Azure Yapay Zeka Stüdyosu'nda rol tabanlı erişim denetimi
Bu makalede, Azure AI Studio hub'ına erişimi (yetkilendirme) yönetmeyi öğreneceksiniz. Azure Rol tabanlı erişim denetimi(Azure RBAC), yeni kaynaklar oluşturma veya mevcut kaynakları kullanma gibi Azure kaynaklarına erişimi yönetmek için kullanılır. Microsoft Entra Kimliğinizdeki kullanıcılar için kaynaklara erişim izni veren belirli roller atanır. Azure hem yerleşik roller hem de özel roller oluşturma olanağı sağlar.
Uyarı
Bazı rollerin uygulanması, Azure Yapay Zeka Stüdyosu'ndaki kullanıcı arabirimi işlevselliğini diğer kullanıcılar için sınırlayabilir. Örneğin, kullanıcının rolünün işlem örneği oluşturma özelliği yoksa işlem örneği oluşturma seçeneği stüdyoda kullanılamaz. Bu, beklenen bir davranıştır ve kullanıcının erişim reddedildi hatası döndürebilecek işlemleri denemesini engeller.
AI Studio hub ile proje karşılaştırması
Azure AI Studio'da iki erişim düzeyi vardır: merkez ve proje. Merkez, altyapının (sanal ağ kurulumu, müşteri tarafından yönetilen anahtarlar, yönetilen kimlikler ve ilkeler dahil) ve Azure AI hizmetlerinizi yapılandırdığınız yerdir. Hub erişimi altyapıyı değiştirmenize, yeni hub'lar oluşturmanıza ve projeler oluşturmanıza olanak sağlayabilir. Projeler, yapay zeka sistemleri oluşturmanıza ve dağıtmanıza olanak sağlayan çalışma alanları olarak görev alan hub'ın bir alt kümesidir. Bir proje içinde akış geliştirebilir, modelleri dağıtabilir ve proje varlıklarını yönetebilirsiniz. Proje erişimi, merkezdeki altyapı kurulumundan yararlanırken uçtan uca yapay zeka geliştirmenizi sağlar.
Hub ve proje ilişkisinin temel avantajlarından biri, geliştiricilerin hub güvenlik ayarlarını devralan kendi projelerini oluşturabilmesidir. Ayrıca bir projeye katkıda bulunan ve yeni proje oluşturamayan geliştiricileriniz de olabilir.
Hub için varsayılan roller
AI Studio hub'ında varsayılan olarak kullanılabilen yerleşik roller vardır.
Yerleşik rollerin ve bunların hub'a yönelik izinlerinin bir tablosu aşağıdadır:
| Rol | Açıklama |
|---|---|
| Sahip | Yeni hub'ları yönetme ve oluşturma ve izin atama da dahil olmak üzere hub'a tam erişim. Bu rol, hub oluşturucusunun otomatik olarak atandığı |
| Katılımcı | Yeni hub'lar oluşturma özelliği de dahil olmak üzere kullanıcının hub'a tam erişimi vardır, ancak mevcut kaynakta hub izinlerini yönetemez. |
| Azure AI Geliştiricisi | Yeni hub'lar oluşturma ve hub izinlerini yönetme dışındaki tüm eylemleri gerçekleştirin. Örneğin, kullanıcılar projeler, işlem ve bağlantılar oluşturabilir. Kullanıcılar kendi projelerinde izin atayabilir. Kullanıcılar Azure OpenAI, Azure AI Search ve Azure AI hizmetleri gibi mevcut Azure yapay zeka kaynaklarıyla etkileşimde bulunabilir. |
| Azure AI Çıkarım Dağıtım İşleci | Kaynak grubu içinde kaynak dağıtımı oluşturmak için gereken tüm eylemleri gerçekleştirin. |
| Okuyucu | Hub'a salt okunur erişim. Bu rol, merkezdeki tüm proje üyelerine otomatik olarak atanır. |
Katkıda Bulunan ile Azure Yapay Zeka Geliştirici arasındaki temel fark, yeni hub'lar oluşturabilmektir. Kullanıcıların yeni hub'lar oluşturmasını istemiyorsanız (kota, maliyet veya yalnızca sahip olduğunuz hub'ları yönetme nedeniyle) Azure AI Geliştirici rolünü atayın.
