Szerepalapú hozzáférés-szabályozás az Azure OpenAI szolgáltatáshoz
Az Azure OpenAI szolgáltatás támogatja az Azure szerepköralapú hozzáférés-vezérlését (Azure RBAC), amely az Azure-erőforrásokhoz való egyéni hozzáférés kezelésére szolgáló engedélyezési rendszer. Az Azure RBAC használatával különböző szintű engedélyeket rendelhet hozzá a csapattagokhoz az adott projekthez tartozó igényeik alapján. További információkért tekintse meg az Azure RBAC dokumentációját.
Az Azure RBAC hozzárendelhető egy Azure OpenAI-erőforráshoz. Az Azure-erőforrásokhoz való hozzáférés biztosításához szerepkör-hozzárendelést kell hozzáadnia.
Az Azure Portalon keresse meg az Azure OpenAI-t.
Válassza ki az Azure OpenAI-t, és keresse meg az adott erőforrást.
Megjegyzés
Az Azure RBAC-t teljes erőforráscsoportokhoz, előfizetésekhez vagy felügyeleti csoportokhoz is beállíthatja. Ehhez válassza ki a kívánt hatókörszintet, majd navigáljon a kívánt elemre. Például válassza ki az Erőforráscsoportokat , majd navigáljon egy adott erőforráscsoportra.
A bal oldali navigációs panelen válassza a Hozzáférés-vezérlés (IAM) lehetőséget.
Válassza a Hozzáadás, majd a Szerepkör-hozzárendelés hozzáadása lehetőséget.
A következő képernyőn a Szerepkör lapon válassza ki a hozzáadni kívánt szerepkört.
A Tagok lapon válasszon ki egy felhasználót, csoportot, szolgáltatásnevet vagy felügyelt identitást.
A szerepkör hozzárendeléséhez a Felülvizsgálat + hozzárendelés lapon válassza a Felülvizsgálat + hozzárendelés lehetőséget.
A cél néhány percen belül hozzárendeli a kijelölt szerepkört a kijelölt hatókörhöz. A lépésekkel kapcsolatos segítségért tekintse meg az Azure-szerepkörök hozzárendelése az Azure Portalon című témakört.
- Cognitive Services OpenAI-felhasználó
- Cognitive Services OpenAI-közreműködő
- Cognitive Services-közreműködő
- Cognitive Services használati adatok olvasója
Megjegyzés
Az előfizetési szintű tulajdonosi és közreműködői szerepkörök öröklődnek, és elsőbbséget élveznek az erőforráscsoport szintjén alkalmazott egyéni Azure OpenAI-szerepkörök felett.
Ez a szakasz azokat a gyakori feladatokat ismerteti, amelyeket a különböző fiókok és fiókkombinációk képesek elvégezni az Azure OpenAI-erőforrások esetében. Az elérhető műveletek és DataActions teljes listájának megtekintéséhez az Azure OpenAI-erőforrásból kap egy egyéni szerepkört a Hozzáférés-vezérlés (IAM)>Roles (Details>) (Részletek) oszlopban a Nézet lehetőséget választva. Alapértelmezés szerint a Műveletek radiális gomb van kiválasztva. A szerepkörhöz rendelt képességek teljes hatókörének megértéséhez meg kell vizsgálnia az Actions és a DataActions műveletet is.
Ha egy felhasználó csak ehhez a szerepkörhöz kapott szerepköralapú hozzáférést egy Azure OpenAI-erőforráshoz, a következő gyakori feladatokat végezheti el:
✅Az erőforrás megtekintése az Azure Portalon
✅Az erőforrásvégpont megtekintése a Kulcsok és végpont területen
✅ Az erőforrás és a kapcsolódó modelltelepítések megtekintése az Azure AI Foundry portálon.
✅ Az Azure AI Foundry portálon megtekintheti az üzembe helyezéshez elérhető modelleket.
✅ A Csevegés, a Befejezések és a DALL-E (előzetes verzió) játszótéri felülettel szövegeket és képeket hozhat létre az Azure OpenAI-erőforrásban már üzembe helyezett modellekkel.
✅ Következtetési API-hívások indítása a Microsoft Entra-azonosítóval.
