Share via

Az Azure OpenAI biztonságos használata az adatokon

  • Cikk

Ebből a cikkből megtudhatja, hogyan használhatja biztonságosan az Azure OpenAI On Your Data-t adatok és erőforrások védelmével a Microsoft Entra ID szerepköralapú hozzáférés-vezérléssel, virtuális hálózatokkal és privát végpontokkal.

Ez a cikk csak akkor alkalmazható, ha az Azure OpenAI On Your Data-t szöveggel használja. A rendszerképekkel rendelkező Azure OpenAI-ra nem vonatkozik.

Adatbetöltési architektúra

Ha az Azure OpenAI On Your Data használatával betölt adatokat az Azure Blob Storage-ból, helyi fájlokból vagy URL-címekből az Azure AI Searchbe, az adatok feldolgozásához a következő folyamatot használja a rendszer.

Az adatok betöltésének folyamatát bemutató diagram.

  • Az 1. és a 2. lépés csak a fájlfeltöltéshez használható.
  • Az URL-címek blobtárolóba való letöltése ebben a diagramban nem látható. Miután letöltötte a weblapokat az internetről, és feltöltötte a blobtárolóba, a 3. lépés ugyanaz.
  • Két indexelő, két index, két adatforrás és egy egyéni képesség jön létre az Azure AI Search-erőforrásban.
  • Az adattömbtároló a blobtárolóban jön létre.
  • Ha a betöltési folyamatot ütemezett frissítés aktiválja, a betöltési folyamat a 7. lépéstől kezdődik.
  • Az preprocessing-jobs Azure OpenAI API implementálja az Azure AI Search ügyfélismereti webes API-protokollját, és várólistán dolgozza fel a dokumentumokat.
  • Azure OpenAI:
    1. Belsőleg a korábban létrehozott első indexelővel feltöri a dokumentumokat.
    2. Heurisztikus alapú algoritmussal hajtja végre az adattömböket, tiszteletben tartja a táblázatelrendezéseket és más formázási elemeket az adattömb határában a legjobb adattömbminőség biztosítása érdekében.
    3. Ha úgy dönt, hogy engedélyezi a vektorkeresést, az Azure OpenAI a kijelölt beágyazási üzembe helyezést használja az adattömbök belső vektorizálására.
  • A szolgáltatás által figyelt összes adat feldolgozásakor az Azure OpenAI elindítja a második indexelőt.
  • Az indexelő a feldolgozott adatokat egy Azure AI-Search szolgáltatás tárolja.

A szolgáltatáshívásokban használt felügyelt identitások esetében csak a rendszer által hozzárendelt felügyelt identitások támogatottak. A felhasználó által hozzárendelt felügyelt identitások nem támogatottak.

Következtetési architektúra

A következtetési API használatának folyamatát bemutató diagram.

Amikor API-hívásokat küld egy Azure OpenAI-modellel való csevegéshez az adatain, a szolgáltatásnak le kell kérnie az indexmezőket a következtetés során, hogy automatikusan végrehajtsa a mezők leképezését, ha a mezők leképezése nincs explicit módon beállítva a kérelemben. Ezért a szolgáltatás megköveteli, hogy az Azure OpenAI-identitás rendelkezzen a Search Service Contributor keresési szolgáltatás szerepkörével még a következtetés során is.

Ha beágyazási üzembe helyezést ad meg a következtetési kérelemben, az újraírt lekérdezést az Azure OpenAI vektorizálja, és a rendszer a lekérdezést és a vektort is elküldi az Azure AI Searchnek a vektorkereséshez.

Dokumentumszintű hozzáférés-vezérlés

Feljegyzés

A dokumentumszintű hozzáférés-vezérlés csak az Azure AI-keresés esetében támogatott.

