Azure OpenAI 支援 Azure 角色型訪問控制 (Azure RBAC),這是管理個別 Azure 資源存取權的授權系統。 使用 Azure RBAC,您可以根據不同小組成員對特定專案的需求,為其指派不同層級的權限。 如需詳細資訊,請參閱 Azure RBAC 文件 (機器翻譯)。
將角色指派新增至 Azure OpenAI 資源
Azure RBAC 可以指派給 Azure OpenAI 資源。 若要授與 Azure 資源的存取權,您可以新增角色指派。
在 Azure 入口網站中,搜尋 Azure OpenAI。
選取 Azure OpenAI,然後瀏覽至您的特定資源。
注意
您也可以為整個資源群組、訂用帳戶或管理群組設定 Azure RBAC。 若要這麼做,請選取所需的範圍層級,然後瀏覽至所需的項目。 例如,選取 [資源群組],然後瀏覽至特定的資源群組。
選取左窗格中的 [存取控制][IAM ]。
選取 [新增],然後選取 [新增角色指派]。
在下一個畫面的 [角色] 索引標籤上,選取您要新增的角色。
在 [成員] 索引標籤中,選取使用者、群組、服務主體或受控識別。
在 [檢閱 + 指派] 索引標籤上,選取 [檢閱 + 指派] 以指派角色。
只要幾分鐘,目標就會獲指派選取範圍中的選取角色。 如需這些步驟的說明,請參閱使用 Azure 入口網站指派 Azure 角色。
Azure OpenAI 角色
- 認知服務 OpenAI 使用者
- 認知服務 OpenAI 參與者
- 認知服務參與者
- 認知服務使用量讀取者
注意
繼承訂用帳戶層級擁有者和參與者角色,並優先於資源群組層級套用的自訂 Azure OpenAI 角色。
本節涵蓋不同帳戶和帳戶組合能夠針對 Azure OpenAI 資源執行的一般工作。 若要檢視可用 Actions 和 DataActions 的完整清單,會從您的 Azure OpenAI 資源授與個別角色,請移至 [存取控制 (IAM)] [角色]>,在您感興趣的角色下的 [詳細資料] 資料行中,選取 [檢視]。 預設會選取 Actions 選項按鈕。 您必須檢查 Actions 和 DataActions,以了解指派給角色的功能的完整範圍。
認知服務 OpenAI 使用者
如果使用者只獲授與此角色的角色型存取權以取得某 Azure OpenAI 資源,他們就能夠執行下列一般工作:
✅ 在 Azure 入口網站中檢視資源
✅ 在 [金鑰和端點] 底下檢視資源端點
✅ 能夠在 Azure AI Foundry 入口網站中檢視資源和相關聯的模型部署。
✅ 能夠檢視可在 Azure AI Foundry 入口網站中部署哪些模型。
✅ 使用聊天、完成和 DALL-E (預覽) 遊樂場體驗,以任何已部署至此 Azure OpenAI 資源的模型來產生文字和影像。
✅ 使用 Microsoft Entra ID 進行推斷 API 呼叫。
只有獲指派此角色的使用者無法:
❌ 建立新的 Azure OpenAI 資源
❌ 在 [金鑰和端點] 底下檢視/複製/重新產生金鑰
❌ 建立新的模型部署或編輯現有的模型部署
❌ 建立/部署自訂微調模型
❌ 上傳資料集以進行微調
❌ 檢視、查詢、篩選預存完成數據
❌ 存取配額
❌ 建立自訂的內容篩選
❌ 新增資料來源以使用您的資料功能
認知服務 OpenAI 參與者
此角色具有認知服務 OpenAI 使用者的所有權限,也能夠執行其他工作,例如:
✅ 建立自訂微調模型
✅ 上傳資料集以進行微調
✅ 檢視、查詢、篩選預存完成數據
✅ 建立新的模型部署或編輯現有的模型部署 [已於 2023 年秋天新增]
✅ 在您的數據上將數據源新增至 Azure OpenAI。
您也必須具有 認知服務參與者 角色。
只有獲指派此角色的使用者無法:
❌ 建立新的 Azure OpenAI 資源
❌ 在 [金鑰和端點] 底下檢視/複製/重新產生金鑰
❌ 存取配額
❌ 建立自訂的內容篩選
❌ 在您的數據上新增 Azure OpenAI 的數據源
認知服務參與者
此角色通常會在資源群組層級為使用者結合其他角色的存取權授與。 此角色本身可讓使用者執行下列工作。
