Bagikan melalui


Kontrol akses berbasis peran untuk Azure OpenAI Service

Azure OpenAI Service mendukung kontrol akses berbasis peran Azure (Azure RBAC), sistem otorisasi untuk mengelola akses individual ke sumber daya Azure. Dengan menggunakan Azure RBAC, Anda menetapkan berbagai anggota tim tingkat izin yang berbeda berdasarkan kebutuhan mereka untuk proyek tertentu. Untuk informasi selengkapnya, lihat dokumentasi Azure RBAC.

Menambahkan penetapan peran ke sumber daya Azure OpenAI

Azure RBAC dapat ditetapkan ke sumber daya Azure OpenAI. Untuk memberikan akses ke sumber daya Azure, tambahkan penetapan peran.

  1. Di portal Azure, cari Azure OpenAI.

  2. Pilih Azure OpenAI, dan navigasikan ke sumber daya spesifik Anda.

    Catatan

    Anda juga dapat menyiapkan Azure RBAC untuk seluruh grup sumber daya, langganan, atau grup manajemen. Lakukan ini dengan memilih tingkat cakupan yang diinginkan, lalu lakukan navigasi ke item yang diinginkan. Misalnya, memilih Grup sumber daya lalu melakukan navigasi ke grup sumber daya tertentu.

  3. Pilih Kontrol akses (IAM) di panel navigasi kiri.

  4. Pilih Tambahkan, lalu pilih Tambahkan penetapan peran.

  5. Di tab Peran pada layar berikutnya, pilih peran yang ingin Anda tambahkan.

  6. Di tab Anggota, pilih pengguna, grup, perwakilan layanan, atau identitas terkelola.

  7. Di tab Tinjau + tetapkan, pilih Tinjau + tetapkan untuk menetapkan peran.

Dalam beberapa menit, target akan diberi peran yang dipilih pada lingkup yang dipilih. Untuk bantuan terkait langkah-langkah ini, lihat Menetapkan peran Azure menggunakan portal Microsoft Azure.

Peran Azure OpenAI

  • Pengguna Cognitive Services OpenAI
  • Kontributor Cognitive Services OpenAI
  • Kontributor Cognitive Services
  • Pembaca Penggunaan Cognitive Services

Catatan

Peran Pemilik dan Kontributor tingkat langganan diwariskan dan diprioritaskan atas peran Azure OpenAI kustom yang diterapkan di tingkat Grup Sumber Daya.

Bagian ini mencakup tugas umum yang dapat dilakukan akun dan kombinasi akun yang berbeda untuk sumber daya Azure OpenAI. Untuk melihat daftar lengkap Tindakan dan DataActions yang tersedia, peran individual diberikan dari sumber daya Azure OpenAI Anda, buka Kontrol akses (IAM)>Peran> di bawah kolom Detail untuk peran yang Anda minati, pilih Tampilkan. Secara default, tombol radial Tindakan dipilih. Anda perlu memeriksa Tindakan dan DataActions untuk memahami cakupan lengkap kemampuan yang ditetapkan ke peran.

Pengguna Cognitive Services OpenAI

Jika pengguna diberikan akses berbasis peran hanya ke peran ini untuk sumber daya Azure OpenAI, mereka akan dapat melakukan tugas umum berikut:

✅Menampilkan sumber daya di portal Azure
✅ Menampilkan titik akhir sumber daya di bawah Kunci dan Titik Akhir
✅ Kemampuan untuk melihat sumber daya dan penyebaran model terkait di Azure OpenAI Studio.
✅ Kemampuan untuk melihat model apa yang tersedia untuk penyebaran di Azure OpenAI Studio.
✅ Gunakan pengalaman playground Obrolan, Penyelesaian, dan DALL-E (pratinjau) untuk menghasilkan teks dan gambar dengan model apa pun yang telah disebarkan ke sumber daya Azure OpenAI ini.
✅ Lakukan panggilan API inferensi dengan ID Microsoft Entra.

Pengguna dengan hanya peran ini yang ditetapkan tidak akan dapat:

❌ Membuat sumber daya Azure OpenAI baru
❌ Lihat/Salin/Regenerasi kunci di bawah Kunci dan Titik Akhir
❌ Membuat penyebaran model baru atau mengedit penyebaran model yang sudah ada
❌ Membuat/menyebarkan model kustom yang disempurnakan
❌ Mengunggah himpunan data untuk penyempurnaan
❌ Kuota akses
❌ Membuat filter konten yang dikustomisasi
❌ Menambahkan sumber data untuk menggunakan fitur data Anda

Kontributor Cognitive Services OpenAI

Peran ini memiliki semua izin Pengguna OpenAI Cognitive Services dan juga dapat melakukan tugas tambahan seperti:

✅ Membuat model kustom yang disempurnakan
✅ Mengunggah himpunan data untuk penyempurnaan
✅ Membuat penyebaran model baru atau mengedit penyebaran model yang ada [Ditambahkan Musim Gugur 2023]

Pengguna dengan hanya peran ini yang ditetapkan tidak akan dapat:

❌ Membuat sumber daya Azure OpenAI baru
❌ Lihat/Salin/Regenerasi kunci di bawah Kunci dan Titik Akhir
❌ Kuota akses
❌ Membuat filter konten yang dikustomisasi
❌ Menambahkan sumber data untuk menggunakan fitur data Anda

Kontributor Cognitive Services

Peran ini biasanya diberikan akses di tingkat grup sumber daya untuk pengguna bersama dengan peran tambahan. Dengan sendirinya peran ini akan memungkinkan pengguna untuk melakukan tugas-tugas berikut.