Hub oluşturmanıza yalnızca Sahip ve Katkıda Bulunan rolleri izin verir. Şu anda özel roller size hub yapma izni veremiyor.
Azure AI Geliştirici rolü
Yeni "Azure AI Geliştiricisi" rolü için tam izin kümesi aşağıdaki gibidir:
{
"Permissions": [
{
"Actions": [
"Microsoft.MachineLearningServices/workspaces/*/read",
"Microsoft.MachineLearningServices/workspaces/*/action",
"Microsoft.MachineLearningServices/workspaces/*/delete",
"Microsoft.MachineLearningServices/workspaces/*/write",
"Microsoft.MachineLearningServices/locations/*/read",
"Microsoft.Authorization/*/read",
"Microsoft.Resources/deployments/*"
],
"NotActions": [
"Microsoft.MachineLearningServices/workspaces/delete",
"Microsoft.MachineLearningServices/workspaces/write",
"Microsoft.MachineLearningServices/workspaces/listKeys/action",
"Microsoft.MachineLearningServices/workspaces/hubs/write",
"Microsoft.MachineLearningServices/workspaces/hubs/delete",
"Microsoft.MachineLearningServices/workspaces/featurestores/write",
"Microsoft.MachineLearningServices/workspaces/featurestores/delete"
],
"DataActions": [
"Microsoft.CognitiveServices/accounts/OpenAI/*",
"Microsoft.CognitiveServices/accounts/SpeechServices/*",
"Microsoft.CognitiveServices/accounts/ContentSafety/*"
],
"NotDataActions": [],
"Condition": null,
"ConditionVersion": null
}
]
}
Yerleşik Azure AI Geliştirici rolü gereksinimlerinizi karşılamıyorsa özel bir rol oluşturabilirsiniz.
Projeler için varsayılan roller
AI Studio'daki projelerin varsayılan olarak kullanılabilir yerleşik rolleri vardır.
Yerleşik rollerin ve bunların proje izinlerinin bir tablosu aşağıdadır:
| Rol | Açıklama |
|---|---|
| Sahip | Proje kullanıcılarına izin atama özelliği de dahil olmak üzere projeye tam erişim. |
| Katılımcı | Kullanıcının projeye tam erişimi var ancak proje kullanıcılarına izin atayamıyor. |
| Azure AI Geliştiricisi | Kullanıcı, dağıtım oluşturma dahil olmak üzere çoğu eylemi gerçekleştirebilir, ancak proje kullanıcılarına izin atayamaz. |
| Azure AI Çıkarım Dağıtım İşleci | Kaynak grubu içinde kaynak dağıtımı oluşturmak için gereken tüm eylemleri gerçekleştirin. |
| Okuyucu | Projeye salt okunur erişim. |
Kullanıcıya projeye erişim izni verildiğinde (örneğin, AI Studio izin yönetimi aracılığıyla), kullanıcıya otomatik olarak iki rol daha atanır. İlk rol hub'da Okuyucu'dur. İkinci rol, kullanıcının projenin içinde bulunduğu kaynak grubunda dağıtımlar oluşturmasına olanak tanıyan Çıkarım Dağıtım İşleci rolüdür. Bu rol şu iki izinden oluşur: "Microsoft.Authorization/*/read" ve "Microsoft.Resources/deployments/*".
Uçtan uca yapay zeka geliştirme ve dağıtımını tamamlamak için kullanıcıların yalnızca bu iki otomatik atanan role ve projede Katkıda Bulunan veya Azure Yapay Zeka Geliştirici rolüne ihtiyacı vardır.
Proje oluşturmak için gereken en düşük izinler, hub'da izin verilen eylemi Microsoft.MachineLearningServices/workspaces/hubs/join olan bir roldür. Azure AI Geliştirici yerleşik rolü bu izne sahiptir.