Az Azure OpenAI On Your Data segítségével korlátozhatja a különböző felhasználók válaszaiban használható dokumentumokat az Azure AI Search biztonsági szűrőivel. A dokumentumszintű hozzáférés engedélyezésekor az Azure AI Search által visszaadott és a válasz létrehozásához használt keresési eredmények a Microsoft Entra-csoporttagság alapján lesznek levágva. Dokumentumszintű hozzáférést csak meglévő Azure AI Search-indexeken engedélyezhet. Dokumentumszintű hozzáférés engedélyezése:

  1. Kövesse az Azure AI Search dokumentációjának lépéseit az alkalmazás regisztrálásához és a felhasználók és csoportok létrehozásához.

  2. Indexelje a dokumentumokat a megengedett csoportokkal. Győződjön meg arról, hogy az új biztonsági mezők az alábbi sémával rendelkeznek:

    {"name": "group_ids", "type": "Collection(Edm.String)", "filterable": true }

    group_ids az alapértelmezett mezőnév. Ha más típusú mezőnevet my_group_idshasznál, az indexmező-megfeleltetésben leképezheti a mezőt.

  3. Győződjön meg arról, hogy az index minden bizalmas dokumentuma helyesen van beállítva ezen a biztonsági mezőben a dokumentum engedélyezett csoportjainak jelzéséhez.

  4. Az Azure OpenAI Studióban adja hozzá az adatforrást. az Index mezőleképezés szakaszában nullát vagy egy értéket rendelhet az engedélyezett csoportok mezőhöz, feltéve, hogy a séma kompatibilis. Ha az Engedélyezett csoportok mező nincs megfeleltetve, a dokumentumszintű hozzáférés nem lesz engedélyezve.

Azure OpenAI Studio

Az Azure AI Search index csatlakoztatása után a stúdióban adott válaszok dokumentumhozzáféréssel rendelkeznek a bejelentkezett felhasználó Microsoft Entra-engedélyei alapján.

Webalkalmazás

Közzétett webalkalmazás használata esetén újra üzembe kell helyeznie a legújabb verzióra való frissítéshez. A webalkalmazás legújabb verziója lehetővé teszi a bejelentkezett felhasználó Microsoft Entra-fiókjának csoportjainak lekérését, gyorsítótárazását, valamint a csoportazonosítók mindegyik API-kérésbe való belefoglalását.

API

Az API használatakor adja át a paramétert az filter egyes API-kérésekben. Példa:

{
    "messages": [
        {
            "role": "user",
            "content": "who is my manager?"
        }
    ],
    "dataSources": [
        {
            "type": "AzureCognitiveSearch",
            "parameters": {
                "endpoint": "'$AZURE_AI_SEARCH_ENDPOINT'",
                "key": "'$AZURE_AI_SEARCH_API_KEY'",
                "indexName": "'$AZURE_AI_SEARCH_INDEX'",
                "filter": "my_group_ids/any(g:search.in(g, 'group_id1, group_id2'))"
            }
        }
    ]
}
  • my_group_idsa mezők leképezése során engedélyezett csoportok számára kijelölt mezőnév.
  • group_id1, group_id2 A bejelentkezett felhasználónak tulajdonított csoportok. Az ügyfélalkalmazás lekérheti és gyorsítótárba helyezheti a felhasználói csoportokat.

Erőforrás-konfigurálás

Az alábbi szakaszokban az erőforrásokat az optimális biztonságos használat érdekében konfigurálhatja. Még ha csak az erőforrások egy részét is szeretné biztonságossá tenni, akkor is követnie kell az alábbi lépéseket.

Ez a cikk az Azure OpenAI-erőforrások, az Azure AI keresési erőforrásai és a tárfiókok nyilvános hálózatának letiltásával kapcsolatos hálózati beállításokat ismerteti. A kijelölt hálózatok IP-szabályokkal való használata nem támogatott, mert a szolgáltatások IP-címei dinamikusak.

Tipp.

A GitHubon elérhető bash-szkripttel ellenőrizheti a beállítását, és megállapíthatja, hogy az itt felsorolt összes követelmény teljesül-e.

