僅適用於:
Foundry(經典)入口。 本文尚未在新的 Foundry 入口網站提供。
了解更多關於新入口網站的資訊。
Azure OpenAI 支援角色為基礎的存取控制(Azure RBAC),這是一套用於管理個別對 Azure 資源存取的授權系統。 使用 Azure RBAC,你可以根據不同團隊成員對特定 project 的需求,分配不同層級的權限。 欲了解更多資訊,請參閱Azure RBAC文件。
將角色分配新增到一個 Azure OpenAI 資源
Azure RBAC 可以分配到 Azure OpenAI 資源。 要賦予Azure資源的存取權限,你需要新增角色指派。
在 Azure portal 中,搜尋 Azure OpenAI。
選擇 Azure OpenAI,然後導覽到你所指定的資源。
備註
你也可以為整個資源群組、訂閱或管理群組設定 Azure RBAC。 若要這麼做,請選取所需的範圍層級,然後瀏覽至所需的項目。 例如,選取 [資源群組],然後瀏覽至特定的資源群組。
在左側窗格選擇 Access control (IAM)。
選取 新增,然後選取 新增角色分配。
在下一個畫面的 [角色] 索引標籤上,選取您要新增的角色。
在 [成員] 索引標籤中,選取使用者、群組、服務主體或受控識別。
在 [檢閱 + 指派] 索引標籤上,選取 [檢閱 + 指派] 以指派角色。
只要幾分鐘,目標就會獲指派選取範圍中的選取角色。 如需這些步驟的協助,請參見 使用 Azure 入口網站指派 Azure 角色。
Azure OpenAI 角色
- 認知服務 OpenAI 使用者
- 認知服務 OpenAI 參與者
- 認知服務參與者
- 認知服務使用量讀取者
備註
訂閱層級擁有者及貢獻者角色會繼承,並優先於資源群組層級套用的自訂Azure OpenAI角色。
本節涵蓋不同帳號及帳號組合對 Azure OpenAI 資源能執行的常見任務。 要查看完整的可用Actions 和 DataActions,請從你的 Azure OpenAI 資源中已授予的個人角色列表中前往 Access control(IAM)>Roles>。在你感興趣的角色的Details欄中,選擇 檢視。 預設是選擇 動作 環形按鈕。 你需要同時檢視 動作 與 資料行動 ,以了解分配給角色的完整能力範圍。
認知服務 OpenAI 使用者
如果使用者僅被授予 Azure OpenAI 資源的基於角色的訪問權限,他們將能執行以下常見任務:
✅ 在 Azure portal 查看資源
✅ 在 [金鑰和端點] 底下檢視資源端點
✅ 可在 Microsoft Foundry 入口網站中查看資源及相關模型部署。
✅ 可在 Foundry 入口網站查看哪些模型可供部署。
✅ 使用聊天、自動完成及 DALL-E(預覽)遊樂場體驗,來生成任何已部署於此 Azure OpenAI 資源的模型所產生的文字與圖片。
✅ 用 Microsoft Entra ID 進行推論 API 呼叫。
只有獲指派此角色的使用者無法:
❌ 建立新的 Azure OpenAI 資源
❌ 在 [金鑰和端點] 底下檢視/複製/重新產生金鑰
❌ 建立新的模型部署或編輯現有的模型部署
❌ 建立/部署自訂微調模型
❌ 上傳資料集以進行微調
❌ 檢視、查詢、篩選預存完成資料
❌ 存取配額
❌ 建立客製化護欄
認知服務 OpenAI 參與者
此角色具有認知服務 OpenAI 使用者的所有權限,也能夠執行其他工作,例如:
✅ 建立自訂微調模型
✅ 上傳資料集以進行微調
✅ 檢視、查詢、篩選預存完成資料
✅ 建立新的模型部署或編輯現有的模型部署 [已於 2023 年秋天新增]
✅ 授予助理 API 的存取權限
✅ 將資料來源新增至 Azure OpenAI 的『On Your Data』功能。
只有獲指派此角色的使用者無法:
❌ 建立新的 Azure OpenAI 資源
❌ 在 [金鑰和端點] 底下檢視/複製/重新產生金鑰
❌ 存取配額
❌ 建立客製化護欄
認知服務參與者
此角色通常在資源群組層級授予使用者存取權限,並結合其他角色一起使用。 此角色本身可讓使用者執行下列工作。
✅ 在指定的資源群組內建立新的 Azure OpenAI 資源。
✅ 在 [金鑰和端點] 底下檢視資源端點
