Controle de acesso baseado em função para o Serviço OpenAI do Azure
O Serviço OpenAI do Azure dá suporte ao controle de acesso baseado em função do Azure (RBAC do Azure), um sistema de autorização para gerenciar o acesso individual aos recursos do Azure. Usando o RBAC do Azure, você atribui diferentes níveis de permissões a diferentes membros da equipe com base em suas necessidades para um determinado projeto. Para obter mais informações, confira a documentação do RBAC do Azure.
Adicionar atribuição de função a um recurso do OpenAI do Azure
O RBAC do Azure pode ser atribuído a um recurso do OpenAI do Azure. Para permitir acesso a um recurso do Azure, você adiciona uma atribuição de função.
No portal do Azure, pesquise OpenAI do Azure.
Selecione OpenAI do Azure e navegue até seu recurso específico.
Observação
Você também pode configurar o RBAC do Azure para grupos de recursos, assinaturas ou grupos de gerenciamento inteiros. Faça isso por meio da seleção do nível de escopo desejado e, em seguida, navegue até o item desejado. Por exemplo, selecione Grupos de recursos e, em seguida, navegue até um grupo de recursos específico.
Selecione Controle de acesso (IAM) no painel de navegação à esquerda.
Selecione Adicionar e Adicionar atribuição de função.
Na guia Função na próxima tela, selecione uma função que deseja adicionar.
Na guia Membros, selecione um usuário, um grupo, uma entidade de serviço ou uma identidade gerenciada.
Na guia Examinar + atribuir, selecione Examinar + atribuir para atribuir a função.
Em alguns minutos, o destino será atribuído à função selecionada no escopo selecionado. Para obter ajuda com essas etapas, confira Atribuir funções do Azure usando o portal do Azure.
Funções OpenAI do Azure
- Usuário do OpenAI de Serviços Cognitivos
- Colaborador de OpenAI dos Serviços Cognitivos
- Colaborador dos Serviços Cognitivos
- Leitor de Usos dos Serviços Cognitivos
Observação
As funções Proprietário e Colaborador no nível da assinatura são herdadas e têm prioridade sobre as funções personalizadas do OpenAI do Azure aplicada no nível do Grupo de Recursos.
Esta seção aborda tarefas comuns que diferentes contas e combinações de contas podem executar para recursos do OpenAI do Azure. Para exibir a lista completa de Ações e DataActions, uma função individual é concedida a partir do recurso do OpenAI do Azure; acesse Controle de acesso (IAM)>Funções> na coluna Detalhes da função que você está interessado; selecione Exibir. Por padrão, o botão de opções Ações é selecionado. Você precisa examinar Ações e DataActions para entender o escopo completo dos recursos atribuídos a uma função.
Usuário do OpenAI de Serviços Cognitivos
Se um usuário recebesse acesso baseado em função apenas a essa função para um recurso do OpenAI do Azure, ele seria capaz de executar as seguintes tarefas comuns:
✅ Exibir o recurso no portal do Azure
✅ Exibir o ponto de extremidade do recurso em Chaves e Ponto de Extremidade
✅ Capacidade para exibir o recurso e as implantações de modelo associadas no Estúdio OpenAI do Azure.
✅ Capacidade de exibir quais modelos estão disponíveis para implantação no Estúdio OpenAI do Azure.
✅ Use as experiências de playground Chat, Preenchimentos e DALL-E (versão prévia) para gerar texto e imagens com todos os modelos que já foram implantados neste recurso do OpenAI do Azure.
✅ Faça chamadas à API de inferência com o Microsoft Entra ID.
Um usuário com apenas essa função atribuída não seria capaz de:
❌ Criar novos recursos do OpenAI do Azure
❌ Exibir/Copiar/Regenerar chaves em Chaves e Ponto de Extremidade
❌ Criar novas implantações de modelo ou editar implantações de modelo existentes
❌ Criar/implantar modelos personalizados ajustados
❌ Carregar conjuntos de dados para ajuste fino
❌ Acessar cota
❌ Criar filtros de conteúdo personalizados
❌ Adicionar uma fonte de dados para usar o recurso de dados
Colaborador de OpenAI dos Serviços Cognitivos
Essa função tem todas as permissões do Usuário do OpenAI dos Serviços Cognitivos e também é capaz de executar tarefas adicionais como:
✅ Criar modelos personalizados ajustados
✅ Carregar conjuntos de dados para ajuste fino
✅ Criar novas implantações de modelo ou editar implantações de modelo existentes [Adicionado na primavera de 2023]
Um usuário com apenas essa função atribuída não seria capaz de:
❌ Criar novos recursos do OpenAI do Azure
❌ Exibir/Copiar/Regenerar chaves em Chaves e Ponto de Extremidade
❌ Acessar cota
❌ Criar filtros de conteúdo personalizados
❌ Adicionar uma fonte de dados para usar o recurso de dados
Colaborador dos Serviços Cognitivos
Normalmente, essa função recebe acesso no nível do grupo de recursos para um usuário em conjunto com funções adicionais. Por si só, essa função permitiria que um usuário executasse as tarefas a seguir.