✅ 在獲指派的資源群組內建立新的 Azure OpenAI 資源。
✅ 在 Azure 入口網站中檢視獲指派資源群組中的資源。
✅ 在 [金鑰和端點] 底下檢視資源端點
✅ 在 [金鑰和端點] 底下檢視/複製/重新產生金鑰
✅能夠在 Azure AI Foundry 入口網站中檢視哪些模型可供部署
✅ 使用聊天、完成和 DALL-E (預覽) 遊樂場體驗,以任何已部署至此 Azure OpenAI 資源的模型來產生文字和影像
✅ 建立自訂的內容篩選
✅ 在您的數據上將數據源新增至 Azure OpenAI。
您也必須具備 認知服務 OpenAI 參與者 角色。
✅ 建立新的模型部署或編輯現有的模型部署 (透過 API)
✅ 建立自訂微調模型 [已於 2023 年秋天新增]
✅ 上傳資料集以進行微調 [已於 2023 年秋天新增]
✅ 建立新的模型部署或編輯現有的模型部署 (透過 Azure AI Foundry) [新增 2023 年秋季]
✅ 檢視、查詢、篩選預存完成數據
只有獲指派此角色的使用者無法:
❌ 存取配額
❌ 使用 Microsoft Entra ID 進行推斷 API 呼叫。
認知服務使用量讀取者
檢視配額需要認知服務使用量讀取者角色。 此角色提供檢視 Azure 訂用帳戶中配額使用量所需的最低存取權。
您可以在 Azure 入口網站中 [訂用帳戶] *[存取控制 (IAM)] > [新增角色指派] 搜尋>找到此角色。 角色必須在訂用帳戶層級套用,它不存在於資源層級。
如果您不想使用此角色,訂用帳戶讀取者角色會提供對等的存取權,但也會授與檢視配額所需範圍以外的讀取權限。 透過 Azure AI Foundry 入口網站 進行模型部署也部分相依於此角色的存在。
此角色本身提供少量值,但通常會與一或多個先前描述的角色結合來指派。
認知服務使用量讀取者 + 認知服務 OpenAI 使用者
認知服務 OpenAI 使用者的所有功能,以及下列功能:
✅在 Azure AI Foundry 入口網站中檢視配額配置
認知服務使用量讀取者 + 認知服務 OpenAI 參與者
認知服務 OpenAI 參與者的所有功能,以及下列功能:
✅在 Azure AI Foundry 入口網站中檢視配額配置
認知服務使用量讀取者 + 認知服務參與者
認知服務參與者的所有功能,以及下列功能:
✅在 Azure AI Foundry 入口網站中檢視和編輯配額配置
✅ 建立新的模型部署或編輯現有的模型部署(透過 Azure AI Foundry)
摘要
| 權限 | 認知服務 OpenAI 使用者 | 認知服務 OpenAI 參與者 | 認知服務參與者 | 認知服務使用量讀取者 |
|---|---|---|---|---|
| 在 Azure 入口網站中檢視資源 | ✅ | ✅ | ✅ | ➖ |
| 在 [金鑰和端點] 底下檢視資源端點 | ✅ | ✅ | ✅ | ➖ |
| 在 Azure AI Foundry 入口網站中檢視資源和相關聯的模型部署 | ✅ | ✅ | ✅ | ➖ |
| 在 Azure AI Foundry 入口網站中檢視哪些模型可供部署 | ✅ | ✅ | ✅ | ➖ |
| 搭配任何已部署至此 Azure OpenAI 資源的模型使用聊天、完成和 DALL-E (預覽) 遊樂場體驗。 | ✅ | ✅ | ✅ | ➖ |
| 建立及編輯模型部署 | ❌ | ✅ | ✅ | ➖ |
| 建立或部署自訂微調模型 | ❌ | ✅ | ✅ | ➖ |
| 上傳資料集以進行微調 | ❌ | ✅ | ✅ | ➖ |
| 檢視、查詢、篩選預存競爭數據 | ❌ | ✅ | ✅ | ➖ |
| 建立新的 Azure OpenAI 資源 | ❌ | ❌ | ✅ | ➖ |
| 在 [金鑰和端點] 底下檢視/複製/重新產生金鑰 | ❌ | ❌ | ✅ | ➖ |
| 建立自訂的內容篩選 | ❌ | ❌ | ✅ | ➖ |
| 新增資料來源以使用您的資料功能 | ❌ | ❌ | ✅ | ➖ |
| 存取配額 | ❌ | ❌ | ❌ | ✅ |
| 使用 Microsoft Entra ID 進行推斷 API 呼叫 | ✅ | ✅ | ❌ | ➖ |