✅ Buat sumber daya Azure OpenAI baru dalam grup sumber daya yang ditetapkan.
✅Lihat sumber daya dalam grup sumber daya yang ditetapkan di portal Azure.
✅ Menampilkan titik akhir sumber daya di bawah Kunci dan Titik Akhir
✅ Lihat/Salin/Regenerasi kunci di bawah Kunci dan Titik Akhir
✅ Kemampuan untuk melihat model apa yang tersedia untuk penyebaran di Azure OpenAI Studio
✅ Gunakan pengalaman playground Obrolan, Penyelesaian, dan DALL-E (pratinjau) untuk menghasilkan teks dan gambar dengan model apa pun yang telah disebarkan ke sumber daya Azure OpenAI ini
✅ Membuat filter konten yang dikustomisasi
✅ Menambahkan sumber data untuk menggunakan fitur data Anda
✅ Membuat penyebaran model baru atau mengedit penyebaran model yang ada (melalui API)
✅ Buat model kustom yang disempurnakan [Ditambahkan Musim Gugur 2023]
✅ Unggah himpunan data untuk penyempurnaan [Ditambahkan Musim Gugur 2023]
✅ Buat penyebaran model baru atau edit penyebaran model yang ada (melalui Azure OpenAI Studio) [Ditambahkan Fall 2023]

Pengguna dengan hanya peran ini yang ditetapkan tidak akan dapat:

❌ Kuota akses
❌ Lakukan panggilan API inferensi dengan ID Microsoft Entra.

Pembaca Penggunaan Cognitive Services

Melihat kuota memerlukan peran Pembaca Penggunaan Cognitive Services. Peran ini menyediakan akses minimal yang diperlukan untuk melihat penggunaan kuota di seluruh langganan Azure.

Peran ini dapat ditemukan di portal Azure di bawah Langganan *Kontrol akses (IAM)>Tambahkan pencarian penetapan> peran untuk Pembaca Penggunaan Cognitive Services.> Peran harus diterapkan di tingkat langganan, peran tersebut tidak ada di tingkat sumber daya.

Jika Anda tidak ingin menggunakan peran ini, peran Pembaca langganan menyediakan akses yang setara, tetapi juga memberikan akses baca di luar cakupan apa yang diperlukan untuk melihat kuota. Penyebaran model melalui Azure OpenAI Studio juga sebagian bergantung pada kehadiran peran ini.

Peran ini memberikan sedikit nilai dengan sendirinya dan biasanya ditetapkan dalam kombinasi dengan satu atau beberapa peran yang dijelaskan sebelumnya.

Pembaca Penggunaan Cognitive Services + Pengguna OpenAI Cognitive Services

Semua kemampuan Pengguna OpenAI Cognitive Services ditambah kemampuan untuk:

✅ Menampilkan alokasi kuota di Azure OpenAI Studio

Pembaca Penggunaan Cognitive Services + Kontributor OpenAI Cognitive Services

Semua kemampuan Kontributor OpenAI Cognitive Services ditambah kemampuan untuk:

✅ Menampilkan alokasi kuota di Azure OpenAI Studio

Pembaca Penggunaan Cognitive Services + Kontributor Cognitive Services

Semua kemampuan Kontributor Cognitive Services ditambah kemampuan untuk:

✅ Menampilkan & mengedit alokasi kuota di Azure OpenAI Studio
✅ Membuat penyebaran model baru atau mengedit penyebaran model yang ada (melalui Azure OpenAI Studio)

Ringkasan

Izin Pengguna Cognitive Services OpenAI Kontributor Cognitive Services OpenAI Kontributor Cognitive Services Pembaca Penggunaan Cognitive Services
Menampilkan sumber daya di Portal Microsoft Azure
Lihat titik akhir sumber daya di bagian "Kunci dan Titik Akhir"
Menampilkan penyebaran sumber daya dan model terkait di Azure OpenAI Studio
Lihat model apa yang tersedia untuk penyebaran di Azure OpenAI Studio
Gunakan pengalaman playground Obrolan, Penyelesaian, dan DALL-E (pratinjau) dengan model apa pun yang telah disebarkan ke sumber daya Azure OpenAI ini.
Membuat atau mengedit penyebaran model
Membuat atau menyebarkan model kustom yang disempurnakan
Mengunggah himpunan data untuk penyempurnaan
Membuat sumber daya Azure OpenAI baru
Lihat/Salin/Regenerasi kunci di bawah "Kunci dan Titik Akhir"
Membuat filter konten yang dikustomisasi
Menambahkan sumber data untuk fitur "pada data Anda"
Kuota akses
Melakukan panggilan API inferensi dengan ID Microsoft Entra