Erőforráscsoport létrehozása

Hozzon létre egy erőforráscsoportot, hogy az összes releváns erőforrás rendszerezhető legyen. Az erőforráscsoport erőforrásai közé tartoznak, de nem korlátozódnak a következőkre:

  • Egy virtuális hálózat
  • Három fő szolgáltatás: egy Azure OpenAI, egy Azure AI Search, egy tárfiók
  • Három privát végpont, mindegyik egy kulcsszolgáltatáshoz van csatolva
  • Három hálózati adapter, mindegyik egy privát végponthoz van társítva
  • Egy virtuális hálózati átjáró a helyszíni ügyfélszámítógépekről való hozzáféréshez
  • Egy webalkalmazás integrált virtuális hálózattal
  • Egy saját DNS zóna, így a webalkalmazás megkeresi az Azure OpenAI IP-címét

Virtuális hálózat létrehozása

A virtuális hálózat három alhálózattal rendelkezik.

  1. Az első alhálózat a három privát végpont privát IP-címeihez használatos.
  2. A második alhálózat automatikusan létrejön a virtuális hálózati átjáró létrehozásakor.
  3. A harmadik alhálózat üres, és a Web App kimenő virtuális hálózati integrációjához használatos.

A virtuális hálózati architektúrát bemutató diagram.

Vegye figyelembe, hogy a Microsoft által felügyelt virtuális hálózatot a Microsoft hozza létre, és nem látja. Az Azure OpenAI a Microsoft által felügyelt virtuális hálózatot használja az Azure AI Search biztonságos eléréséhez.

Az Azure OpenAI konfigurálása

Engedélyezett egyéni altartomány

Ha az Azure OpenAI-t az Azure Portalon hozta létre, az egyéni altartománynak már létre kellett volna hoznia. Az egyéni altartomány szükséges a Microsoft Entra ID-alapú hitelesítéshez és a privát DNS-zónához.

Felügyelt identitás engedélyezése

Ahhoz, hogy az Azure AI Search és Storage-fiók felismerje az Azure OpenAI-szolgáltatást a Microsoft Entra ID-hitelesítéssel, hozzá kell rendelnie egy felügyelt identitást az Azure OpenAI szolgáltatáshoz. A legegyszerűbb módszer a rendszer által hozzárendelt felügyelt identitás váltása az Azure Portalon. Képernyőkép a rendszer által hozzárendelt felügyelt identitás lehetőségről az Azure Portalon.

A felügyelt identitások felügyeleti API-val történő beállításához tekintse meg a felügyeleti API referenciadokumentációját.


"identity": {
  "principalId": "12345678-abcd-1234-5678-abc123def",
  "tenantId": "1234567-abcd-1234-1234-abcd1234",
  "type": "SystemAssigned, UserAssigned", 
  "userAssignedIdentities": {
    "/subscriptions/1234-5678-abcd-1234-1234abcd/resourceGroups/my-resource-group",
    "principalId": "12345678-abcd-1234-5678-abcdefg1234", 
    "clientId": "12345678-abcd-efgh-1234-12345678"
  }
}

Megbízható szolgáltatás engedélyezése

Ahhoz, hogy az Azure AI Search egyéni képességalapú webes API-ként hívja meg az Azure OpenAI-t preprocessing-jobs , míg az Azure OpenAI nem rendelkezik nyilvános hálózati hozzáféréssel, be kell állítania az Azure OpenAI-t az Azure AI Search felügyelt identitáson alapuló megbízható szolgáltatásként való megkerüléséhez. Az Azure OpenAI azonosítja az Azure AI Searchből érkező forgalmat a JSON Web Token (JWT) jogcímeinek ellenőrzésével. Az Egyéni képesség webes API meghívásához az Azure AI Searchnek a rendszer által hozzárendelt felügyelt identitáshitelesítést kell használnia.

Állítsa be networkAcls.bypass a AzureServices felügyeleti API-ból. További információt a virtuális hálózatokról szóló cikkben talál.

Feljegyzés

A megbízható szolgáltatás funkció csak a fent leírt paranccsal érhető el, és nem végezhető el az Azure Portal használatával.