Bağımlılık hizmeti Azure RBAC izinleri
Hub'ın diğer Azure hizmetlerine bağımlılıkları vardır. Aşağıdaki tabloda, bir hub oluştururken bu hizmetler için gereken izinler listelenmektedir. Hub'ı oluşturan kişinin bu izinlere ihtiyacı vardır. Hub'dan proje oluşturan kişinin buna ihtiyacı yoktur.
| İzin | Purpose |
|---|---|
Microsoft.Storage/storageAccounts/write |
Belirtilen parametrelerle bir depolama hesabı oluşturun veya özellikleri veya etiketleri güncelleştirin ya da belirtilen depolama hesabı için özel etki alanı ekleyin. |
Microsoft.KeyVault/vaults/write |
Yeni bir anahtar kasası oluşturun veya mevcut bir anahtar kasasının özelliklerini güncelleştirir. Bazı özellikler daha fazla izin gerektirebilir. |
Microsoft.CognitiveServices/accounts/write |
API Hesapları yazma. |
Microsoft.MachineLearningServices/workspaces/write |
Yeni bir çalışma alanı oluşturun veya mevcut çalışma alanının özelliklerini güncelleştirir. |
Örnek kurumsal RBAC kurulumu
Aşağıdaki tabloda, bir kuruluş için Azure AI Studio'nuz için rol tabanlı erişim denetiminin nasıl ayarlanacağına ilişkin bir örnek verilmiştir.
| Kişilik | Role | Purpose |
|---|---|---|
| BT yöneticisi | Hub'ın sahibi | BT yöneticisi, hub'ın kurumsal standartlarına göre ayarlandığından emin olabilir. Yöneticilerin yeni hub'lar oluşturmasını sağlamak isterlerse yöneticilere kaynakta Katkıda Bulunan rolü atayabilirler. Ya da yöneticilere kaynakta yeni hub oluşturmaya izin vermemesi için Azure AI Geliştirici rolünü atayabilirler. |
| Yöneticiler | Hub'da Katkıda Bulunan veya Azure Yapay Zeka Geliştiricisi | Yöneticiler hub'ı yönetebilir, işlem kaynaklarını denetleyebilir, bağlantıları denetleyebilir ve paylaşılan bağlantılar oluşturabilir. |
| Ekip lideri/Müşteri Adayı geliştiricisi | Hub'da Azure AI Geliştiricisi | Müşteri adayı geliştiricileri, ekipleri için projeler oluşturabilir ve merkez düzeyinde paylaşılan kaynaklar (işlem ve bağlantılar gibi) oluşturabilir. Proje oluşturulduktan sonra proje sahipleri diğer üyeleri davet edebilir. |
| Ekip üyeleri/geliştiriciler | Projede katkıda bulunan veya Azure Yapay Zeka Geliştiricisi | Geliştiriciler bir proje içinde yapay zeka modelleri oluşturup dağıtabilir ve işlem ve bağlantı gibi geliştirmeyi sağlayan varlıklar oluşturabilir. |
Hub dışında oluşturulan kaynaklara erişim
Hub oluşturduğunuzda, yerleşik rol tabanlı erişim denetimi izinleri size kaynağı kullanmanız için erişim verir. Ancak, kaynakları sizin için oluşturulanların dışında kullanmak istiyorsanız, her ikisini de sağlamanız gerekir:
- Kullanmaya çalıştığınız kaynağın erişim izni için ayarlanmış izinleri bulunuyor.
- Hub'ınızın buna erişmesine izin verilir.
Örneğin, yeni bir Blob depolama alanı kullanmaya çalışıyorsanız, hub'ın yönetilen kimliğinin Blob için Blob Depolama Okuyucusu rolüne eklendiğinden emin olmanız gerekir. Yeni bir Azure AI Search kaynağı kullanmaya çalışıyorsanız hub'ı Azure AI Search'ün rol atamalarına eklemeniz gerekebilir.
Rollerle erişimi yönetme
Bir hub'ın sahibiyseniz AI Studio rollerini ekleyebilir ve kaldırabilirsiniz. AI Studio'da Giriş sayfasına gidin ve hub'ınızı seçin. Ardından hub'a kullanıcı eklemek ve kaldırmak için Kullanıcılar'ı seçin. İzinleri Azure portalından Erişim Denetimi (IAM) altında veya Azure CLI aracılığıyla da yönetebilirsiniz. Örneğin, aşağıdaki komutla "this-rg" kaynak grubu için Azure AI Geliştirici rolünüjoe@contoso.com "" olarak atamak için Azure CLI'yi kullanın:
az role assignment create --role "Azure AI Developer" --assignee "joe@contoso.com" --resource-group this-rg
Özel roller oluşturma
Yerleşik rollerin yetersiz olması durumunda özel roller oluşturabilirsiniz. Özel roller, bu AI Studio'da okuma, yazma, silme ve işlem kaynağı izinlerine sahip olabilir. Rolü belirli bir proje düzeyinde, belirli bir kaynak grubu düzeyinde veya belirli bir abonelik düzeyinde kullanılabilir hale getirebilirsiniz.
