Rollbaserad åtkomstkontroll för Azure OpenAI Service
Azure OpenAI Service stöder rollbaserad åtkomstkontroll i Azure (Azure RBAC), ett auktoriseringssystem för att hantera individuell åtkomst till Azure-resurser. Med Hjälp av Azure RBAC tilldelar du olika teammedlemmar olika behörighetsnivåer baserat på deras behov för ett visst projekt. Mer information finns i Azure RBAC-dokumentationen.
Lägga till rolltilldelning till en Azure OpenAI-resurs
Azure RBAC kan tilldelas till en Azure OpenAI-resurs. Om du vill bevilja åtkomst till en Azure-resurs lägger du till en rolltilldelning.
Sök efter Azure OpenAI i Azure-portalen.
Välj Azure OpenAI och gå till din specifika resurs.
Kommentar
Du kan också konfigurera Azure RBAC för hela resursgrupper, prenumerationer eller hanteringsgrupper. Gör detta genom att välja önskad omfångsnivå och sedan navigera till önskat objekt. Du kan till exempel välja Resursgrupper och sedan navigera till en specifik resursgrupp.
Välj Åtkomstkontroll (IAM) i det vänstra navigeringsfönstret.
Välj Lägg till och sedan Lägg till rolltilldelning.
På fliken Roll på nästa skärm väljer du en roll som du vill lägga till.
På fliken Medlemmar väljer du en användare, grupp, tjänstens huvudnamn eller hanterad identitet.
På fliken Granska + tilldela väljer du Granska + tilldela för att tilldela rollen.
Inom några minuter tilldelas målet den valda rollen i det valda omfånget. Hjälp med de här stegen finns i Tilldela Azure-roller med hjälp av Azure-portalen.
Azure OpenAI-roller
- Cognitive Services OpenAI-användare
- Cognitive Services OpenAI-deltagare
- Cognitive Services-deltagare
- Cognitive Services Usages Reader
Kommentar
Ägar- och deltagarroller på prenumerationsnivå ärvs och prioriteras framför de anpassade Azure OpenAI-roller som tillämpas på resursgruppsnivå.
Det här avsnittet beskriver vanliga uppgifter som olika konton och kombinationer av konton kan utföra för Azure OpenAI-resurser. Om du vill visa en fullständig lista över tillgängliga åtgärder och dataåtgärder beviljas en enskild roll från din Azure OpenAI-resurs gå till Åtkomstkontroll (IAM)>Roller> Under kolumnen Information för den roll som du är intresserad av väljer du Visa. Som standard är knappen Åtgärder radiell markerad. Du måste undersöka både Åtgärder och DataActions för att förstå den fullständiga omfattningen av funktioner som tilldelats till en roll.
Cognitive Services OpenAI-användare
Om en användare endast har beviljats rollbaserad åtkomst till den här rollen för en Azure OpenAI-resurs skulle de kunna utföra följande vanliga uppgifter:
✅ Visa resursen i Azure-portalen
✅ Visa resursslutpunkten under Nycklar och slutpunkt
✅ Möjlighet att visa resurs- och associerade modelldistributioner i Azure OpenAI Studio.
✅ Möjlighet att visa vilka modeller som är tillgängliga för distribution i Azure OpenAI Studio.
✅ Använd lekplatsen Chatt, Slutföranden och DALL-E (förhandsversion) för att generera text och bilder med modeller som redan har distribuerats till den här Azure OpenAI-resursen.
✅ Gör api-anrop för slutsatsdragning med Microsoft Entra-ID.
En användare med endast den här rollen tilldelad kan inte:
❌ Skapa nya Azure OpenAI-resurser
❌ Visa/kopiera/återskapa nycklar under Nycklar och slutpunkt
❌ Skapa nya modelldistributioner eller redigera befintliga modelldistributioner
❌ Skapa/distribuera anpassade finjusterade modeller
❌ Ladda upp datauppsättningar för finjustering
❌ Åtkomstkvot
❌ Skapa anpassade innehållsfilter
❌ Lägga till en datakälla för att använda din datafunktion
Cognitive Services OpenAI-deltagare
Den här rollen har alla behörigheter för Cognitive Services OpenAI-användare och kan även utföra ytterligare uppgifter som:
✅ Skapa anpassade finjusterade modeller
✅ Ladda upp datauppsättningar för finjustering
✅ Skapa nya modelldistributioner eller redigera befintliga modelldistributioner [Tillagd hösten 2023]
En användare med endast den här rollen tilldelad kan inte:
❌ Skapa nya Azure OpenAI-resurser
❌ Visa/kopiera/återskapa nycklar under Nycklar och slutpunkt
❌ Åtkomstkvot
❌ Skapa anpassade innehållsfilter
❌ Lägga till en datakälla för att använda din datafunktion
Cognitive Services-deltagare
Den här rollen beviljas vanligtvis åtkomst på resursgruppsnivå för en användare tillsammans med ytterligare roller. Den här rollen gör det möjligt för en användare att utföra följande uppgifter.