Ezt a lépést csak akkor lehet kihagyni, ha megosztott privát hivatkozással rendelkezik az Azure AI Search-erőforráshoz.

Nyilvános hálózati hozzáférés letiltása

Az Azure Portalon letilthatja az Azure OpenAI-erőforrás nyilvános hálózati hozzáférését.

Ha engedélyezni szeretné az Azure OpenAI szolgáltatáshoz való hozzáférést az ügyfélgépekről, például az Azure OpenAI Studio használatával, létre kell hoznia az Azure OpenAI-erőforráshoz csatlakozó privát végpontkapcsolatokat .

Az alábbi konfigurációhoz alapszintű és magasabb tarifacsomagot használhat. Ez nem szükséges, de ha az S2 tarifacsomagot használja, további lehetőségeket fog látni a kiválasztáshoz.

Felügyelt identitás engedélyezése

Ahhoz, hogy más erőforrásai felismerjék az Azure AI Search szolgáltatást a Microsoft Entra ID-hitelesítéssel, hozzá kell rendelnie egy felügyelt identitást az Azure AI Searchhöz. A legegyszerűbb módszer a rendszer által hozzárendelt felügyelt identitás váltása az Azure Portalon.

Képernyőkép az Azure AI Search felügyelt identitásbeállításairól az Azure Portalon.

Szerepköralapú hozzáférés-vezérlés engedélyezése

Mivel az Azure OpenAI felügyelt identitást használ az Azure AI Search eléréséhez, engedélyeznie kell a szerepköralapú hozzáférés-vezérlést az Azure AI Searchben. Ehhez az Azure Portalon válassza a Mindkettő lehetőséget az Azure Portal Kulcsok lapján.

Képernyőkép az Azure AI-keresés felügyelt identitásbeállításról az Azure Portalon.

A szerepköralapú hozzáférés-vezérlés REST API-val való engedélyezéséhez állítsa be authOptions a következőt aadOrApiKey: . További információkért tekintse meg az Azure AI Search RBAC-cikket.

"disableLocalAuth": false,
"authOptions": { 
    "aadOrApiKey": { 
        "aadAuthFailureMode": "http401WithBearerChallenge"
    }
}

Az Azure OpenAI Studio használatához nem tilthatja le az Azure AI Search API-kulcsalapú hitelesítését, mert az Azure OpenAI Studio az API-kulccsal hívja meg az Azure AI Search API-t a böngészőből.

Tipp.

A legjobb biztonság érdekében, ha készen áll az éles használatra, és már nem kell az Azure OpenAI Studiót használnia teszteléshez, javasoljuk, hogy tiltsa le az API-kulcsot. A részletekért tekintse meg az Azure AI Search RBAC-cikket .

Nyilvános hálózati hozzáférés letiltása

Az Azure Portalon letilthatja az Azure AI Search-erőforrás nyilvános hálózati hozzáférését.

Ha engedélyezni szeretné az Azure AI Search-erőforrás elérését az ügyfélgépekről, például az Azure OpenAI Studio használatával, létre kell hoznia az Azure AI Search-erőforráshoz csatlakozó privát végpontkapcsolatokat .

Feljegyzés

Ha engedélyezni szeretné az Azure AI Search-erőforráshoz való hozzáférést az Azure OpenAI-erőforrásból, be kell küldenie egy alkalmazásűrlapot. Az alkalmazást 5 munkanapon belül áttekintjük, és e-mailben értesítjük az eredményekről. Ha jogosult, kiépíteni fogjuk a privát végpontot a Microsoft által felügyelt virtuális hálózaton, és elküldünk egy privát végpont kapcsolatkérést a keresési szolgáltatásnak, és jóvá kell hagynunk a kérést.

A privát végpont jóváhagyási képernyőjét ábrázoló képernyőkép.

