Op rollen gebaseerd toegangsbeheer voor Azure OpenAI Service
Azure OpenAI Service ondersteunt op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC), een autorisatiesysteem voor het beheren van afzonderlijke toegang tot Azure-resources. Met Azure RBAC wijst u verschillende teamleden verschillende machtigingsniveaus toe op basis van hun behoeften voor een bepaald project. Zie de Documentatie voor Azure RBAC voor meer informatie.
Roltoewijzing toevoegen aan een Azure OpenAI-resource
Azure RBAC kan worden toegewezen aan een Azure OpenAI-resource. Als u toegang wilt verlenen tot een Azure-resource, voegt u een roltoewijzing toe.
Zoek in Azure Portal naar Azure OpenAI.
Selecteer Azure OpenAI en navigeer naar uw specifieke resource.
Notitie
U kunt Azure RBAC ook instellen voor hele resourcegroepen, abonnementen of beheergroepen. Doe dit door het gewenste bereikniveau te selecteren en vervolgens naar het gewenste item te navigeren. Selecteer bijvoorbeeld Resourcegroepen en navigeer naar een specifieke resourcegroep.
Selecteer Toegangsbeheer (IAM) in het linkernavigatiedeelvenster.
Selecteer Toevoegen en selecteer vervolgens Roltoewijzing toevoegen.
Selecteer op het tabblad Rol in het volgende scherm een rol die u wilt toevoegen.
Selecteer op het tabblad Leden een gebruiker, groep, service-principal of beheerde identiteit.
Selecteer op het tabblad Beoordelen en toewijzen de optie Beoordelen en toewijzen om de rol toe te wijzen.
Binnen een paar minuten wordt de geselecteerde rol toegewezen aan het geselecteerde bereik. Zie Azure-rollen toewijzen met behulp van Azure Portal voor hulp bij deze stappen.
Azure OpenAI-rollen
- Cognitive Services OpenAI-gebruiker
- Cognitive Services OpenAI-inzender
- Cognitive Services-inzender
- Lezer voor Cognitive Services-gebruik
Notitie
De rol Eigenaar en Inzender op abonnementsniveau worden overgenomen en hebben prioriteit boven de aangepaste Azure OpenAI-rollen die op resourcegroepniveau worden toegepast.
In deze sectie worden algemene taken behandeld die verschillende accounts en combinaties van accounts kunnen uitvoeren voor Azure OpenAI-resources. Als u de volledige lijst met beschikbare acties en DataActions wilt weergeven, wordt een afzonderlijke rol verleend vanuit uw Azure OpenAI-resource naar Toegangsbeheer (IAM)>-rollen> onder de kolom Details voor de rol die u wilt selecteren. Standaard is de radiale knop Acties geselecteerd. U moet zowel Acties als DataActions onderzoeken om inzicht te krijgen in het volledige bereik van de mogelijkheden die zijn toegewezen aan een rol.
Cognitive Services OpenAI-gebruiker
Als aan een gebruiker alleen op rollen gebaseerde toegang tot deze rol is verleend voor een Azure OpenAI-resource, kunnen ze de volgende algemene taken uitvoeren:
✅ De resource weergeven in Azure Portal
✅ Het resource-eindpunt weergeven onder Sleutels en Eindpunt
✅ Mogelijkheid om de resource en de bijbehorende modelimplementaties weer te geven in Azure OpenAI Studio.
✅ Mogelijkheid om te bekijken welke modellen beschikbaar zijn voor implementatie in Azure OpenAI Studio.
✅ Gebruik de functies Chat, Voltooiingen en DALL-E (preview) voor het genereren van tekst en afbeeldingen met alle modellen die al zijn geïmplementeerd in deze Azure OpenAI-resource.
✅ Deductie-API-aanroepen maken met Microsoft Entra-id.