Egy felhasználó, aki csak ezt a szerepkört rendelte, nem tudja:
❌ Új Azure OpenAI-erőforrások létrehozása
❌Kulcsok megtekintése/másolása/újragenerálása a Kulcsok és végpont területen
❌ Új modelltelepítések létrehozása vagy meglévő modelltelepítések szerkesztése
❌ Egyéni finomhangolt modellek létrehozása/üzembe helyezése
❌ Adatkészletek feltöltése finomhangoláshoz
❌ Tárolt befejezési adatok megtekintése, lekérdezése, szűrése
❌ Hozzáférési kvóta
❌ Testreszabott tartalomszűrők létrehozása
❌ Adatforrás hozzáadása az adatfunkció használatához
Ez a szerepkör rendelkezik a Cognitive Services OpenAI-felhasználó összes engedélyével, és további feladatok elvégzésére is képes, például:
✅ Egyéni finomhangolt modellek létrehozása
✅ Adatkészletek feltöltése finomhangoláshoz
✅ Tárolt befejezési adatok megtekintése, lekérdezése, szűrése
✅ Új modelltelepítések létrehozása vagy meglévő modelltelepítések szerkesztése [2023. ősz hozzáadva]
✅ Adatforrások hozzáadása az Azure OpenAI on Your Data szolgáltatáshoz.
A Cognitive Services közreműködői szerepkörével is rendelkeznie kell.
Egy felhasználó, aki csak ezt a szerepkört rendelte, nem tudja:
❌ Új Azure OpenAI-erőforrások létrehozása
❌Kulcsok megtekintése/másolása/újragenerálása a Kulcsok és végpont területen
❌ Hozzáférési kvóta
❌ Testreszabott tartalomszűrők létrehozása
❌ Adatforrás hozzáadása az Azure OpenAI-hoz az adatokon
Ezt a szerepkört általában az erőforráscsoport szintjén kapják meg a felhasználók, további szerepkörökkel együtt. Ez a szerepkör önmagában lehetővé tenné a felhasználó számára a következő feladatok elvégzését.
✅ Hozzon létre új Azure OpenAI-erőforrásokat a hozzárendelt erőforráscsoporton belül.
✅ Erőforrások megtekintése a hozzárendelt erőforráscsoportban az Azure Portalon.
✅Az erőforrásvégpont megtekintése a Kulcsok és végpont területen
✅Kulcsok megtekintése/másolása/újragenerálása a Kulcsok és végpont területen
✅ Az Üzembe helyezéshez elérhető modellek megtekintése az Azure AI Foundry portálon
✅ A Csevegés, a Befejezések és a DALL-E (előzetes verzió) játszótéri felület használatával szövegeket és képeket hozhat létre az Azure OpenAI-erőforrásban már üzembe helyezett modellekkel
✅ Testreszabott tartalomszűrők létrehozása
✅ Adatforrások hozzáadása az Azure OpenAI on Your Data szolgáltatáshoz.
A Cognitive Services OpenAI közreműködői szerepkörével is rendelkeznie kell.
✅ Új modelltelepítések létrehozása vagy meglévő modelltelepítések szerkesztése (API-n keresztül)
✅ Egyéni finomhangolt modellek létrehozása [Hozzáadva: 2023. ősz]
✅ Adatkészletek feltöltése a finomhangoláshoz [2023 őszén hozzáadva]
✅ Új modelltelepítések létrehozása vagy meglévő modelltelepítések szerkesztése (az Azure AI Foundry használatával) [Hozzáadva: 2023. ősz]
✅ Tárolt befejezési adatok megtekintése, lekérdezése, szűrése
Egy felhasználó, aki csak ezt a szerepkört rendelte, nem tudja:
❌ Hozzáférési kvóta
❌ Következtetési API-hívások indítása a Microsoft Entra-azonosítóval.
A kvóta megtekintéséhez a Cognitive Services Használati adatok olvasó szerepköre szükséges. Ez a szerepkör biztosítja az Azure-előfizetések kvótahasználatának megtekintéséhez szükséges minimális hozzáférést.
Ez a szerepkör az Azure Portal Előfizetések> *Hozzáférés-vezérlés (IAM)>Szerepkör-hozzárendelési> keresés hozzáadása a Cognitive Services Használati adatok olvasója területén található. A szerepkört az előfizetés szintjén kell alkalmazni, az erőforrás szintjén nem létezik.
Ha nem szeretné használni ezt a szerepkört, az előfizetés-olvasó szerepkör egyenértékű hozzáférést biztosít, de olvasási hozzáférést is biztosít a kvóta megtekintéséhez szükséges hatókörön túl. Az Azure AI Foundry portálon keresztüli modelltelepítés részben függ ennek a szerepkörnek a jelenlététől is.