A privát végpont erőforrása egy Microsoft által felügyelt bérlőben van kiépítve, míg a csatolt erőforrás az Ön bérlőjében található. A privát végpont erőforrásához nem fér hozzá, ha csak a privát végpont hivatkozására (kék betűtípussal) kattint a Hálózatkezelés lap Privát hozzáférés lapján. Ehelyett kattintson a sor más pontjára, majd kattintson a fenti Jóváhagyás gombra.

További információ a manuális jóváhagyási munkafolyamatról.

Tipp.

Ha alapszintű vagy standard tarifacsomagot használ, vagy ha először állít be minden erőforrást biztonságosan, hagyja ki ezt a speciális témakört.

Ez a szakasz csak az S2 tarifacsomag keresési erőforrására vonatkozik, mivel magánvégpont-támogatást igényel a képességkészlettel rendelkező indexelők számára.

Ha megosztott privát hivatkozást szeretne létrehozni az Azure OpenAI-erőforráshoz csatlakozó keresési erőforrásból, tekintse meg a keresési dokumentációt. Válassza ki az erőforrástípust és Microsoft.CognitiveServices/accountsa csoportazonosítót.openai_account

Megosztott privát kapcsolat esetén az adatbetöltési architektúra diagramjának nyolcadik lépése a megbízható szolgáltatás megkerüléséről a privát végpontra módosul.

Az adatok S2 keresési erőforrással való betöltésének folyamatát bemutató diagram.

A létrehozott Azure AI Search megosztott privát hivatkozás a Microsoft által felügyelt virtuális hálózaton van, nem pedig a virtuális hálózaton. A korábban létrehozott többi felügyelt privát végponthoz képest az a különbség, hogy az Azure OpenAI és az Azure Search felügyelt privát végpontja [1] az űrlapalkalmazáson keresztül van kiépítve, míg az Azure Searchből az Azure OpenAI-ba irányuló felügyelt privát végpont [2] az Azure Portalon vagy az Azure Search REST API-ján keresztül van kiépítve.

A virtuális hálózati architektúrát és az S2 keresési erőforrást bemutató diagram.

Tárfiók konfigurálása

Megbízható szolgáltatás engedélyezése

Ha engedélyezni szeretné a tárfiókhoz való hozzáférést az Azure OpenAI-ból és az Azure AI Searchből, bár a tárfiók nem rendelkezik nyilvános hálózati hozzáféréssel, be kell állítania a Tárfiókot, hogy megkerülje az Azure OpenAI-t és az Azure AI Searchet felügyelt identitáson alapuló megbízható szolgáltatásként.

Az Azure Portalon lépjen a tárfiók hálózatkezelés lapjára, válassza a "Kijelölt hálózatok" lehetőséget, majd válassza a Megbízható szolgáltatások listájában az Azure-szolgáltatások engedélyezése lehetőséget a tárfiók eléréséhez, majd kattintson a Mentés gombra.

Nyilvános hálózati hozzáférés letiltása

A tárfiók nyilvános hálózati hozzáférését az Azure Portalon tilthatja le.

Ha engedélyezni szeretné a tárfiókhoz való hozzáférést az ügyfélgépekről, például az Azure OpenAI Studióból, létre kell hoznia a blobtárolóhoz csatlakozó privát végpontkapcsolatokat .

Szerepkör-hozzárendelések

Eddig minden erőforrást egymástól függetlenül beállított. Ezután engedélyeznie kell a szolgáltatásoknak, hogy engedélyezzék egymást.

Szerepkör Megbízott Erőforrás Leírás
Search Index Data Reader Azure OpenAI Azure AI Keresés Az Inference szolgáltatás lekérdezi az adatokat az indexből.
Search Service Contributor Azure OpenAI Azure AI Keresés Az Inference service lekérdezi az indexsémát az automatikus mezők leképezéséhez. Az adatbetöltési szolgáltatás létrehozza az indexelő, az adatforrások, a képességkészlet, az indexelő és a lekérdezések állapotát.
Storage Blob Data Contributor Azure OpenAI Tárfiók Beolvassa a bemeneti tárolóból, és az előfeldolgozás eredményét a kimeneti tárolóba írja.
Cognitive Services OpenAI Contributor Azure AI Keresés Azure OpenAI Egyéni képesség
Storage Blob Data Contributor Azure AI Keresés Tárfiók A blob olvasása és a tudástár írása.