Not
Bu kaynak içinde özel roller oluşturmak için bu düzeyde kaynağın sahibi olmanız gerekir.
Aşağıdaki JSON örneği, abonelik düzeyinde özel bir AI Studio geliştirici rolünü tanımlar:
{
"properties": {
"roleName": "AI Studio Developer",
"description": "Custom role for AI Studio. At subscription level",
"assignableScopes": [
"/subscriptions/<your-subscription-id>"
],
"permissions": [
{
"actions": [
"Microsoft.MachineLearningServices/workspaces/write",
"Microsoft.MachineLearningServices/workspaces/endpoints/write",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.KeyVault/vaults/write",
"Microsoft.Authorization/roleAssignments/read",
"Microsoft.Authorization/roleDefinitions/read",
"Microsoft.CognitiveServices/*/read"
],
"notActions": [
"Microsoft.MachineLearningServices/workspaces/delete",
"Microsoft.MachineLearningServices/workspaces/write",
"Microsoft.MachineLearningServices/workspaces/listKeys/action",
"Microsoft.MachineLearningServices/workspaces/hubs/write",
"Microsoft.MachineLearningServices/workspaces/hubs/delete",
"Microsoft.MachineLearningServices/workspaces/featurestores/write",
"Microsoft.MachineLearningServices/workspaces/featurestores/delete"
],
"dataActions": [
"Microsoft.CognitiveServices/accounts/OpenAI/*/read",
"Microsoft.CognitiveServices/accounts/OpenAI/engines/completions/action",
"Microsoft.CognitiveServices/accounts/OpenAI/engines/search/action",
"Microsoft.CognitiveServices/accounts/OpenAI/engines/generate/action",
"Microsoft.CognitiveServices/accounts/OpenAI/deployments/search/action",
"Microsoft.CognitiveServices/accounts/OpenAI/deployments/completions/action",
"Microsoft.CognitiveServices/accounts/OpenAI/deployments/chat/completions/action",
"Microsoft.CognitiveServices/accounts/OpenAI/deployments/extensions/chat/completions/action",
"Microsoft.CognitiveServices/accounts/OpenAI/deployments/embeddings/action",
"Microsoft.CognitiveServices/accounts/OpenAI/images/generations/action"
],
"notDataActions": []
}
]
}
}
Özel rol oluşturma adımları için aşağıdaki makalelerden birini kullanın:
Genel olarak özel roller oluşturma hakkında daha fazla bilgi için Azure özel rolleri makalesini ziyaret edin.
AI Studio'da rol atama
Kullanıcıları ekleyebilir ve rolleri doğrudan Hub veya proje düzeyinde Azure AI Studio'dan atayabilirsiniz. Bir hub veya projeye genel bakış sayfasında Yeni kullanıcı'yı seçerek kullanıcı ekleyin.
Not
Yerleşik rolleri seçmekle sınırlısınız. Özel roller atamanız gerekiyorsa Azure portalını, Azure CLI'yı veya Azure PowerShell'i kullanmanız gerekir.
Ardından kullanıcı bilgilerini girmeniz ve yerleşik bir rol seçmeniz istenir.
Senaryo: Müşteri tarafından yönetilen anahtar kullanma
Bir hub'ı müşteri tarafından yönetilen anahtar (CMK) kullanacak şekilde yapılandırırken, anahtarı depolamak için bir Azure Key Vault kullanılır. Çalışma alanını oluşturmak için kullanılan kullanıcı veya hizmet sorumlusunun anahtar kasasına sahip veya katkıda bulunan erişimi olmalıdır.
AI Studio hub'ınız kullanıcı tarafından atanan yönetilen kimlikle yapılandırılmışsa, kimliğe aşağıdaki roller verilmelidir. Bu roller yönetilen kimliğin müşteri tarafından yönetilen anahtar kullanırken kullanılan Azure Depolama, Azure Cosmos DB ve Azure Search kaynaklarını oluşturmasına olanak tanır:
Microsoft.Storage/storageAccounts/writeMicrosoft.Search/searchServices/writeMicrosoft.DocumentDB/databaseAccounts/write
Anahtar kasası içinde, kullanıcı veya hizmet sorumlusunun anahtar kasası erişim ilkesi aracılığıyla anahtar oluşturma, alma, silme ve temizleme erişimine sahip olması gerekir. Daha fazla bilgi için bkz . Azure Key Vault güvenliği.