✅ 在 [金鑰和端點] 底下檢視/複製/重新產生金鑰
✅ 查看哪些模型可以在 Foundry 門戶 中部署的能力
✅ 利用聊天、完成和 DALL-E(預覽)平台體驗,生成已部署至此 Azure OpenAI 資源的模型所需的文字與圖片。
✅ 建立客製化護欄
✅ 將資料來源新增至 Azure OpenAI 的『On Your Data』功能。
✅ 建立新的模型部署或編輯現有的模型部署 (透過 API)
✅ 建立自訂微調模型 [已於 2023 年秋天新增]
✅ 上傳資料集以進行微調 [已於 2023 年秋天新增]
✅ 建立新模型部署或編輯現有模型部署(透過 Foundry) [新增於 2023 年秋季]
✅ 檢視、查詢、篩選預存完成資料
只有獲指派此角色的使用者無法:
❌ 存取配額
❌ 用 Microsoft Entra ID 進行推論 API 呼叫。
認知服務使用方式讀取器
檢視配額需要認知服務使用量讀取者角色。 此職務提供最低限度的 access 權限,以檢視 Azure 訂閱的配額使用情況。
在Azure portal中,您可以在訂閱> *訪問控制(IAM)>添加角色分配>中搜尋認知服務使用情況讀取者。 角色必須在訂用帳戶層級套用,它不存在於資源層級。
如果你不想使用這個角色,訂閱Reader角色提供等效的存取權,但它也授予超出觀看配額所需範圍的閱讀權限。 透過 Foundry 入口網站部署模型也部分依賴此角色的存在。
此角色本身提供少量價值,但通常會與一或多個先前描述的角色結合來指派。
認知服務使用量讀取者 + 認知服務 OpenAI 使用者
認知服務 OpenAI 使用者的所有功能,以及下列功能:
✅ 在Foundry門戶網站中查看配額分配
認知服務使用量讀取者 + 認知服務 OpenAI 參與者
認知服務 OpenAI 參與者的所有功能,以及下列功能:
✅ 在Foundry門戶網站中查看配額分配
認知服務使用量讀取者 + 認知服務參與者
認知服務參與者的所有功能,以及下列功能:
✅ 檢視與編輯 Foundry portal 中的配額分配
✅ 建立新的模型部署或編輯現有的模型部署(透過 Foundry)
總結
| 權限 | 認知服務 OpenAI 使用者 | 認知服務 OpenAI 參與者 | 認知服務參與者 | 認知服務使用方式讀取器 |
|---|---|---|---|---|
| 在 Azure 入口網站查看資源 | ✅ | ✅ | ✅ | ➖ |
| 在 [金鑰和端點] 底下檢視資源端點 | ✅ | ✅ | ✅ | ➖ |
| 在Foundry portal中查看資源及相關的模型部署 | ✅ | ✅ | ✅ | ➖ |
| 查看在Foundry 門戶中可部署的模型 | ✅ | ✅ | ✅ | ➖ |
| 您可以使用已部署在此 Azure OpenAI 資源上的任何模型,來體驗聊天、完成功能和 DALL-E(預覽)遊樂場的各種功能。 | ✅ | ✅ | ✅ | ➖ |
| 建立及編輯模型部署 | ❌ | ✅ | ✅ | ➖ |
| 建立或部署自訂微調模型 | ❌ | ✅ | ✅ | ➖ |
| 上傳資料集以進行微調 | ❌ | ✅ | ✅ | ➖ |
| 檢視、查詢、篩選儲存完成資料 | ❌ | ✅ | ✅ | ➖ |
| 建立新的 Azure OpenAI 資源 | ❌ | ❌ | ✅ | ➖ |
| 在 [金鑰和端點] 底下檢視/複製/重新產生金鑰 | ❌ | ❌ | ✅ | ➖ |
| 建立客製化護欄 | ❌ | ❌ | ✅ | ➖ |
| 為「你的資料」功能添加資料來源 | ✅ | ✅ | ✅ | ➖ |
| 存取配額 | ❌ | ❌ | ❌ | ✅ |
| 使用 Microsoft Entra ID 進行推論 API 呼叫 | ✅ | ✅ | ❌ | ➖ |
常見問題
無法在 Foundry 入口網站中查看 Azure Cognitive Search 選項
問題:
當選擇現有的 Azure Cognitive Search 資源時,搜尋索引無法載入,載入輪會持續旋轉。 在 Foundry 入口網站中,於助理設定下,前往 Playground Chat,>加入你的資料(預覽)。 選擇 新增資料來源會開啟一個模式,讓你可以透過 Azure Cognitive Search 或 Blob Storage 新增資料來源。 選擇 Azure Cognitive Search 選項及現有的 Azure Cognitive Search 資源後,應該會載入可用的 Azure Cognitive Search 索引以供選擇。
根本原因
若要建立一個通用的 API 呼叫來列出 Azure Cognitive Search 服務,請進行以下呼叫:
https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Search/searchServices?api-version=2021-04-01-Preview
以您的實際訂用帳戶識別碼取代 {subscriptionId}。
針對此 API 呼叫,您需要訂用帳戶層級範圍角色。 你可以使用 Reader 角色取得唯讀權限,或使用 Contributor 角色取得讀寫權限。 如果你只需要存取 Azure Cognitive Search 服務的權限,可以使用 Azure Cognitive Search Service Contributor 或 Azure Cognitive Search Service Reader 角色。
解決方案選項
聯絡你的訂閱管理員或擁有者:聯絡 Azure 訂閱管理員或擁有者,請求適當的存取權限。 說明你的需求以及你需要的具體角色(例如,Reader、Contributor、Azure Cognitive Search Service Contributor,或 Azure Cognitive Search Service Reader)。
請求訂閱層級或資源群組層級的存取權限:如果你需要特定資源的存取權限,請訂閱擁有者在適當的層級(訂閱或資源群組)授予你存取權限。 這讓你能在不需要接觸無關資源的情況下完成所需任務。
使用 API 金鑰來使用 Azure Cognitive Search:如果你只需要與 Azure Cognitive Search 服務互動,你可以向訂閱擁有者申請管理員金鑰或查詢金鑰。 這些金鑰讓你能直接對 search service 進行 API 呼叫,無需 Azure RBAC 角色。 請記住,使用 API 金鑰會bypassAzure RBAC access control,因此請謹慎使用並遵守安全最佳實務。
無法根據自有資料在 Foundry 入口網站中上傳檔案
症狀:無法使用 Foundry 存取 "在您的資料上" 功能的儲存空間。
根本原因:
使用者嘗試存取Foundry 入口網站中的 blob 儲存時,其訂閱層級權限不足。 使用者可能不具備呼叫Azure管理API端點的必要權限:https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{accountName}/listAccountSas?api-version=2022-09-01
Azure 訂閱者因安全考量已停用 Blob儲存體的公共存取。
API 呼叫所需的權限:Microsoft.Storage/storageAccounts/listAccountSas/action:此權限允許使用者列出指定storage帳號的共享Access簽名(SAS)標記。
使用者 可能沒有 權限的原因:
- 使用者在 Azure 訂閱中被分配有限的角色,該角色不包含 API 呼叫所需的權限。
- 由於安全性考量或組織原則,訂用帳戶擁有者或系統管理員已限制使用者的角色。
- 使用者的角色最近已變更,而且新角色未授與必要的權限。
解決方案選項
- 驗證並更新訪問權限:確保使用者擁有適當的訂閱層級訪問權限,包括進行 API 呼叫所需的權限(Microsoft.Storage/storageAccounts/listAccountSas/action)。 如有需要,請請求訂閱擁有者或管理員授予必要的access權限。
- 向擁有者或系統管理員要求協助:如果上述解決方案不可行,請考量要求訂用帳戶擁有者或系統管理員代表您上傳資料檔案。 此方法可協助把資料匯入 Foundry,user無需擁有訂閱層級的訪問權限或公開訪問權限至 Blob 儲存。