A fenti táblázatban az Assignee azt jelenti, hogy a rendszer hozzárendelte az erőforrás felügyelt identitását.

A rendszergazdának rendelkeznie kell a szerepkörével ezeken az Owner erőforrásokon a szerepkör-hozzárendelések hozzáadásához.

A szerepkörök Azure Portalon való beállításával kapcsolatos útmutatásért tekintse meg az Azure RBAC dokumentációját. A GitHubon elérhető szkripttel programozott módon adhat hozzá szerepkör-hozzárendeléseket.

Ahhoz, hogy a fejlesztők ezeket az erőforrásokat alkalmazások létrehozásához használhassák, a rendszergazdának hozzá kell adnia a fejlesztők identitását az alábbi szerepkör-hozzárendelésekkel az erőforrásokhoz.

Szerepkör Erőforrás Leírás
Cognitive Services OpenAI Contributor Azure OpenAI Nyilvános betöltési API meghívása az Azure OpenAI Studióból. A Contributor szerepkör nem elég, mert ha csak szerepköre van Contributor , akkor nem hívhatja meg az adatsík API-ját Microsoft Entra ID-hitelesítéssel, és a cikkben ismertetett biztonságos beállításhoz Microsoft Entra ID-hitelesítésre van szükség.
Cognitive Services User Azure OpenAI Api-kulcsok listázása az Azure OpenAI Studióból.
Contributor Azure AI Keresés Az API-kulcsok listázása az Azure OpenAI Studióból származó indexek listázásához.
Contributor Tárfiók Az Azure OpenAI Studióból származó fájlok feltöltéséhez listázzon fiók SAS-t.
Contributor Az az erőforráscsoport vagy Azure-előfizetés, amelyben a fejlesztőnek üzembe kell helyeznie a webalkalmazást Webalkalmazás üzembe helyezése a fejlesztő Azure-előfizetésében.

Átjáró és ügyfél konfigurálása

Az Azure OpenAI szolgáltatás helyszíni ügyfélgépekről való eléréséhez az egyik módszer az Azure VPN Gateway és az Azure VPN-ügyfél konfigurálása.

Ezt az útmutatót követve hozzon létre virtuális hálózati átjárót a virtuális hálózathoz.

Kövesse ezt az útmutatót a pont–hely konfiguráció hozzáadásához és a Microsoft Entra ID-alapú hitelesítés engedélyezéséhez. Töltse le az Azure VPN-ügyfélprofil konfigurációs csomagját, bontsa ki és importálja a fájlt az AzureVPN/azurevpnconfig.xml Azure VPN-ügyfélbe.

Képernyőkép az Azure VPN-ügyfélprofil importálásának helyről.

Konfigurálja a helyi gépfájlt hosts úgy, hogy az erőforrások gazdagépneveit a virtuális hálózat privát IP-címére mutasson. A hosts fájl a Windows /etc/hosts és C:\Windows\System32\drivers\etc a Linux rendszeren található. Példa:

10.0.0.5 contoso.openai.azure.com
10.0.0.6 contoso.search.windows.net
10.0.0.7 contoso.blob.core.windows.net

Azure OpenAI Studio

A helyszíni ügyfélszámítógépeken minden Azure OpenAI Studio-funkciót használhat, beleértve a betöltést és a következtetést is.

Webalkalmazás

A webalkalmazás kommunikál az Azure OpenAI-erőforrással. Mivel az Azure OpenAI-erőforrás nyilvános hálózata le van tiltva, a webalkalmazást úgy kell beállítani, hogy a virtuális hálózat privát végpontját használja az Azure OpenAI-erőforrás eléréséhez.

A webalkalmazásnak fel kell oldania az Azure OpenAI-gazdagép nevét az Azure OpenAI privát végpontjának privát IP-címére. Ezért először konfigurálnia kell a virtuális hálózat privát DNS-zónáját.

