Контроль доступа на основе ролей для службы Azure OpenAI
Служба Azure OpenAI поддерживает управление доступом на основе ролей Azure (Azure RBAC), систему авторизации для управления отдельным доступом к ресурсам Azure. Используя Azure RBAC, вы назначаете разным участникам группы разные уровни разрешений в зависимости от их потребностей в данном проекте. Дополнительные сведения см. в документации по Azure RBAC.
Добавление назначения ролей в ресурс Azure OpenAI
Azure RBAC можно назначить ресурсу Azure OpenAI. Чтобы предоставить доступ к ресурсу Azure, необходимо добавить назначение роли.
В портал Azure найдите Azure OpenAI.
Выберите Azure OpenAI и перейдите к конкретному ресурсу.
Примечание.
Можно также настроить Azure RBAC для всей группы ресурсов, подписок или групп управления. Для этого выберите нужный уровень области и перейдите к требуемому элементу. Например, выберите группы ресурсов и перейдите к определенной группе ресурсов.
На левой панели навигации выберите Управление доступом (IAM).
Нажмите + Добавить и выберите Добавить назначение ролей.
На вкладке Роль на следующем экране выберите роль, которую вы хотите добавить.
На вкладке Элементы выберите пользователя, группу, субъект-службу или управляемое удостоверение.
Чтобы назначить роль, на вкладке Проверка и назначение выберите Проверка и назначение.
Целевой объект будет назначен выбранной роли в выбранной области в течение нескольких минут. Подробные инструкции см. в статье Назначение ролей Azure с помощью портала Azure.
Роли Azure OpenAI
- Пользователь службы OpenAI в Cognitive Services
- Участник службы OpenAI в Cognitive Services
- Участник служб Cognitive Services
- Читатель использования Cognitive Services
Примечание.
Роли владельца и участника уровня подписки наследуются и имеют приоритет над настраиваемыми ролями Azure OpenAI, применяемыми на уровне группы ресурсов.
В этом разделе рассматриваются распространенные задачи, которые могут выполнять различные учетные записи и сочетания учетных записей для ресурсов Azure OpenAI. Чтобы просмотреть полный список доступных действий и dataActions, отдельная роль предоставляется из ресурса Azure OpenAI go Access control (IAM)>Role> In the Details column for the role you you to view. По умолчанию выбрана радиальная кнопка "Действия ". Необходимо изучить действия и DataActions, чтобы понять полную область возможностей, назначенных роли.
Пользователь службы OpenAI в Cognitive Services
Если пользователю предоставлен доступ на основе ролей только к этой роли для ресурса Azure OpenAI, они смогут выполнять следующие распространенные задачи:
✅Просмотр ресурса в портал Azure
✅ Просмотр конечной точки ресурса в разделе "Ключи и конечная точка"
✅ Возможность просматривать развертывания ресурсов и связанных моделей в Azure AI Studio.
✅ Возможность просматривать модели, доступные для развертывания в Azure AI Studio.
✅ Используйте интерфейсы площадки чата, завершения и DALL-E (предварительная версия) для создания текста и изображений с любыми моделями, которые уже развернуты в этом ресурсе Azure OpenAI.
✅ Вызовы API вывода с помощью идентификатора Microsoft Entra.
Пользователю, которому назначена только эта роль, не удается:
❌ Создание новых ресурсов Azure OpenAI
❌ Просмотр и копирование и повторное создание ключей в разделе "Ключи" и " Конечная точка"
❌ Создание развертываний моделей или изменение существующих развертываний моделей
❌ Создание и развертывание пользовательских точно настроенных моделей
❌ Отправка наборов данных для точной настройки
❌ Квота доступа
❌ Создание настраиваемых фильтров содержимого
❌ Добавление источника данных для использования функции данных
Участник службы OpenAI в Cognitive Services
Эта роль имеет все разрешения пользователя OpenAI Cognitive Services и также может выполнять дополнительные задачи, такие как:
✅ Создание пользовательских точно настроенных моделей
✅ Отправка наборов данных для точной настройки
✅ Создание развертываний моделей или изменение существующих развертываний моделей [Добавлено осень 2023]
Пользователю, которому назначена только эта роль, не удается:
❌ Создание новых ресурсов Azure OpenAI
❌ Просмотр и копирование и повторное создание ключей в разделе "Ключи" и " Конечная точка"
❌ Квота доступа
❌ Создание настраиваемых фильтров содержимого
❌ Добавление источника данных для использования функции данных
Участник служб Cognitive Services
Эта роль обычно предоставляется на уровне группы ресурсов для пользователя в сочетании с дополнительными ролями. Сама по себе эта роль позволит пользователю выполнять следующие задачи.