Senaryo: Microsoft Entra Id kimlik doğrulaması kullanan bağlantılar
Microsoft Entra Id kimlik doğrulamasını kullanan bir bağlantı oluşturduğunuzda, kaynağa erişebilmeleri için geliştiricilerinize roller atamanız gerekir.
| Kaynak bağlantısı | Rol | Açıklama |
|---|---|---|
| Azure Yapay Zeka Arama | Katılımcı | Azure AI Studio'dan dizinleri listelemek için API anahtarlarını listeleme. |
| Azure Yapay Zeka Arama | Arama Dizini Veri Katkıda Bulunanı | Dizin oluşturma senaryoları için gereklidir |
| Azure AI hizmetleri / Azure OpenAI | Bilişsel Hizmetler Katkıda Bulunanı | Azure AI Studio'dan genel alım API'sini çağır. |
| Azure AI hizmetleri / Azure OpenAI | Bilişsel Hizmetler Kullanıcısı | Azure AI Studio'dan API Anahtarlarını listeleme. |
| Azure AI hizmetleri / Azure OpenAI | Bilişsel Hizmetler Katkıda Bulunanı | Kontrol düzlemine çağrı yapılmasına izin verir. |
| Azure Blob Storage | Depolama Blobu Veri Katılımcısı | Blob depolamaya veri okumak ve yazmak için gereklidir. |
| Azure Data Lake Storage 2. Nesil | Depolama Blobu Veri Katılımcısı | Veri gölüne veri okumak ve yazmak için gereklidir. |
| Microsoft OneLake | Katılımcı | Birine Microsoft OneLake'e acess vermek için, bu kişiye Microsoft Fabric çalışma alanınıza erişim vermeniz gerekir. |
Önemli
Promptflow'u Azure Depolama ile (Azure Data Lake Storage 2. Nesil dahil) kullanıyorsanız Depolama Dosyası Verileri Ayrıcalıklı Katkıda Bulunan rolünü de atamanız gerekir.
Sohbet oyun alanında Microsoft Entra Kimliği doğrulanmış bağlantıları kullanırken, hizmetlerin gerekli kaynaklara erişmek için birbirlerine yetki vermeleri gerekir. Rol atamaları eklemek için yapılandırmayı gerçekleştiren yöneticinin bu kaynaklarda Sahip rolüne sahip olması gerekir. Aşağıdaki tabloda her kaynak için gerekli rol atamaları listelenir. Assignee sütunu, listelenen kaynağın sistem tarafından atanan yönetilen kimliğine başvurur. Kaynak sütunu, atananın erişmesi gereken kaynağa başvurur. Örneğin, Azure OpenAI,Azure AI Search kaynağı için Arama Dizini Veri Okuyucusu rolüne atanması gereken sistem tarafından atanan yönetilen kimliğe sahiptir.
| Role | Atanan | Kaynak | Açıklama |
|---|---|---|---|
| Arama Dizini Veri Okuyucusu | Azure AI hizmetleri / Azure OpenAI | Azure Yapay Zeka Arama | Çıkarım hizmeti dizindeki verileri sorgular. Yalnızca çıkarım senaryoları için kullanılır. |
| Arama Dizini Veri Katkıda Bulunanı | Azure AI hizmetleri / Azure OpenAI | Azure Yapay Zeka Arama | Dizinlerdeki içeriğe okuma-yazma erişimi. Bir dizinin belge koleksiyonunu içeri aktarın, yenileyin veya sorgular. Yalnızca alım ve çıkarım senaryoları için kullanılır. |
| Arama Hizmeti Katkıda Bulunanı | Azure AI hizmetleri / Azure OpenAI | Azure Yapay Zeka Arama | Nesne tanımlarına (dizinler, diğer adlar, eş anlamlı eşlemeler, dizin oluşturucular, veri kaynakları ve beceri kümeleri) okuma-yazma erişimi. Çıkarım hizmeti, otomatik alan eşlemesi için dizin şemasını sorgular. Veri alma hizmeti dizin, veri kaynakları, beceri kümesi, dizin oluşturucu oluşturur ve dizin oluşturucu durumunu sorgular. |