✅ Criar novos recursos do OpenAI do Azure no grupo de recursos atribuído.
✅ Exibir recursos no grupo de recursos atribuído no portal do Azure.
✅ Exibir o ponto de extremidade do recurso em Chaves e Ponto de Extremidade
✅ Exibir/Copiar/Regenerar chaves em Chaves e Ponto de Extremidade
✅ Capacidade para exibir quais modelos estão disponíveis para implantação no Estúdio OpenAI do Azure
✅ Usar as experiências de playground Chat, Preenchimentos e DALL-E (versão prévia) para gerar texto e imagens com todos os modelos que já foram implantados neste recurso do OpenAI do Azure
✅ Criar filtros de conteúdo personalizados
✅ Adicionar uma fonte de dados para usar o recurso de dados
✅ Criar novas implantações de modelo ou editar implantações de modelo existentes (por meio da API)
✅ Criar modelos personalizados ajustados [Adicionado na primavera de 2023]
✅ Carregar conjuntos de dados para ajuste fino [Adicionado na primavera de 2023]
✅ Criar novas implantações de modelo ou editar implantações de modelo existentes (por meio do Azure OpenAI Studio) [Adicionado na primavera de 2023]
Um usuário com apenas essa função atribuída não seria capaz de:
❌ Acessar cota
❌ Faça chamadas à API de inferência com o Microsoft Entra ID.
Leitor de Usos dos Serviços Cognitivos
Exibir cotas requer a função Leitor de Usos dos Serviços Cognitivos. Essa função fornece o acesso mínimo necessário para exibir o uso da cota em uma assinatura do Azure.
Essa função pode ser encontrada no portal do Azure em Assinaturas> *Controle de acesso (IAM)>Adicionar atribuição de função> pesquise Leitor de Usos dos Serviços Cognitivos. A função deve ser aplicada no nível da assinatura, ela não existe no nível do recurso.
Se você não quiser usar essa função, a função Leitor da assinatura fornecerá acesso equivalente, mas também concederá acesso de leitura além do escopo do que é necessário para exibir a cota. A implantação de modelo por meio do Estúdio OpenAI do Azure também depende parcialmente da presença dessa função.
Essa função fornece pouco valor por si só e normalmente é atribuída em combinação com uma ou mais das funções descritas.
Leitor de Usos dos Serviços Cognitivos + Usuário do OpenAI dos Serviços Cognitivos
Todos os recursos do usuário OpenAI de Serviços Cognitivos, além da capacidade de:
✅ Exibir alocações de cota no Estúdio OpenAI do Azure
Leitor de Usos dos Serviços Cognitivos + Colaborador do OpenAI dos Serviços Cognitivos
Todos os recursos do Colaborador do OpenAI dos Serviços Cognitivos mais a capacidade de:
✅ Exibir alocações de cota no Estúdio OpenAI do Azure
Leitor de Usos dos Serviços Cognitivos + Colaborador dos Serviços Cognitivos
Todos os recursos do Colaborador dos Serviços Cognitivos mais a capacidade de:
✅ Exibir e editar alocações de cota no Estúdio OpenAI do Azure
✅ Criar novas implantações de modelo ou editar implantações de modelo existentes (por meio do Azure OpenAI Studio)
Resumo
| Permissões | Usuário do OpenAI de Serviços Cognitivos | Colaborador de OpenAI dos Serviços Cognitivos | Colaborador dos Serviços Cognitivos | Leitor de Usos dos Serviços Cognitivos |
|---|---|---|---|---|
| Exibir o recurso no Portal do Azure | ✅ | ✅ | ✅ | ➖ |
| Exibir o ponto de extremidade do recurso em “Chaves e Ponto de Extremidade” | ✅ | ✅ | ✅ | ➖ |
| Exibir o recurso e as implantações de modelo associadas no Estúdio OpenAI do Azure | ✅ | ✅ | ✅ | ➖ |
| Exibir quais modelos estão disponíveis para implantação no Estúdio OpenAI do Azure | ✅ | ✅ | ✅ | ➖ |
| Usar as experiências de playground Chat, Preenchimentos e DALL-E (versão prévia) com todos os modelos que já foram implantados neste recurso do OpenAI do Azure. | ✅ | ✅ | ✅ | ➖ |
| Criar ou editar implantações de modelo | ❌ | ✅ | ✅ | ➖ |
| Criar ou implantar modelos personalizados ajustados | ❌ | ✅ | ✅ | ➖ |
| Carregar conjuntos de dados para ajuste fino | ❌ | ✅ | ✅ | ➖ |
| Criar novos recursos do OpenAI do Azure | ❌ | ❌ | ✅ | ➖ |
| Exibir/Copiar/Regenerar chaves em “Chaves e Ponto de Extremidade” | ❌ | ❌ | ✅ | ➖ |
| Criar filtros de conteúdo personalizados | ❌ | ❌ | ✅ | ➖ |
| Adicionar uma fonte de dados para o recurso “nos seus dados” | ❌ | ❌ | ✅ | ➖ |
| Acessar cota | ❌ | ❌ | ❌ | ✅ |
| Fazer chamadas à API de inferência com o Microsoft Entra ID | ✅ | ✅ | ❌ | ➖ |
Problemas comuns
Não é possível exibir a opção Azure Cognitive Search no Estúdio OpenAI do Azure
Problema:
Ao selecionar um recurso do Azure Cognitive Search existente, os índices de pesquisa não serão carregados e pacote wheel de carregamento girará continuamente. No Estúdio OpenAI do Azure, acesse Chat do Playground>Adicionar seus dados (versão prévia) em Configuração do assistente. Selecionar Adicionar uma fonte de dados abre um modal que permite adicionar uma fonte de dados por meio do Azure Cognitive Search ou Armazenamento de Blobs. Selecionar a opção Azure Cognitive Search e um recurso do Azure Cognitive Search existente deve carregar os índices do Azure Cognitive Search disponíveis para seleção.
