Azure OpenAI 服務的角色型存取控制
Azure OpenAI 服務支援 Azure 角色型存取控制 (Azure RBAC),一項用於管理 Azure 資源個別存取權的授權系統。 使用 Azure RBAC,您可以根據不同小組成員對特定專案的需求,為其指派不同層級的權限。 如需詳細資訊,請參閱 Azure RBAC 檔。
將角色指派新增至 Azure OpenAI 資源
Azure RBAC 可以指派給 Azure OpenAI 資源。 若要授與 Azure 資源的存取權,您可以新增角色指派。
在 Azure 入口網站中,搜尋 Azure OpenAI。
選取 Azure OpenAI,然後瀏覽至您的特定資源。
注意
您也可以為整個資源群組、訂用帳戶或管理群組設定 Azure RBAC。 若要這麼做,請選取所需的範圍層級,然後瀏覽至所需的項目。 例如,選取 [資源群組],然後瀏覽至特定的資源群組。
在左側瀏覽窗格中,選取 [存取控制 (IAM)]。
選取 [新增],然後選取 [新增角色指派]。
在下一個畫面的 [角色] 索引標籤上,選取您要新增的角色。
在 [成員] 索引標籤中,選取使用者、群組、服務主體或受控識別。
在 [檢閱 + 指派] 索引標籤上,選取 [檢閱 + 指派] 以指派角色。
只要幾分鐘,目標就會獲指派選取範圍中的選取角色。 如需這些步驟的說明,請參閱使用 Azure 入口網站指派 Azure 角色。
Azure OpenAI 角色
- 認知服務 OpenAI 使用者
- 認知服務 OpenAI 參與者
- 認知服務參與者
- 認知服務使用量讀取者
注意
繼承訂用帳戶層級擁有者和參與者角色,並優先於資源群組層級套用的自訂 Azure OpenAI 角色。
本節涵蓋不同帳戶和帳戶組合能夠針對 Azure OpenAI 資源執行的一般工作。 若要檢視可用 Actions 和 DataActions 的完整清單,會從您的 Azure OpenAI 資源授與個別角色,請移至 [存取控制 (IAM)] > [角色]>,在您感興趣的角色下的 [詳細資料] 資料行中,選取 [檢視]。 預設會選取 Actions 選項按鈕。 您必須檢查 Actions 和 DataActions,以了解指派給角色的功能的完整範圍。
認知服務 OpenAI 使用者
如果使用者只獲授與此角色的角色型存取權以取得某 Azure OpenAI 資源,他們就能夠執行下列一般工作:
✅ 在 Azure 入口網站中檢視資源
✅ 在 [金鑰和端點] 底下檢視資源端點
✅ 能夠在 Azure OpenAI Studio 中檢視資源和相關聯的模型部署。
✅ 能夠在 Azure OpenAI Studio 中檢視可供部署的模型。
✅ 使用聊天、完成和 DALL-E (預覽) 遊樂場體驗,以任何已部署至此 Azure OpenAI 資源的模型來產生文字和影像。
✅ 使用 Microsoft Entra ID 進行推斷 API 呼叫。
只有獲指派此角色的使用者無法:
❌ 建立新的 Azure OpenAI 資源
❌ 在 [金鑰和端點] 底下檢視/複製/重新產生金鑰
❌ 建立新的模型部署或編輯現有的模型部署
❌ 建立/部署自定義微調模型
❌ 上傳數據集以進行微調
❌ 存取配額
❌ 建立自定義的內容篩選
❌ 新增資料來源以使用您的資料功能
認知服務 OpenAI 參與者
此角色具有認知服務 OpenAI 使用者的所有權限,也能夠執行其他工作,例如:
✅ 建立自定義微調模型
✅ 上傳數據集以進行微調
✅ 建立新的模型部署或編輯現有的模型部署 [新增 2023 年秋季]
只有獲指派此角色的使用者無法:
❌ 建立新的 Azure OpenAI 資源
❌ 在 [金鑰和端點] 底下檢視/複製/重新產生金鑰
❌ 存取配額
❌ 建立自定義的內容篩選
❌ 新增資料來源以使用您的資料功能
認知服務參與者
此角色通常會在資源群組層級為使用者結合其他角色的存取權授與。 此角色本身可讓使用者執行下列工作。
✅ 在獲指派的資源群組內建立新的 Azure OpenAI 資源。