  1. Hozzon létre privát DNS-zónát az erőforráscsoportban.
  2. Adjon hozzá egy DNS-rekordot. Az IP-cím az Azure OpenAI-erőforrás privát végpontjának privát IP-címe, és az Azure OpenAI privát végpontjához társított hálózati adapterről szerezheti be az IP-címet.
  3. Csatlakoztassa a privát DNS-zónát a virtuális hálózathoz , hogy a virtuális hálózatba integrált webalkalmazás használni tudja ezt a privát DNS-zónát.

Amikor a webalkalmazást az Azure OpenAI Studióból telepíti, válassza ki ugyanazt a helyet a virtuális hálózattal, és válasszon ki egy megfelelő termékváltozatot, hogy támogassa a virtuális hálózat integrációs funkcióját.

A webalkalmazás üzembe helyezése után az Azure Portal hálózatkezelés lapján konfigurálja a webalkalmazás kimenő forgalom virtuális hálózati integrációját, és válassza ki a webalkalmazás számára fenntartott harmadik alhálózatot.

Képernyőkép a webalkalmazás kimenő forgalomkonfigurációjáról.

Az API használata

Győződjön meg arról, hogy a bejelentkezési hitelesítő adatok szerepkört töltenek Cognitive Services OpenAI Contributor be az Azure OpenAI-erőforrásban, és futtassa az elsőt az login .

Képernyőkép a cognitive services OpenAI közreműködői szerepkörről az Azure Portalon.

Betöltési API

A betöltési API által használt kérelem- és válaszobjektumokkal kapcsolatos részletekért tekintse meg a betöltési API referenciacikkét.

További megjegyzések:

  • JOB_NAME az API elérési útjának indexneve lesz az Azure AI Searchben.
  • Api-kulcs helyett használja a Authorization fejlécet.
  • Explicit módon állítsa be storageEndpoint a fejlécet.
  • Használja ResourceId= a storageConnectionString fejléc formátumát, így az Azure OpenAI és az Azure AI Search felügyelt identitással hitelesíti a tárfiókot, amely a hálózati korlátozások megkerüléséhez szükséges.
  • Ne állítsa be a fejlécet searchServiceAdminKey . Az Azure OpenAI-erőforrás rendszer által hozzárendelt identitása az Azure AI Search hitelesítésére szolgál.
  • Ne állítsa be embeddingEndpoint vagy embeddingKey. Ehelyett a fejléc használatával engedélyezze a embeddingDeploymentName szövegvektorizációt.

Feladat elküldése – példa

accessToken=$(az account get-access-token --resource https://cognitiveservices.azure.com/ --query "accessToken" --output tsv)
curl -i -X PUT https://my-resource.openai.azure.com/openai/extensions/on-your-data/ingestion-jobs/vpn1025a?api-version=2023-10-01-preview \
-H "Content-Type: application/json" \
-H "Authorization: Bearer $accessToken" \
-H "storageEndpoint: https://mystorage.blob.core.windows.net/" \
-H "storageConnectionString: ResourceId=/subscriptions/1234567-abcd-1234-5678-1234abcd/resourceGroups/my-resource/providers/Microsoft.Storage/storageAccounts/mystorage" \
-H "storageContainer: my-container" \
-H "searchServiceEndpoint: https://mysearch.search.windows.net" \
-H "embeddingDeploymentName: ada" \
-d \
'
{
}
'

Példa feladatállapot lekérése

accessToken=$(az account get-access-token --resource https://cognitiveservices.azure.com/ --query "accessToken" --output tsv)
curl -i -X GET https://my-resource.openai.azure.com/openai/extensions/on-your-data/ingestion-jobs/abc1234?api-version=2023-10-01-preview \
-H "Content-Type: application/json" \
-H "Authorization: Bearer $accessToken"

Következtetési API

A következtetési API által használt kérés- és válaszobjektumokról a következtetési API referenciacikkében olvashat.