Ez a szerepkör önmagában kevés értéket biztosít, és általában egy vagy több korábban leírt szerepkörrel együtt van hozzárendelve.
A Cognitive Services OpenAI-felhasználó összes képessége, valamint a következő lehetőségek:
✅ Kvótafoglalások megtekintése az Azure AI Foundry portálon
A Cognitive Services OpenAI-közreműködő összes képessége, valamint a következő lehetőségek:
✅ Kvótafoglalások megtekintése az Azure AI Foundry portálon
A Cognitive Services-közreműködő összes képessége, valamint a következő lehetőségek:
✅ Kvótafoglalások megtekintése és szerkesztése az Azure AI Foundry portálon
✅ Új modelltelepítések létrehozása vagy meglévő modelltelepítések szerkesztése (az Azure AI Foundry használatával)
| Engedélyek | Cognitive Services OpenAI-felhasználó | Cognitive Services OpenAI-közreműködő | Cognitive Services-közreműködő | Cognitive Services használati adatok olvasója |
|---|---|---|---|---|
| Az erőforrás megtekintése az Azure Portalon | ✅ | ✅ | ✅ | ➖ |
| Az erőforrásvégpont megtekintése a "Kulcsok és végpont" területen | ✅ | ✅ | ✅ | ➖ |
| Az erőforrás és a kapcsolódó modelltelepítések megtekintése az Azure AI Foundry portálon | ✅ | ✅ | ✅ | ➖ |
| Az Üzembe helyezéshez elérhető modellek megtekintése az Azure AI Foundry portálon | ✅ | ✅ | ✅ | ➖ |
| Használja a Csevegés, a Befejezések és a DALL-E (előzetes verzió) játszótéri felületét az Azure OpenAI-erőforrásban már üzembe helyezett modellekkel. | ✅ | ✅ | ✅ | ➖ |
| Modelltelepítések létrehozása vagy szerkesztése | ❌ | ✅ | ✅ | ➖ |
| Egyéni finomhangolt modellek létrehozása vagy üzembe helyezése | ❌ | ✅ | ✅ | ➖ |
| Adatkészletek feltöltése finomhangoláshoz | ❌ | ✅ | ✅ | ➖ |
| Tárolt competions-adatok megtekintése, lekérdezése, szűrése | ❌ | ✅ | ✅ | ➖ |
| Új Azure OpenAI-erőforrások létrehozása | ❌ | ❌ | ✅ | ➖ |
| Kulcsok megtekintése/másolása/újragenerálása a "Kulcsok és végpont" területen | ❌ | ❌ | ✅ | ➖ |
| Testreszabott tartalomszűrők létrehozása | ❌ | ❌ | ✅ | ➖ |
| Adatforrás hozzáadása az "adatokon" funkcióhoz | ❌ | ❌ | ✅ | ➖ |
| Hozzáférési kvóta | ❌ | ❌ | ❌ | ✅ |
| Következtetési API-hívások indítása a Microsoft Entra-azonosítóval | ✅ | ✅ | ❌ | ➖ |
Issue:
Meglévő Azure Cognitive Search-erőforrás kiválasztásakor a keresési indexek nem töltődnek be, és a terhelési kerék folyamatosan pörög. Az Azure AI Foundry portálon nyissa meg a Playground Chat>Add your data (preview) (előzetes verzió) lehetőséget az Asszisztens beállítása alatt. Az Adatforrás hozzáadása lehetőséget választva megnyílik egy modális, amely lehetővé teszi adatforrás hozzáadását az Azure Cognitive Search vagy a Blob Storage használatával. Az Azure Cognitive Search lehetőség és egy meglévő Azure Cognitive Search-erőforrás kiválasztásakor be kell töltenie a választható Azure Cognitive Search-indexeket.
Kiváltó ok
Általános API-hívás indításához az Azure Cognitive Search szolgáltatás listázásához a következő hívás történik:
https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Search/searchServices?api-version=2021-04-01-Preview
Cserélje le a(z) {subscriptionId} elemet a tényleges előfizetés-azonosítóra.
Ehhez az API-híváshoz előfizetésszintű hatóköri szerepkörre van szükség. Az Olvasó szerepkört írásvédett hozzáféréshez vagy a Közreműködő szerepkört használhatja írásvédett hozzáféréshez. Ha csak az Azure Cognitive Search szolgáltatás kell hozzáférnie, használhatja az Azure Cognitive Search Szolgáltatás közreműködői vagy az Azure Cognitive Search Szolgáltatásolvasó szerepköreit.