✅ Skapa nya Azure OpenAI-resurser i den tilldelade resursgruppen.
✅ Visa resurser i den tilldelade resursgruppen i Azure-portalen.
✅ Visa resursslutpunkten under Nycklar och slutpunkt
✅ Visa/kopiera/återskapa nycklar under Nycklar och slutpunkt
✅ Möjlighet att visa vilka modeller som är tillgängliga för distribution i Azure OpenAI Studio
✅ Använd lekplatsen Chatt, Slutföranden och DALL-E (förhandsversion) för att generera text och bilder med modeller som redan har distribuerats till den här Azure OpenAI-resursen
✅ Skapa anpassade innehållsfilter
✅ Lägga till en datakälla för att använda din datafunktion
✅ Skapa nya modelldistributioner eller redigera befintliga modelldistributioner (via API)
✅ Skapa anpassade finjusterade modeller [Tillagd hösten 2023]
✅ Ladda upp datauppsättningar för finjustering [Tillagd hösten 2023]
✅ Skapa nya modelldistributioner eller redigera befintliga modelldistributioner (via Azure OpenAI Studio) [Tillagd hösten 2023]
En användare med endast den här rollen tilldelad kan inte:
❌ Åtkomstkvot
❌ Gör api-anrop för slutsatsdragning med Microsoft Entra-ID.
Cognitive Services Usages Reader
Visningskvoten kräver rollen Cognitive Services Usages Reader . Den här rollen ger den minimala åtkomst som krävs för att visa kvotanvändning i en Azure-prenumeration.
Den här rollen finns i Azure-portalen under Prenumerationer> *Åtkomstkontroll (IAM)>Lägg till rolltilldelningssökning> för Cognitive Services Usages Reader. Rollen måste tillämpas på prenumerationsnivå, den finns inte på resursnivå.
Om du inte vill använda den här rollen ger prenumerationsrollen Läsare motsvarande åtkomst, men den ger även läsåtkomst utöver det som behövs för att visa kvoten. Modelldistribution via Azure OpenAI Studio är också delvis beroende av förekomsten av den här rollen.
Den här rollen ger lite värde i sig själv och tilldelas i stället vanligtvis i kombination med en eller flera av de tidigare beskrivna rollerna.
Cognitive Services Usages Reader + Cognitive Services OpenAI-användare
Alla funktioner i Cognitive Services OpenAI-användare plus möjligheten att:
✅ Visa kvotallokeringar i Azure OpenAI Studio
Cognitive Services Usages Reader + Cognitive Services OpenAI-deltagare
Alla funktioner i Cognitive Services OpenAI-deltagare plus möjligheten att:
✅ Visa kvotallokeringar i Azure OpenAI Studio
Cognitive Services Usages Reader + Cognitive Services-deltagare
Alla funktioner i Cognitive Services-deltagare plus möjligheten att:
✅ Visa och redigera kvotallokeringar i Azure OpenAI Studio
✅ Skapa nya modelldistributioner eller redigera befintliga modelldistributioner (via Azure OpenAI Studio)
Sammanfattning
| Behörigheter | Cognitive Services OpenAI-användare | Cognitive Services OpenAI-deltagare | Cognitive Services-deltagare | Cognitive Services Usages Reader |
|---|---|---|---|---|
| Visa resursen i Azure-portalen | ✅ | ✅ | ✅ | ➖ |
| Visa resursslutpunkten under "Nycklar och slutpunkt" | ✅ | ✅ | ✅ | ➖ |
| Visa resursen och tillhörande modelldistributioner i Azure OpenAI Studio | ✅ | ✅ | ✅ | ➖ |
| Visa vilka modeller som är tillgängliga för distribution i Azure OpenAI Studio | ✅ | ✅ | ✅ | ➖ |
| Använd lekplatsen Chat, Completions och DALL-E (förhandsversion) med alla modeller som redan har distribuerats till den här Azure OpenAI-resursen. | ✅ | ✅ | ✅ | ➖ |
| Skapa eller redigera modelldistributioner | ❌ | ✅ | ✅ | ➖ |
| Skapa eller distribuera anpassade finjusterade modeller | ❌ | ✅ | ✅ | ➖ |
| Ladda upp datauppsättningar för finjustering | ❌ | ✅ | ✅ | ➖ |
| Skapa nya Azure OpenAI-resurser | ❌ | ❌ | ✅ | ➖ |
| Visa/kopiera/återskapa nycklar under "Nycklar och slutpunkt" | ❌ | ❌ | ✅ | ➖ |
| Skapa anpassade innehållsfilter | ❌ | ❌ | ✅ | ➖ |
| Lägg till en datakälla för funktionen "på dina data" | ❌ | ❌ | ✅ | ➖ |
| Åtkomstkvot | ❌ | ❌ | ❌ | ✅ |
| Göra slutsatsdragnings-API-anrop med Microsoft Entra-ID | ✅ | ✅ | ❌ | ➖ |
Vanliga problem
Det går inte att visa azure cognitive search-alternativet i Azure OpenAI Studio
Problem:
När du väljer en befintlig Azure Cognitive Search-resurs läses inte sökindexen in och inläsningshjulet snurrar kontinuerligt. I Azure OpenAI Studio går du till Playground Chat>Lägg till dina data (förhandsversion) under Assistentkonfiguration. Om du väljer Lägg till en datakälla öppnas en modal som gör att du kan lägga till en datakälla via antingen Azure Cognitive Search eller Blob Storage. Om du väljer alternativet Azure Cognitive Search och en befintlig Azure Cognitive Search-resurs bör du läsa in tillgängliga Azure Cognitive Search-index att välja mellan.
