finomhangoláshoz | ❌ | ✅ | ✅ | ➖ |
| Új Azure OpenAI-erőforrások létrehozása | ❌ | ❌ | ✅ | ➖ |
| Kulcsok megtekintése/másolása/újragenerálása a "Kulcsok és végpont" területen | ❌ | ❌ | ✅ | ➖ |
| Testreszabott tartalomszűrők létrehozása | ❌ | ❌ | ✅ | ➖ |
| Adatforrás hozzáadása az "adatokon" funkcióhoz | ❌ | ❌ | ✅ | ➖ |
| Hozzáférési kvóta | ❌ | ❌ | ❌ | ✅ |
| Következtetési API-hívások indítása a Microsoft Entra-azonosítóval | ✅ | ✅ | ❌ | ➖ |
Gyakori problémák
Nem lehet megtekinteni az Azure Cognitive Search lehetőséget az Azure OpenAI Studióban
Issue:
Meglévő Azure Cognitive Search-erőforrás kiválasztásakor a keresési indexek nem töltődnek be, és a terhelési kerék folyamatosan pörög. Az Azure OpenAI Studióban nyissa meg a Playground Chat>Add your data (preview) (előzetes verzió) lehetőséget az Asszisztens beállítása alatt. Az Adatforrás hozzáadása lehetőséget választva megnyílik egy modális, amely lehetővé teszi adatforrás hozzáadását az Azure Cognitive Search vagy a Blob Storage használatával. Az Azure Cognitive Search lehetőség és egy meglévő Azure Cognitive Search-erőforrás kiválasztásakor be kell töltenie a választható Azure Cognitive Search-indexeket.
Kiváltó ok
Általános API-hívás indításához az Azure Cognitive Search szolgáltatás listázásához a következő hívás történik:
https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Search/searchServices?api-version=2021-04-01-Preview
Cserélje le a(z) {subscriptionId} elemet a tényleges előfizetés-azonosítóra.
Ehhez az API-híváshoz előfizetésszintű hatóköri szerepkörre van szükség. Az Olvasó szerepkört írásvédett hozzáféréshez vagy a Közreműködő szerepkört használhatja írásvédett hozzáféréshez. Ha csak az Azure Cognitive Search szolgáltatás kell hozzáférnie, használhatja az Azure Cognitive Search Szolgáltatás közreműködői vagy az Azure Cognitive Search Szolgáltatásolvasó szerepköreit.
Megoldási lehetőségek
Lépjen kapcsolatba az előfizetés rendszergazdájával vagy tulajdonosával: Lépjen kapcsolatba az Azure-előfizetést kezelő személlyel, és kérje a megfelelő hozzáférést. Ismertesse a követelményeket és a szükséges szerepkört (például Olvasó, Közreműködő, Azure Cognitive Search Szolgáltatás közreműködője vagy Azure Cognitive Search Szolgáltatásolvasó).
Előfizetési szintű vagy erőforráscsoportszintű hozzáférés kérése: Ha adott erőforrásokhoz szeretne hozzáférni, kérje meg az előfizetés tulajdonosát, hogy a megfelelő szinten (előfizetés vagy erőforráscsoport) adjon hozzáférést. Így anélkül hajthatja végre a szükséges feladatokat, hogy nem rendelkezik hozzáféréssel a nem kapcsolódó erőforrásokhoz.
API-kulcsok használata az Azure Cognitive Searchhez: Ha csak az Azure Cognitive Search szolgáltatás kell használnia, kérheti a rendszergazdai kulcsokat vagy a lekérdezési kulcsokat az előfizetés tulajdonosától. Ezek a kulcsok lehetővé teszik api-hívások közvetlen indítását a keresési szolgáltatásba anélkül, hogy Azure RBAC-szerepkörre van szüksége. Ne feledje, hogy az API-kulcsok használata megkerüli az Azure RBAC hozzáférés-vezérlését, ezért körültekintően használja őket, és kövesse a biztonsági ajánlott eljárásokat.
Nem lehet fájlokat feltölteni az Adatokhoz készült Azure OpenAI Studióban
Hibajelenség: Az Azure OpenAI Studio használatával nem lehet hozzáférni az adatfunkció tárterületéhez.
Kiváltó ok:
Nem megfelelő előfizetési szintű hozzáférés ahhoz a felhasználóhoz, aki megkísérli elérni a blobtárolót az Azure OpenAI Studióban. Előfordulhat, hogy a felhasználó nem rendelkezik az Azure Management API-végpont meghívásához szükséges engedélyekkel: https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{accountName}/listAccountSas?api-version=2022-09-01
A blobtárolóhoz való nyilvános hozzáférést az Azure-előfizetés tulajdonosa biztonsági okokból letiltja.
Az API-híváshoz szükséges engedélyek: **Microsoft.Storage/storageAccounts/listAccountSas/action:** Ez az engedély lehetővé teszi, hogy a felhasználó listázhassa a megadott tárfiók megosztott hozzáférésű jogosultságkódjainak (SAS) jogkivonatait.
Lehetséges okok, amelyek miatt a felhasználó nem rendelkezik engedélyekkel:
- A felhasználó korlátozott szerepkörrel rendelkezik az Azure-előfizetésben, amely nem tartalmazza az API-híváshoz szükséges engedélyeket.
- A felhasználó szerepkörét biztonsági aggályok vagy szervezeti szabályzatok miatt az előfizetés tulajdonosa vagy a rendszergazda korlátozta.
- A felhasználó szerepköre nemrég módosult, és az új szerepkör nem adja meg a szükséges engedélyeket.
Megoldási lehetőségek
- Hozzáférési jogosultságok ellenőrzése és frissítése: Győződjön meg arról, hogy a felhasználó rendelkezik a megfelelő előfizetési szintű hozzáféréssel, beleértve az API-híváshoz szükséges engedélyeket (Microsoft.Storage/storageAccounts/listAccountSas/action). Ha szükséges, kérje meg az előfizetés tulajdonosát vagy rendszergazdáját, hogy adja meg a szükséges hozzáférési jogosultságokat.
- Kérjen segítséget a tulajdonostól vagy a rendszergazdától: Ha a fenti megoldás nem megvalósítható, kérje meg az előfizetés tulajdonosát vagy rendszergazdáját, hogy töltse fel az adatfájlokat az Ön nevében. Ez a megközelítés segíthet importálni az adatokat az Azure OpenAI Studióba anélkül , hogy a felhasználó előfizetési szintű hozzáférést vagy nyilvános hozzáférést igényel a blobtárolóhoz.
Következő lépések
- További információ az Azure-szerepköralapú hozzáférés-vezérlésről (Azure RBAC).
- Az Azure-szerepkörök hozzárendelését az Azure Portalon is megtekintheti.