✅ 在 Azure 入口網站中檢視獲指派資源群組中的資源。
✅ 在 [金鑰和端點] 底下檢視資源端點
✅ 在 [金鑰和端點] 底下檢視/複製/重新產生金鑰
✅ 能夠在 Azure OpenAI Studio 中檢視哪些模型可供部署
✅ 使用聊天、完成和 DALL-E (預覽) 遊樂場體驗來產生已部署至此 Azure OpenAI 資源之任何模型的文字和影像
✅ 建立自定義的內容篩選
✅ 新增數據源以使用您的資料功能
✅ 建立新的模型部署或編輯現有的模型部署(透過 API)
✅ 建立自定義微調模型 [新增 2023 年秋季]
✅ 上傳數據集以進行微調 [新增 2023 年秋季]
✅ 建立新的模型部署或編輯現有的模型部署 (透過 Azure OpenAI Studio) [新增 2023 年秋季]
只有獲指派此角色的使用者無法:
❌ 存取配額
❌ 使用 Microsoft Entra ID 進行推斷 API 呼叫。
認知服務使用量讀取者
檢視配額需要認知服務使用量讀取者角色。 此角色提供檢視 Azure 訂用帳戶中配額使用量所需的最低存取權。
您可以在 Azure 入口網站中 [訂用帳戶] > *[存取控制 (IAM)] > [新增角色指派] > 搜尋認知服務使用量讀取者找到此角色。 角色必須在訂用帳戶層級套用,它不存在於資源層級。
如果您不想使用此角色,訂用帳戶讀取者角色會提供對等的存取權,但也會授與檢視配額所需範圍以外的讀取權限。 透過 Azure OpenAI Studio 的模型部署也部分相依於此角色的存在。
此角色本身提供少量值,但通常會與一或多個先前描述的角色結合來指派。
認知服務使用量讀取者 + 認知服務 OpenAI 使用者
認知服務 OpenAI 使用者的所有功能,以及下列功能:
✅ 在 Azure OpenAI Studio 中檢視配額配置
認知服務使用量讀取者 + 認知服務 OpenAI 參與者
認知服務 OpenAI 參與者的所有功能,以及下列功能:
✅ 在 Azure OpenAI Studio 中檢視配額配置
認知服務使用量讀取者 + 認知服務參與者
認知服務參與者的所有功能,以及下列功能:
✅ 在 Azure OpenAI Studio 中檢視和編輯配額配置
✅ 建立新的模型部署或編輯現有的模型部署(透過 Azure OpenAI Studio)
摘要
| 權限 | 認知服務 OpenAI 使用者 | 認知服務 OpenAI 參與者 | 認知服務參與者 | 認知服務使用量讀取者 |
|---|---|---|---|---|
| 在 Azure 入口網站中檢視資源 | ✅ | ✅ | ✅ | ➖ |
| 在 [金鑰和端點] 下檢視資源端點 | ✅ | ✅ | ✅ | ➖ |
| 在 Azure OpenAI Studio 中檢視資源和相關聯的模型部署 | ✅ | ✅ | ✅ | ➖ |
| 在 Azure OpenAI Studio 中檢視哪些模型可供部署 | ✅ | ✅ | ✅ | ➖ |
| 透過已部署至此 Azure OpenAI 資源的任何模型,使用聊天、完成和 DALL-E (預覽) 遊樂場體驗。 | ✅ | ✅ | ✅ | ➖ |
| 建立或編輯模型部署 | ❌ | ✅ | ✅ | ➖ |
| 建立或部署自定義微調模型 | ❌ | ✅ | ✅ | ➖ |
| 上傳數據集以進行微調 | ❌ | ✅ | ✅ | ➖ |
| 建立新的 Azure OpenAI 資源 | ❌ | ❌ | ✅ | ➖ |
| 在 [金鑰和端點] 底下檢視/複製/重新產生金鑰 | ❌ | ❌ | ✅ | ➖ |
| 建立自定義的內容篩選 | ❌ | ❌ | ✅ | ➖ |
| 為「數據上」功能新增數據源 | ❌ | ❌ | ✅ | ➖ |
| 存取配額 | ❌ | ❌ | ❌ | ✅ |
| 使用 Microsoft Entra ID 進行推斷 API 呼叫 | ✅ | ✅ | ❌ | ➖ |
常見的問題
無法在 Azure OpenAI Studio 中檢視 Azure 認知搜尋選項
問題:
選取現有的 Azure 認知搜尋 資源時,搜尋索引不會載入,而載入輪會持續旋轉。 在 Azure OpenAI Studio 中,移至 [遊樂場聊天] > 在 [助理設定] 底下 [新增您的資料 (預覽)]。 選取 [新增資料來源] 會開啟強制回應,讓您透過Azure 認知搜尋或 Blob 儲存體新增資料來源。 選取 [Azure 認知搜尋] 選項,而現有的 Azure 認知搜尋 資源應該載入可供選取的可用 Azure 認知搜尋 索引。
根本原因
若要對列出 Azure 認知搜尋服務進行泛型 API 呼叫,會進行下列呼叫:
https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Search/searchServices?api-version=2021-04-01-Preview
以您的實際訂用帳戶識別碼取代 {subscriptionId}。
針對此 API 呼叫,您需要訂用帳戶層級範圍角色。 您可以使用讀取者角色進行唯讀存取,或使用參與者角色進行讀寫存取。 如果只需要存取 Azure 認知搜尋服務,您可以使用 Azure 認知搜尋服務參與者或 Azure 認知搜尋服務讀取者角色。
方案選項
請連絡您的訂用帳戶管理員或擁有者:連絡管理您的 Azure 訂用帳戶的人員,並要求適當的存取權。 說明您的需求和您需要的特定角色 (例如,讀取者、參與者、Azure 認知搜尋服務參與者或 Azure 認知搜尋服務讀取者)。
要求訂用帳戶層級或資源群組層級存取:如果您需要特定資源的存取權,請要求訂用帳戶擁有者授與您適當層級的存取權 (訂用帳戶或資源群組)。 這可讓您執行必要的工作,而不需存取不相關的資源。
針對 Azure 認知搜尋使用 API 金鑰:如果您只需要與 Azure 認知搜尋服務互動,可以向訂用帳戶擁有者要求管理金鑰或查詢金鑰。 這些金鑰可讓您直接對搜尋服務進行 API 呼叫,而不需要 Azure RBAC 角色。 請記住,使用 API 金鑰會略過 Azure RBAC 存取控制,因此請僅慎使用,並遵循安全性最佳做法。
無法在 Azure OpenAI Studio 中針對基於自有資料功能上傳檔案
徵兆:無法使用 Azure OpenAI Studio 存取基於自有資料功能的儲存體。
根本原因:
嘗試在 Azure OpenAI Studio 中存取 Blob 儲存體的使用者訂用帳戶層級存取不足。 使用者可能沒有呼叫 Azure 管理 API 端點的必要權限:https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{accountName}/listAccountSas?api-version=2022-09-01
基於安全性考量,Azure 訂用帳戶的擁有者會停用對 Blob 儲存體的公用存取。
API 呼叫所需的權限:**Microsoft.Storage/storageAccounts/listAccountSas/action:** 此權限可讓使用者列出指定儲存體帳戶的共用存取簽章 (SAS) 權杖。
使用者可能沒有權限的可能原因:
- 使用者獲指派 Azure 訂用帳戶中有限的角色,但其未包含 API 呼叫的必要權限。
- 由於安全性考量或組織原則,訂用帳戶擁有者或系統管理員已限制使用者的角色。
- 使用者的角色最近已變更,而且新角色不會授與必要的權限。
方案選項
- 驗證和更新存取權限:確保使用者具有適當的訂用帳戶層級存取權,包括 API 呼叫 (Microsoft.Storage/storageAccounts/listAccountSas/action) 的必要權限。 如有需要,請要求訂用帳戶擁有者或系統管理員授與必要的存取權限。
- 向擁有者或系統管理員要求協助:如果上述解決方案不可行,請考量要求訂用帳戶擁有者或系統管理員代表您上傳資料檔案。 此方法可協助將資料匯入 Azure OpenAI Studio,而 不需要使用者要求訂用帳戶層級的存取權或 Blob 儲存體的公用存取權。