Een gebruiker waaraan alleen deze rol is toegewezen, kan het volgende niet:
❌ Nieuwe Azure OpenAI-resources maken
❌ Sleutels onder Sleutels en eindpunt weergeven/kopiëren/opnieuw genereren
❌ Nieuwe modelimplementaties maken of bestaande modelimplementaties bewerken
❌ Aangepaste aangepaste modellen maken/implementeren
❌ Gegevenssets uploaden voor het afstemmen
❌ Toegangsquotum
❌ Aangepaste inhoudsfilters maken
❌ Een gegevensbron toevoegen voor het gebruik van uw gegevensfunctie
Cognitive Services OpenAI-inzender
Deze rol heeft alle machtigingen van Cognitive Services OpenAI-gebruiker en kan ook aanvullende taken uitvoeren, zoals:
✅ Aangepaste modellen maken
✅ Gegevenssets uploaden voor het afstemmen
✅ Nieuwe modelimplementaties maken of bestaande modelimplementaties bewerken [Herfst 2023 toegevoegd]
Een gebruiker waaraan alleen deze rol is toegewezen, kan het volgende niet:
❌ Nieuwe Azure OpenAI-resources maken
❌ Sleutels onder Sleutels en eindpunt weergeven/kopiëren/opnieuw genereren
❌ Toegangsquotum
❌ Aangepaste inhoudsfilters maken
❌ Een gegevensbron toevoegen voor het gebruik van uw gegevensfunctie
Cognitive Services-inzender
Deze rol krijgt doorgaans toegang op het niveau van de resourcegroep voor een gebruiker in combinatie met extra rollen. Met deze rol kan een gebruiker de volgende taken uitvoeren.
✅ Maak nieuwe Azure OpenAI-resources binnen de toegewezen resourcegroep.
✅ Bekijk resources in de toegewezen resourcegroep in Azure Portal.
✅ Het resource-eindpunt weergeven onder Sleutels en Eindpunt
✅ Sleutels onder Sleutels en eindpunt weergeven/kopiëren/opnieuw genereren
✅ Mogelijkheid om te bekijken welke modellen beschikbaar zijn voor implementatie in Azure OpenAI Studio
✅ De functies Chat, Voltooiingen en DALL-E (preview) gebruiken om tekst en afbeeldingen te genereren met alle modellen die al zijn geïmplementeerd in deze Azure OpenAI-resource
✅ Aangepaste inhoudsfilters maken
✅ Een gegevensbron toevoegen voor het gebruik van uw gegevensfunctie
✅ Nieuwe modelimplementaties maken of bestaande modelimplementaties bewerken (via API)
✅ Aangepaste aangepaste modellen maken [Herfst 2023 toegevoegd]
✅ Gegevenssets uploaden voor afstemming [Herfst 2023 toegevoegd]
✅ Nieuwe modelimplementaties maken of bestaande modelimplementaties bewerken (via Azure OpenAI Studio) [Najaar 2023 toegevoegd]
Een gebruiker waaraan alleen deze rol is toegewezen, kan het volgende niet:
❌ Toegangsquotum
❌ Deductie-API-aanroepen maken met Microsoft Entra-id.
Lezer voor Cognitive Services-gebruik
Voor het weergeven van het quotum is de rol Lezer voor Cognitive Services-gebruik vereist. Deze rol biedt de minimale toegang die nodig is om het quotumgebruik voor een Azure-abonnement weer te geven.
Deze rol vindt u in De Azure-portal onder Abonnementen *Toegangsbeheer (IAM)>Voeg zoekfunctie voor roltoewijzingen> toe voor Cognitive Services Usages Reader.> De rol moet worden toegepast op abonnementsniveau, deze bestaat niet op resourceniveau.
Als u deze rol niet wilt gebruiken, biedt de rol Lezer van het abonnement gelijkwaardige toegang, maar verleent deze ook leestoegang buiten het bereik van wat nodig is voor het weergeven van quota. Modelimplementatie via Azure OpenAI Studio is ook gedeeltelijk afhankelijk van de aanwezigheid van deze rol.
Deze rol biedt weinig waarde op zichzelf en wordt meestal toegewezen in combinatie met een of meer van de eerder beschreven rollen.