| Bilişsel Hizmetler Katkıda Bulunanı | Azure Yapay Zeka Arama | Azure AI hizmetleri / Azure OpenAI | Özel beceri |
| Bilişsel Hizmetler OpenAI Kullanıcısı | Sohbet modeli için Azure OpenAI Kaynağı | Ekleme modeli için Azure OpenAI kaynağı | Yalnızca iletişim kurmak için iki Azure OpenAI kaynağı kullanılıyorsa gereklidir. |
| Depolama Blobu Veri Katılımcısı | Azure Yapay Zeka Arama | Azure Depolama Hesabı | Blobu okur ve bilgi depolarını yazar. |
| Depolama Blobu Veri Katılımcısı | Azure AI hizmetleri / Azure OpenAI | Azure Depolama Hesabı | Giriş kapsayıcısından okur ve ön işlem sonuçlarını çıkış kapsayıcısına yazar. |
Not
Bilişsel Hizmetler OpenAI Kullanıcı rolü yalnızca iki Azure OpenAI kaynağı kullanıyorsanız gereklidir: biri sohbet modeliniz ve biri de ekleme modeliniz için. Bu durum geçerliyse Güvenilen Hizmetler'i etkinleştirin VE ekleme modeli azure OpenAI kaynağınız için bağlantının Microsoft Entra Id'nin etkinleştirildiğinden emin olun.
Senaryo: Mevcut bir Azure OpenAI kaynağını kullanma
Mevcut bir Azure OpenAI kaynağına bağlantı oluşturduğunuzda, kullanıcılara kaynağa erişebilmeleri için roller de atamanız gerekir. Gerçekleştirmesi gereken görevlere bağlı olarak Bilişsel Hizmetler OpenAI Kullanıcısı veya Bilişsel Hizmetler OpenAI Katkıda Bulunanı rolünü atamanız gerekir. Bu roller ve etkinleştirdikleri görevler hakkında bilgi için bkz . Azure OpenAI rolleri.
Senaryo: Azure Container Registry kullanma
Azure Container Registry örneği, Azure AI Studio hub'ı için isteğe bağlı bir bağımlılıktır. Aşağıdaki tabloda, kimlik doğrulama yöntemine ve Azure Container Registry'nin genel ağ erişim yapılandırmasına bağlı olarak Azure Container Registry'de bir hub'ın kimliğini doğrularken kullanılan destek matrisi listelenir.
| Kimlik doğrulama yöntemi | Genel ağ erişimi devre dışı bırakıldı |
Azure Container Registry Genel ağ erişimi etkin |
|---|---|---|
| Yönetici kullanıcı | ✓ | ✓ |
| AI Studio hub sistem tarafından atanan yönetilen kimlik | ✓ | ✓ |
| AI Studio hub kullanıcı tarafından atanan yönetilen kimlik ve kimliğe atanmış ACRPull rolü |
✓ |
Merkez oluşturulduğunda doğru rollere sistem tarafından atanan yönetilen kimlik otomatik olarak atanır. Kullanıcı tarafından atanan bir yönetilen kimlik kullanıyorsanız, kimliğe ACRPull rolünü atamanız gerekir.
Senaryo: Günlüğe kaydetme için Azure Uygulaması lication Insights kullanma
Azure Uygulaması lication Insights, Azure AI Studio hub'ı için isteğe bağlı bir bağımlılıktır. Aşağıdaki tabloda, hub oluştururken Application Insights'ı kullanmak istiyorsanız gereken izinler listelenir. Hub'ı oluşturan kişinin bu izinlere ihtiyacı vardır. Hub'dan proje oluşturan kişinin bu izinlere ihtiyacı yoktur.
| İzin | Purpose |
|---|---|
Microsoft.Insights/Components/Write |
Application Insights bileşen yapılandırmasına yazma. |
Microsoft.OperationalInsights/workspaces/write |
Mevcut çalışma alanından müşteri kimliğini sağlayarak yeni bir çalışma alanı veya var olan çalışma alanına bağlantılar oluşturun. |
Senaryo: Sağlanan aktarım hızı birimi temini
Aşağıdaki örnek, sağlanan aktarım hızı birimleri (PTU) sağlayabilen özel bir rolü tanımlar.