✅ Создайте новые ресурсы Azure OpenAI в назначенной группе ресурсов.
✅Просмотрите ресурсы в назначенной группе ресурсов в портал Azure.
✅ Просмотр конечной точки ресурса в разделе "Ключи и конечная точка"
✅ Просмотр и копирование и повторное создание ключей в разделе "Ключи" и " Конечная точка"
✅ Возможность просмотра доступных моделей для развертывания в Azure AI Studio
✅ Используйте интерфейсы площадки чата, завершения и DALL-E (предварительная версия) для создания текста и изображений с любыми моделями, которые уже развернуты в этом ресурсе Azure OpenAI
✅ Создание настраиваемых фильтров содержимого
✅ Добавление источника данных для использования функции данных
✅ Создание развертываний моделей или изменение существующих развертываний модели (с помощью API)
✅ Создание пользовательских точно настроенных моделей [Добавлено осень 2023]
✅ Отправка наборов данных для точной настройки [добавлено осень 2023]
✅ Создание развертываний моделей или изменение существующих развертываний моделей (с помощью Azure AI Studio) [добавлено осенью 2023 г.]
Пользователю, которому назначена только эта роль, не удается:
❌ Квота доступа
❌ Вызовы API вывода с помощью идентификатора Microsoft Entra.
Читатель использования Cognitive Services
Для просмотра квоты требуется роль читателя служб Cognitive Services Usages. Эта роль обеспечивает минимальный доступ, необходимый для просмотра использования квот в подписке Azure.
Эту роль можно найти в портал Azure в разделе "Подписки> * Управление доступом (IAM)>Добавление поиска назначения> ролей для средства чтения с использованием Cognitive Services. Роль должна применяться на уровне подписки, она не существует на уровне ресурса.
Если вы не хотите использовать эту роль, роль читателя подписки предоставляет эквивалентный доступ, но также предоставляет доступ для чтения за пределы области, необходимой для просмотра квоты. Развертывание модели с помощью Azure AI Studio также частично зависит от присутствия этой роли.
Эта роль обеспечивает небольшое значение сама по себе и обычно назначается в сочетании с одной или несколькими ранее описанными ролями.
Читатель использования Cognitive Services + Пользователь OpenAI в Cognitive Services
Все возможности OpenAI User Cognitive Services и возможность:
✅ Просмотр выделения квот в Azure AI Studio
Читатель использования Cognitive Services + Участник OpenAI в Cognitive Services
Все возможности участника OpenAI в Cognitive Services и возможность:
✅ Просмотр выделения квот в Azure AI Studio
Читатель использования Cognitive Services + Участник Cognitive Services
Все возможности участника Cognitive Services и возможность:
✅ Просмотр и изменение выделения квот в Azure AI Studio
✅ Создание развертываний моделей или изменение существующих развертываний моделей (с помощью Azure AI Studio)
Итоги
Разрешения | Пользователь службы OpenAI в Cognitive Services | Участник службы OpenAI в Cognitive Services | Участник служб Cognitive Services | Читатель использования Cognitive Services |
---|---|---|---|---|
Просмотр ресурса в портал Azure | ✅ | ✅ | ✅ | ➖ |
Просмотр конечной точки ресурса в разделе "Ключи и конечная точка" | ✅ | ✅ | ✅ | ➖ |
Просмотр развертываний ресурсов и связанных моделей в Azure AI Studio | ✅ | ✅ | ✅ | ➖ |
Просмотр моделей, доступных для развертывания в Azure AI Studio | ✅ | ✅ | ✅ | ➖ |
Используйте интерфейсы площадки чата, завершения и DALL-E (предварительная версия) с любыми моделями, которые уже развернуты в этом ресурсе Azure OpenAI. | ✅ | ✅ | ✅ | ➖ |
Создание или изменение развертываний моделей | ❌ | ✅ | ✅ | ➖ |
Создание или развертывание пользовательских точно настроенных моделей | ❌ | ✅ | ✅ | ➖ |
Отправка наборов данных для точной настройки | ❌ | ✅ | ✅ | ➖ |
Создание новых ресурсов Azure OpenAI | ❌ | ❌ | ✅ | ➖ |
Просмотр и копирование и повторное создание ключей в разделе "Ключи и конечная точка" | ❌ | ❌ | ✅ | ➖ |
Создание настраиваемых фильтров содержимого | ❌ | ❌ | ✅ | ➖ |
Добавление источника данных для функции "в данных" | ❌ | ❌ | ✅ | ➖ |
Квота доступа | ❌ | ❌ | ❌ | ✅ |
Создание вызовов API вывода с помощью идентификатора Microsoft Entra | ✅ | ✅ | ❌ | ➖ |
Распространенные проблемы
Не удается просмотреть параметр Когнитивный поиск Azure в Azure AI Studio
Проблема.