Rotorsak
För att göra ett allmänt API-anrop för att lista Azure Cognitive tjänsten Search s görs följande anrop:
https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Search/searchServices?api-version=2021-04-01-Preview
Ersätt {subscriptionId} med ditt faktiska prenumerations-ID.
För det här API-anropet behöver du en omfångsroll på prenumerationsnivå. Du kan använda rollen Läsare för skrivskyddad åtkomst eller deltagarrollen för läs- och skrivåtkomst. Om du bara behöver åtkomst till Azure Cognitive tjänsten Search s kan du använda rollen Azure Cognitive Search Service-deltagare eller Azure Cognitive Search Service Reader.If you only need access to Azure Cognitive tjänsten Search s, you can use the Azure Cognitive Search Service Contributor or Azure Cognitive Search Service Reader roles.
Lösningsalternativ
Kontakta prenumerationsadministratören eller ägaren: Kontakta den person som hanterar din Azure-prenumeration och begär lämplig åtkomst. Förklara dina krav och den specifika roll du behöver (till exempel Läsare, Deltagare, Azure Cognitive Search Service-deltagare eller Azure Cognitive Search Service Reader).
Begär åtkomst på prenumerationsnivå eller resursgruppsnivå: Om du behöver åtkomst till specifika resurser ber du prenumerationsägaren att ge dig åtkomst på lämplig nivå (prenumeration eller resursgrupp). På så sätt kan du utföra de uppgifter som krävs utan att ha åtkomst till orelaterade resurser.
Använd API-nycklar för Azure Cognitive Search: Om du bara behöver interagera med Azure Cognitive tjänsten Search kan du begära administratörsnycklarna eller frågenycklarna från prenumerationsägaren. Med de här nycklarna kan du göra API-anrop direkt till söktjänsten utan att behöva en Azure RBAC-roll. Tänk på att användning av API-nycklar kringgår Azure RBAC-åtkomstkontrollen, så använd dem försiktigt och följ metodtipsen för säkerhet.
Det går inte att ladda upp filer i Azure OpenAI Studio för dina data
Symptom: Det går inte att komma åt lagringen för datafunktionen i Azure OpenAI Studio.
Rotorsak:
Otillräcklig åtkomst på prenumerationsnivå för den användare som försöker komma åt bloblagringen i Azure OpenAI Studio. Användaren kanske inte har de behörigheter som krävs för att anropa Azure Management API-slutpunkten: https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{accountName}/listAccountSas?api-version=2022-09-01
Offentlig åtkomst till blobblagringen inaktiveras av säkerhetsskäl av ägaren till Azure-prenumerationen.
Behörigheter som krävs för API-anropet: **Microsoft.Storage/storageAccounts/listAccountSas/action:** Med den här behörigheten kan användaren visa en lista över SAS-token (Signatur för delad åtkomst) för det angivna lagringskontot.
Möjliga orsaker till att användaren kanske inte har behörighet:
- Användaren tilldelas en begränsad roll i Azure-prenumerationen, som inte innehåller de behörigheter som krävs för API-anropet.
- Användarens roll har begränsats av prenumerationsägaren eller administratören beroende på säkerhetsproblem eller organisationsprinciper.
- Användarens roll har nyligen ändrats och den nya rollen beviljar inte de behörigheter som krävs.
Lösningsalternativ
- Verifiera och uppdatera åtkomsträttigheter: Kontrollera att användaren har rätt åtkomst på prenumerationsnivå, inklusive nödvändiga behörigheter för API-anropet (Microsoft.Storage/storageAccounts/listAccountSas/action). Om det behövs ber du prenumerationsägaren eller administratören att bevilja nödvändiga åtkomsträttigheter.
- Begär hjälp från ägaren eller administratören: Om lösningen ovan inte är möjlig kan du be prenumerationsägaren eller administratören att ladda upp datafilerna åt dig. Den här metoden kan hjälpa dig att importera data till Azure OpenAI Studio utan att användaren behöver åtkomst på prenumerationsnivå eller offentlig åtkomst till bloblagringen.
Nästa steg
- Läs mer om Azure-rollbaserad åtkomstkontroll (Azure RBAC).
- Se även tilldelaAzure-roller med hjälp av Azure-portalen.