Cognitive Services Usages Reader + Cognitive Services OpenAI User
Alle mogelijkheden van Cognitive Services OpenAI-gebruiker plus de mogelijkheid om:
✅ Quotumtoewijzingen weergeven in Azure OpenAI Studio
Cognitive Services Usages Reader + Cognitive Services OpenAI Contributor
Alle mogelijkheden van Cognitive Services OpenAI-inzender plus de mogelijkheid om:
✅ Quotumtoewijzingen weergeven in Azure OpenAI Studio
Cognitive Services Usages Reader + Cognitive Services Contributor
Alle mogelijkheden van Cognitive Services-inzender plus de mogelijkheid om:
✅ Quotumtoewijzingen weergeven en bewerken in Azure OpenAI Studio
✅ Nieuwe modelimplementaties maken of bestaande modelimplementaties bewerken (via Azure OpenAI Studio)
Samenvatting
| Machtigingen | Cognitive Services OpenAI-gebruiker | Cognitive Services OpenAI-inzender | Cognitive Services-inzender | Lezer voor Cognitive Services-gebruik |
|---|---|---|---|---|
| De resource weergeven in Azure Portal | ✅ | ✅ | ✅ | ➖ |
| Het resource-eindpunt weergeven onder Sleutels en eindpunt | ✅ | ✅ | ✅ | ➖ |
| De resource- en bijbehorende modelimplementaties weergeven in Azure OpenAI Studio | ✅ | ✅ | ✅ | ➖ |
| Bekijken welke modellen beschikbaar zijn voor implementatie in Azure OpenAI Studio | ✅ | ✅ | ✅ | ➖ |
| Gebruik de speelervaringen Chat, Voltooiingen en DALL-E (preview) met alle modellen die al zijn geïmplementeerd in deze Azure OpenAI-resource. | ✅ | ✅ | ✅ | ➖ |
| Modelimplementaties maken of bewerken | ❌ | ✅ | ✅ | ➖ |
| Aangepaste aangepaste modellen maken of implementeren | ❌ | ✅ | ✅ | ➖ |
| Gegevenssets uploaden voor het afstemmen | ❌ | ✅ | ✅ | ➖ |
| Nieuwe Azure OpenAI-resources maken | ❌ | ❌ | ✅ | ➖ |
| Sleutels weergeven/kopiëren/opnieuw genereren onder Sleutels en eindpunt | ❌ | ❌ | ✅ | ➖ |
| Aangepaste inhoudsfilters maken | ❌ | ❌ | ✅ | ➖ |
| Een gegevensbron toevoegen voor de functie 'op uw gegevens' | ❌ | ❌ | ✅ | ➖ |
| Toegangsquotum | ❌ | ❌ | ❌ | ✅ |
| Deductie-API-aanroepen maken met Microsoft Entra-id | ✅ | ✅ | ❌ | ➖ |
Algemene problemen
Kan de optie Azure Cognitive Search niet weergeven in Azure OpenAI Studio
Probleem:
Wanneer u een bestaande Azure Cognitive Search-resource selecteert, worden de zoekindexen niet geladen en draait het laadwiel continu. Ga in Azure OpenAI Studio naar Playground Chat>Add your data (preview) under Assistant setup. Als u Een gegevensbron toevoegen selecteert, wordt een modale gegevensbron geopend waarmee u een gegevensbron kunt toevoegen via Azure Cognitive Search of Blob Storage. Als u de optie Azure Cognitive Search selecteert en een bestaande Azure Cognitive Search-resource, moet u de beschikbare Indexen van Azure Cognitive Search laden waaruit u kunt kiezen.
Hoofdoorzaak
Als u een algemene API-aanroep wilt maken om Azure Cognitive Search-service s weer te geven, wordt de volgende aanroep uitgevoerd:
https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Search/searchServices?api-version=2021-04-01-Preview
Vervang {subscriptionId} door uw werkelijke abonnements-id.
Voor deze API-aanroep hebt u een bereikrol op abonnementsniveau nodig. U kunt de rol Lezer gebruiken voor alleen-lezentoegang of de rol Inzender voor lees-/schrijftoegang. Als u alleen toegang nodig hebt tot Azure Cognitive Search-service s, kunt u de rollen Azure Cognitive Search Service-inzender of Azure Cognitive Search Service Reader gebruiken.