Megoldási lehetőségek
Lépjen kapcsolatba az előfizetés rendszergazdájával vagy tulajdonosával: Lépjen kapcsolatba az Azure-előfizetést kezelő személlyel, és kérje a megfelelő hozzáférést. Ismertesse a követelményeket és a szükséges szerepkört (például Olvasó, Közreműködő, Azure Cognitive Search Szolgáltatás közreműködője vagy Azure Cognitive Search Szolgáltatásolvasó).
Előfizetési szintű vagy erőforráscsoportszintű hozzáférés kérése: Ha adott erőforrásokhoz szeretne hozzáférni, kérje meg az előfizetés tulajdonosát, hogy a megfelelő szinten (előfizetés vagy erőforráscsoport) adjon hozzáférést. Így anélkül hajthatja végre a szükséges feladatokat, hogy nem rendelkezik hozzáféréssel a nem kapcsolódó erőforrásokhoz.
API-kulcsok használata az Azure Cognitive Searchhez: Ha csak az Azure Cognitive Search szolgáltatás kell használnia, kérheti a rendszergazdai kulcsokat vagy a lekérdezési kulcsokat az előfizetés tulajdonosától. Ezek a kulcsok lehetővé teszik api-hívások közvetlen indítását a keresési szolgáltatásba anélkül, hogy Azure RBAC-szerepkörre van szüksége. Ne feledje, hogy az API-kulcsok használata megkerüli az Azure RBAC hozzáférés-vezérlését, ezért körültekintően használja őket, és kövesse a biztonsági ajánlott eljárásokat.
Hibajelenség: Az Azure AI Foundry használatával nem lehet hozzáférni az adatfunkció tárterületéhez.
Kiváltó ok:
Nincs elegendő előfizetési szintű hozzáférés ahhoz a felhasználóhoz, aki megkísérli elérni a blobtárolót az Azure AI Foundry portálon. Előfordulhat, hogy a felhasználó nem rendelkezik az Azure Management API-végpont meghívásához szükséges engedélyekkel: https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{accountName}/listAccountSas?api-version=2022-09-01
A blobtárolóhoz való nyilvános hozzáférést az Azure-előfizetés tulajdonosa biztonsági okokból letiltja.
Az API-híváshoz szükséges engedélyek: **Microsoft.Storage/storageAccounts/listAccountSas/action:** Ez az engedély lehetővé teszi, hogy a felhasználó listázhassa a megadott tárfiók megosztott hozzáférésű jogosultságkódjainak (SAS) jogkivonatait.
Lehetséges okok, amelyek miatt a felhasználó nem rendelkezik engedélyekkel:
- A felhasználó korlátozott szerepkörrel rendelkezik az Azure-előfizetésben, amely nem tartalmazza az API-híváshoz szükséges engedélyeket.
- A felhasználó szerepkörét biztonsági aggályok vagy szervezeti szabályzatok miatt az előfizetés tulajdonosa vagy a rendszergazda korlátozta.
- A felhasználó szerepköre nemrég módosult, és az új szerepkör nem adja meg a szükséges engedélyeket.
Megoldási lehetőségek
- Hozzáférési jogosultságok ellenőrzése és frissítése: Győződjön meg arról, hogy a felhasználó rendelkezik a megfelelő előfizetési szintű hozzáféréssel, beleértve az API-híváshoz szükséges engedélyeket (Microsoft.Storage/storageAccounts/listAccountSas/action). Ha szükséges, kérje meg az előfizetés tulajdonosát vagy rendszergazdáját, hogy adja meg a szükséges hozzáférési jogosultságokat.
- Kérjen segítséget a tulajdonostól vagy a rendszergazdától: Ha a fenti megoldás nem megvalósítható, kérje meg az előfizetés tulajdonosát vagy rendszergazdáját, hogy töltse fel az adatfájlokat az Ön nevében. Ez a módszer segíthet importálni az adatokat az Azure AI Foundrybe anélkül , hogy a felhasználó előfizetési szintű hozzáférést vagy nyilvános hozzáférést igényel a blobtárolóhoz.
- További információ az Azure-szerepköralapú hozzáférés-vezérlésről (Azure RBAC).
- Az Azure-szerepkörök hozzárendelését az Azure Portalon is megtekintheti.