{
"properties": {
"roleName": "PTU procurer",
"description": "Custom role to purchase PTU",
"assignableScopes": [
"/subscriptions/<your-subscription-id>"
],
"permissions": [
{
"actions": [
"Microsoft.CognitiveServices/accounts/commitmentplans/read",
"Microsoft.CognitiveServices/accounts/commitmentplans/write",
"Microsoft.CognitiveServices/accounts/commitmentplans/delete",
"Microsoft.CognitiveServices/locations/commitmentTiers/read",
"Microsoft.CognitiveServices/accounts/commitmentplans/read",
"Microsoft.CognitiveServices/accounts/commitmentplans/write",
"Microsoft.CognitiveServices/accounts/commitmentplans/delete",
"Microsoft.Features/features/read",
"Microsoft.Features/providers/features/read",
"Microsoft.Features/providers/features/register/action",
"Microsoft.Insights/logDefinitions/read",
"Microsoft.Insights/metricdefinitions/read",
"Microsoft.Insights/metrics/read",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/operations/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourcegroups/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Senaryo: Azure OpenAI Yardımcıları API'si
Aşağıdaki örnek, Azure OpenAI Yardımcılarını kullanan bir geliştirici için bir rol tanımlar.
{
"id": "",
"properties": {
"roleName": "Azure OpenAI Assistants API Developer",
"description": "Custom role to work with Azure OpenAI Assistants API",
"assignableScopes": [
"<your-scope>"
],
"permissions": [
{
"actions": [
"Microsoft.CognitiveServices/*/read",
"Microsoft.Authorization/roleAssignments/read",
"Microsoft.Authorization/roleDefinitions/read"
],
"notActions": [],
"dataActions": [
"Microsoft.CognitiveServices/accounts/OpenAI/*/read",
"Microsoft.CognitiveServices/accounts/OpenAI/engines/completions/action",
"Microsoft.CognitiveServices/accounts/OpenAI/engines/search/action",
"Microsoft.CognitiveServices/accounts/OpenAI/engines/generate/action",
"Microsoft.CognitiveServices/accounts/OpenAI/deployments/search/action",
"Microsoft.CognitiveServices/accounts/OpenAI/deployments/completions/action",
"Microsoft.CognitiveServices/accounts/OpenAI/deployments/chat/completions/action",
"Microsoft.CognitiveServices/accounts/OpenAI/deployments/extensions/chat/completions/action",
"Microsoft.CognitiveServices/accounts/OpenAI/deployments/embeddings/action",
"Microsoft.CognitiveServices/accounts/OpenAI/images/generations/action",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/write",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/read",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/delete",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/files/write",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/files/read",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/files/delete",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/threads/write",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/threads/read",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/threads/delete",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/threads/messages/write",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/threads/messages/read",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/threads/messages/files/read",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/threads/runs/write",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/threads/runs/read",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/threads/runs/steps/read"
],
"notDataActions": []
}
]
}
}
Sorun giderme
Hata: Sorumlu API/İşlem erişimine sahip değil
Belirtiler
Azure AI Studio sohbet oyun alanı kullanırken "Sorumlunun API/İşlem erişimi yok" hata iletisini alırsınız. Hata bir "Apim-request-id" de içerebilir.
Neden
Azure OpenAI veya Azure AI Search isteklerinin kimliğini doğrulamak için kullanılan kullanıcı veya hizmet sorumlusu kaynağa erişmek için gerekli izinlere sahip değildir.
Çözüm
Kullanıcıya veya hizmet sorumlusuna aşağıdaki rolleri atayın. Atadığınız rol, kullandığınız hizmetlere ve kullanıcı veya hizmet sorumlusunun gerektirdiği erişim düzeyine bağlıdır:
| Hizmete erişiliyor | Rol | Açıklama |
|---|---|---|
| Azure OpenAI | Bilişsel Hizmetler Katkıda Bulunanı | Azure AI Studio'dan genel alım API'sini çağır. |
| Azure OpenAI | Bilişsel Hizmetler Kullanıcısı | Azure AI Studio'dan API Anahtarlarını listeleme. |
| Azure Yapay Zeka Arama | Arama Dizini Veri Katkıda Bulunanı | Dizin oluşturma senaryoları için gereklidir. |
| Azure Yapay Zeka Arama | Arama Dizini Veri Okuyucusu | Çıkarım hizmeti dizindeki verileri sorgular. Yalnızca çıkarım senaryoları için kullanılır. |