При выборе существующего Когнитивный поиск Azure ресурса индексы поиска не загружаются, а колесо загрузки выполняется непрерывно. В Azure AI Studio перейдите в чат>игровой площадки, чтобы добавить данные (предварительная версия) в разделе "Помощник по настройке". При выборе "Добавить источник данных" открывается модальный режим, позволяющий добавлять источник данных через Когнитивный поиск Azure или хранилище BLOB-объектов. Выбор параметра Когнитивный поиск Azure и существующего ресурса Когнитивный поиск Azure должен загружать доступные индексы Когнитивный поиск Azure, чтобы выбрать из нее.
Первопричина
Чтобы сделать универсальный вызов API для перечисления служб Когнитивный поиск Azure, выполняется следующий вызов:
https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Search/searchServices?api-version=2021-04-01-Preview
Замените {subscriptionId} фактическим идентификатором подписки.
Для этого вызова API требуется роль области действия подписки. Роль читателя можно использовать для доступа только для чтения или роли участника для доступа на чтение и запись. Если вам нужен доступ только к службам Когнитивный поиск Azure, можно использовать роли Когнитивный поиск Azure участника службы или Когнитивный поиск Azure службы чтения служб.
Варианты решений
Обратитесь к администратору подписки или владельцу: обратитесь к пользователю, управляющему подпиской Azure, и попросите соответствующего доступа. Объясните свои требования и определенную роль (например, читатель, участник, участник Когнитивный поиск Azure службы или читатель служб Когнитивный поиск Azure).
Запрос доступа на уровне подписки или группы ресурсов: если вам нужен доступ к определенным ресурсам, попросите владельца подписки предоставить вам доступ на соответствующем уровне (подписка или группа ресурсов). Это позволяет выполнять необходимые задачи без доступа к несвязанным ресурсам.
Используйте ключи API для Когнитивный поиск Azure. Если вам нужно взаимодействовать только с службой Когнитивный поиск Azure, можно запросить ключи администратора или ключи запроса от владельца подписки. Эти ключи позволяют выполнять вызовы API непосредственно в службу поиска, не требуя роли Azure RBAC. Помните, что использование ключей API будет обходить управление доступом Azure RBAC, поэтому используйте их осторожно и следуйте рекомендациям по безопасности.
Не удается передать файлы в Azure AI Studio для данных
Симптом. Не удается получить доступ к хранилищу для функции данных с помощью Azure AI Studio.
Первопричина.
Недостаточно доступа на уровне подписки для пользователя, пытающегося получить доступ к хранилищу BLOB-объектов в Azure AI Studio. У пользователя могут не быть необходимых разрешений для вызова конечной точки API управления Azure: https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{accountName}/listAccountSas?api-version=2022-09-01
Владелец подписки на Azure по соображениям безопасности отключил общий доступ к хранилищу BLOB-объектов.
Разрешения, необходимые для вызова API: **Microsoft.Storage/storageAccounts/listAccountSas/action:**
это разрешение позволяет пользователю перечислять маркеры подписанного URL-адреса (SAS) для указанной учетной записи хранения.
Возможные причины, по которым у пользователя могут не быть разрешений:
- Пользователю назначена ограниченная роль в подписке Azure, которая не включает необходимые разрешения для вызова API.
- Владелец подписки или администратор ограничил права роли пользователя по соображениям безопасности или из-за политик организации.
- Роль пользователя недавно изменилась, и новая роль не предоставляет необходимые разрешения.
Варианты решений
- Проверка и обновление прав доступа. Убедитесь, что у пользователя есть соответствующий доступ на уровне подписки, включая необходимые разрешения для вызова API (Microsoft.Storage/storageAccounts/listAccountSas/action). При необходимости попросите владельца подписки или администратора предоставить необходимые права доступа.
- Обратитесь за помощью к владельцу или администратору: если приведенное выше решение не возможно, попробуйте запросить владельца подписки или администратора отправить файлы данных от вашего имени. Этот подход поможет импортировать данные в Azure AI Studio без доступа на уровне подписки или общедоступного доступа к хранилищу BLOB-объектов.
Следующие шаги
- Дополнительные сведения об управлении доступом на основе ролей Azure (Azure RBAC)
- Кроме того, ознакомьтесь сназначением ролей Azure с помощью портал Azure.