Masalah Umum

Tidak dapat melihat opsi Azure Cognitive Search di Azure OpenAI Studio

Masalah:

Saat memilih sumber daya Azure Cognitive Search yang ada, indeks pencarian tidak dimuat, dan roda pemuatan berputar terus menerus. Di Azure OpenAI Studio, buka Obrolan>Playground Tambahkan data Anda (pratinjau) di bawah Penyiapan Asisten. Memilih Tambahkan sumber data akan membuka modal yang memungkinkan Anda menambahkan sumber data melalui Azure Cognitive Search atau Blob Storage. Memilih opsi Azure Cognitive Search dan sumber daya Azure Cognitive Search yang ada harus memuat indeks Azure Cognitive Search yang tersedia untuk dipilih.

Akar masalah

Untuk melakukan panggilan API generik untuk mencantumkan Azure Cognitive layanan Pencarian s, panggilan berikut dilakukan:

https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Search/searchServices?api-version=2021-04-01-Preview

Ganti {subscriptionId} dengan ID langganan Anda yang sebenarnya.

Untuk panggilan API ini, Anda memerlukan peran cakupan tingkat langganan. Anda dapat menggunakan peran Pembaca untuk akses baca-saja atau peran Kontributor untuk akses baca-tulis. Jika Anda hanya memerlukan akses ke Azure Cognitive layanan Pencarian s, Anda dapat menggunakan peran Kontributor Azure Cognitive Search Service atau Pembaca Azure Cognitive Search Service.

Opsi solusi

  • Hubungi administrator atau pemilik langganan Anda: Hubungi orang yang mengelola langganan Azure Anda dan minta akses yang sesuai. Jelaskan kebutuhan Anda dan peran spesifik yang Anda butuhkan (misalnya, Pembaca, Kontributor, Kontributor Azure Cognitive Search Service, atau Pembaca Azure Cognitive Search Service).

  • Meminta akses tingkat langganan atau tingkat grup sumber daya: Jika Anda memerlukan akses ke sumber daya tertentu, minta pemilik langganan untuk memberi Anda akses di tingkat yang sesuai (langganan atau grup sumber daya). Ini memungkinkan Anda melakukan tugas yang diperlukan tanpa memiliki akses ke sumber daya yang tidak terkait.

  • Gunakan kunci API untuk Azure Cognitive Search: Jika Anda hanya perlu berinteraksi dengan Azure Cognitive layanan Pencarian, Anda dapat meminta kunci admin atau kunci kueri dari pemilik langganan. Kunci ini memungkinkan Anda melakukan panggilan API langsung ke layanan pencarian tanpa memerlukan peran Azure RBAC. Perlu diingat bahwa menggunakan kunci API akan melewati kontrol akses Azure RBAC, jadi gunakan dengan hati-hati dan ikuti praktik terbaik keamanan.

Tidak dapat mengunggah file di Azure OpenAI Studio untuk pada data Anda

Gejala: Tidak dapat mengakses penyimpanan untuk fitur data Anda menggunakan Azure OpenAI Studio.

Akar masalah:

Akses tingkat langganan yang tidak mencukupkan bagi pengguna yang mencoba mengakses penyimpanan blob di Azure OpenAI Studio. Pengguna mungkin tidak memiliki izin yang diperlukan untuk memanggil titik akhir API Azure Management: https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{accountName}/listAccountSas?api-version=2022-09-01

Akses publik ke penyimpanan blob dinonaktifkan oleh pemilik langganan Azure karena alasan keamanan.

Izin yang diperlukan untuk panggilan API: **Microsoft.Storage/storageAccounts/listAccountSas/action:** Izin ini memungkinkan pengguna untuk mencantumkan token Tanda Tangan Akses Bersama (SAS) untuk akun penyimpanan yang ditentukan.

Kemungkinan alasan mengapa pengguna mungkin tidak memiliki izin:

  • Pengguna diberi peran terbatas dalam langganan Azure, yang tidak menyertakan izin yang diperlukan untuk panggilan API.
  • Peran pengguna telah dibatasi oleh pemilik atau administrator langganan karena masalah keamanan atau kebijakan organisasi.
  • Peran pengguna baru-baru ini diubah, dan peran baru tidak memberikan izin yang diperlukan.

Opsi solusi

  • Memverifikasi dan memperbarui hak akses: Pastikan pengguna memiliki akses tingkat langganan yang sesuai, termasuk izin yang diperlukan untuk panggilan API (Microsoft.Storage/storageAccounts/listAccountSas/action). Jika diperlukan, minta pemilik atau administrator langganan untuk memberikan hak akses yang diperlukan.
  • Meminta bantuan dari pemilik atau admin: Jika solusi di atas tidak layak, pertimbangkan untuk meminta pemilik atau administrator langganan untuk mengunggah file data atas nama Anda. Pendekatan ini dapat membantu mengimpor data ke Azure OpenAI Studio tanpa pengguna yang memerlukan akses tingkat langganan atau akses publik ke penyimpanan blob.

Langkah berikutnya