Mogelijke oplossingen
Neem contact op met uw abonnementsbeheerder of eigenaar: neem contact op met de persoon die uw Azure-abonnement beheert en vraag de juiste toegang aan. Leg uw vereisten en de specifieke rol uit die u nodig hebt (bijvoorbeeld Lezer, Inzender, Azure Cognitive Search Service-inzender of Azure Cognitive Search Service Reader).
Toegang op abonnementsniveau of resourcegroepniveau aanvragen: als u toegang nodig hebt tot specifieke resources, vraagt u de eigenaar van het abonnement om u toegang te verlenen op het juiste niveau (abonnement of resourcegroep). Hiermee kunt u de vereiste taken uitvoeren zonder toegang te hebben tot niet-gerelateerde resources.
API-sleutels gebruiken voor Azure Cognitive Search: als u alleen hoeft te communiceren met de Azure Cognitive Search-service, kunt u de beheerderssleutels of querysleutels aanvragen bij de eigenaar van het abonnement. Met deze sleutels kunt u API-aanroepen rechtstreeks naar de zoekservice uitvoeren zonder dat u een Azure RBAC-rol nodig hebt. Houd er rekening mee dat het gebruik van API-sleutels het toegangsbeheer van Azure RBAC omzeilt , dus gebruik ze voorzichtig en volg de aanbevolen beveiligingsprocedures.
Kan geen bestanden uploaden in Azure OpenAI Studio voor uw gegevens
Symptoom: Kan geen toegang krijgen tot opslag voor de functie voor uw gegevens met behulp van Azure OpenAI Studio.
Hoofdoorzaak:
Onvoldoende toegang op abonnementsniveau voor de gebruiker die toegang probeert te krijgen tot de blobopslag in Azure OpenAI Studio. De gebruiker heeft mogelijk niet de benodigde machtigingen om het Azure Management API-eindpunt aan te roepen: https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{accountName}/listAccountSas?api-version=2022-09-01
Openbare toegang tot de blobopslag wordt uitgeschakeld door de eigenaar van het Azure-abonnement om veiligheidsredenen.
Machtigingen die nodig zijn voor de API-aanroep: **Microsoft.Storage/storageAccounts/listAccountSas/action:** met deze machtiging kan de gebruiker de SAS-tokens (Shared Access Signature) voor het opgegeven opslagaccount weergeven.
Mogelijke redenen waarom de gebruiker mogelijk geen machtigingen heeft:
- De gebruiker krijgt een beperkte rol toegewezen in het Azure-abonnement. Deze bevat niet de benodigde machtigingen voor de API-aanroep.
- De rol van de gebruiker is beperkt door de eigenaar of beheerder van het abonnement vanwege beveiligingsproblemen of organisatiebeleid.
- De rol van de gebruiker is onlangs gewijzigd en de nieuwe rol verleent de vereiste machtigingen niet.
Mogelijke oplossingen
- Toegangsrechten verifiëren en bijwerken: zorg ervoor dat de gebruiker de juiste toegang op abonnementsniveau heeft, inclusief de benodigde machtigingen voor de API-aanroep (Microsoft.Storage/storageAccounts/listAccountSas/action). Indien nodig vraagt u de eigenaar van het abonnement of de beheerder om de benodigde toegangsrechten te verlenen.
- Vraag om hulp van de eigenaar of beheerder: als de bovenstaande oplossing niet haalbaar is, kunt u de eigenaar of beheerder van het abonnement vragen om de gegevensbestanden namens u te uploaden. Deze aanpak kan helpen bij het importeren van de gegevens in Azure OpenAI Studio zonder dat gebruikers toegang op abonnementsniveau of openbare toegang tot de blobopslag nodig hebben.
Volgende stappen
- Meer informatie over op Rollen gebaseerd toegangsbeheer van Azure (Azure RBAC).
- Bekijk ook hoe uAzure-rollen toewijst met behulp van Azure Portal.