Causa raiz
Para fazer uma chamada à API genérica para listar serviços do Azure Cognitive Search, a seguinte chamada é feita:
https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Search/searchServices?api-version=2021-04-01-Preview
Substitua {subscriptionId} pela sua ID da assinatura real.
Para essa chamada à API, você precisa de uma função de escopo no nível da assinatura. Você pode usar a função Leitor para acesso somente leitura ou a função Colaborador para acesso de leitura/gravação. Se você precisar apenas de acesso a serviços do Azure Cognitive Search, poderá usar as funções Colaborador do Serviço Azure Cognitive Search ou Leitor de Serviço Azure Cognitive Search.
Opções de solução
Entre em contato com o administrador ou proprietário da assinatura: entre em contato com a pessoa que gerencia sua assinatura do Azure e solicite o acesso apropriado. Explique seus requisitos a função específica necessária (por exemplo, Leitor, Colaborador, Colaborador do Serviço Azure Cognitive Search ou Leitor de Serviço Azure Cognitive Search).
Solicitar acesso no nível da assinatura ou ao grupo de recursos: se você precisar de acesso a recursos específicos, peça ao proprietário da assinatura para conceder acesso no nível apropriado (assinatura ou grupo de recursos). Isso permite que você execute as tarefas necessárias sem ter acesso a recursos não relacionados.
Usar chaves de API para Azure Cognitive Search: se você só precisar interagir com o serviço Azure Cognitive Search, poderá solicitar as chaves de administração ou chaves de consulta do proprietário da assinatura. Essas chaves permitem que você faça chamadas à API diretamente para o serviço de pesquisa sem precisar de uma função RBAC do Azure. Tenha em mente que o uso de chaves de API irá ignorar o controle de acesso RBAC do Azure, portanto, use-as com cautela e siga as melhores práticas de segurança.
Não é possível carregar arquivos no Estúdio OpenAI do Azure para On your data
Sintoma: não é possível acessar o armazenamento do recurso On your data usando o Estúdio OpenAI do Azure.
Causa raiz:
Acesso em nível de assinatura insuficiente para usuário que tenta acessar o armazenamento de blobs no Estúdio OpenAI do Azure. O usuário pode não ter as permissões necessárias para chamar o ponto de extremidade da API de Gerenciamento do Azure: https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{accountName}/listAccountSas?api-version=2022-09-01
O acesso público ao armazenamento de blobs é desabilitado pelo proprietário da assinatura do Azure por motivos de segurança.
Permissões necessárias para a chamada à API: **Microsoft.Storage/storageAccounts/listAccountSas/action:** essa permissão permite que o usuário liste os tokens SAS (Assinatura de Acesso Compartilhado) para a conta de armazenamento especificada.
Possíveis motivos pelos quais o usuário pode não ter permissões:
- O usuário recebe uma função limitada na assinatura do Azure, que não inclui as permissões necessárias para a chamada à API.
- A função do usuário foi restrita pelo proprietário ou administrador da assinatura devido a questões de segurança ou políticas organizacionais.
- A função do usuário foi alterada recentemente e a nova função não concede as permissões necessárias.
Opções de solução
- Verificar e atualizar os direitos de acesso: certifique-se de que o usuário tem o acesso apropriado no nível da assinatura, incluindo as permissões necessárias para a chamada à API (Microsoft.Storage/storageAccounts/listAccountSas/action). Se necessário, solicite ao proprietário ou administrador da assinatura que conceda os direitos de acesso necessários.
- Solicitar assistência do proprietário ou administrador: se a solução acima não for viável, considere pedir ao proprietário ou administrador da assinatura para carregar os arquivos de dados em seu nome. Essa abordagem pode ajudar a importar os dados para o Estúdio OpenAI do Azure sem que o usuário exija acesso em nível de assinatura ou acesso público ao armazenamento de blobs.
Próximas etapas
- Saiba mais sobre o RBAC do Azure (controle de acesso baseado em função do Azure).
- Confira também Atribuir funções do Azure usando o portal do Azure.