常見的問題
無法在 Azure AI Foundry 入口網站中檢視 Azure 認知搜尋 選項
問題:
選取現有的 Azure 認知搜尋資源時,搜尋索引不會載入,且載入中轉輪會持續旋轉。 在 Azure AI Foundry 入口網站中,移至 [小幫手設定] 底下的 遊樂場聊天、>。 選取 [新增資料來源] 會開啟強制回應,讓您透過Azure 認知搜尋或 Blob 儲存體新增資料來源。 選取 [Azure 認知搜尋] 選項,而現有的 Azure 認知搜尋資源應該會載入可用的 Azure 認知搜尋索引以供選取。
根本原因
若要對列出 Azure 認知搜尋服務進行泛型 API 呼叫,會進行下列呼叫:
https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Search/searchServices?api-version=2021-04-01-Preview
以您的實際訂用帳戶識別碼取代 {subscriptionId}。
針對此 API 呼叫,您需要訂用帳戶層級範圍角色。 您可以使用讀取者角色進行唯讀存取,或使用參與者角色進行讀寫存取。 如果只需要存取 Azure 認知搜尋服務,您可以使用 Azure 認知搜尋服務參與者或 Azure 認知搜尋服務讀取者角色。
方案選項
請連絡您的訂用帳戶管理員或擁有者:連絡管理您的 Azure 訂用帳戶的人員,並要求適當的存取權。 說明您的需求和您需要的特定角色 (例如,讀取者、參與者、Azure 認知搜尋服務參與者或 Azure 認知搜尋服務讀取者)。
要求訂用帳戶層級或資源群組層級存取:如果您需要特定資源的存取權,請要求訂用帳戶擁有者授與您適當層級的存取權 (訂用帳戶或資源群組)。 這可讓您執行必要的工作,而不需存取不相關的資源。
針對 Azure 認知搜尋使用 API 金鑰:如果您只需要與 Azure 認知搜尋服務互動,可以向訂用帳戶擁有者要求管理金鑰或查詢金鑰。 這些金鑰可讓您直接對搜尋服務進行 API 呼叫,而不需要 Azure RBAC 角色。 請記住,使用 API 金鑰會略過 Azure RBAC 存取控制,因此請僅慎使用,並遵循安全性最佳做法。
無法在 Azure AI Foundry 入口網站中上傳您數據的檔案
徵兆:無法使用 Azure AI Foundry 存取數據功能上的 記憶體。
根本原因:
用戶嘗試在 Azure AI Foundry 入口網站中存取 Blob 儲存體時,訂閱層級的存取權限不足。 使用者可能沒有呼叫 Azure 管理 API 端點的必要權限:https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{accountName}/listAccountSas?api-version=2022-09-01
基於安全性考量,Azure 訂用帳戶的擁有者會停用對 Blob 儲存體的公用存取。
API 呼叫所需的權限:**Microsoft.Storage/storageAccounts/listAccountSas/action:** 此權限可讓使用者列出指定儲存體帳戶的共用存取簽章 (SAS) 權杖。
使用者可能沒有權限的可能原因:
- 使用者獲指派 Azure 訂用帳戶中有限的角色,但其未包含 API 呼叫的必要權限。
- 由於安全性考量或組織原則,訂用帳戶擁有者或系統管理員已限制使用者的角色。
- 使用者的角色最近已變更,而且新角色不會授與必要的權限。
方案選項
- 驗證和更新存取權限:確保使用者具有適當的訂用帳戶層級存取權,包括 API 呼叫 (Microsoft.Storage/storageAccounts/listAccountSas/action) 的必要權限。 如有需要,請要求訂用帳戶擁有者或系統管理員授與必要的存取權限。
- 向擁有者或系統管理員要求協助:如果上述解決方案不可行,請考量要求訂用帳戶擁有者或系統管理員代表您上傳資料檔案。 這種方法可協助將數據匯入 Azure AI Foundry,而不需要 使用者 訂用帳戶層級存取或公用存取 Blob 記憶體。