Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Azure OpenAI stöder rollbaserad åtkomstkontroll i Azure (Azure RBAC), ett auktoriseringssystem för att hantera individuell åtkomst till Azure-resurser. Med Hjälp av Azure RBAC tilldelar du olika teammedlemmar olika behörighetsnivåer baserat på deras behov för ett visst projekt. Mer information finns i Azure RBAC-dokumentationen.
Lägga till rolltilldelning till en Azure OpenAI-resurs
Azure RBAC kan tilldelas till en Azure OpenAI-resurs. Om du vill bevilja åtkomst till en Azure-resurs lägger du till en rolltilldelning.
In the Azure portal, search for Azure OpenAI.
Select Azure OpenAI, and navigate to your specific resource.
Note
Du kan också konfigurera Azure RBAC för hela resursgrupper, prenumerationer eller hanteringsgrupper. Gör detta genom att välja önskad omfångsnivå och sedan navigera till önskat objekt. For example, selecting Resource groups and then navigating to a specific resource group.
Välj Åtkomstkontroll (IAM) i det vänstra fönstret.
Select Add, then select Add role assignment.
On the Role tab on the next screen, select a role you want to add.
On the Members tab, select a user, group, service principal, or managed identity.
På fliken Granska + tilldela väljer du Granska + tilldela för att tilldela rollen.
Inom några minuter tilldelas målet den valda rollen i det valda omfånget. Hjälp med de här stegen finns i Tilldela Azure-roller med hjälp av Azure Portal.
Azure OpenAI-rollerna
- Cognitive Services OpenAI-användare
- Cognitive Services OpenAI-deltagare
- Cognitive Services-bidragsgivare
- Kognitiva tjänsters användningsläsare
Note
Subscription level Owner and Contributor roles are inherited and take priority over the custom Azure OpenAI roles applied at the Resource Group level.
Det här avsnittet beskriver vanliga uppgifter som olika konton och kombinationer av konton kan utföra för Azure OpenAI-resurser. To view the full list of available Actions and DataActions, an individual role is granted from your Azure OpenAI resource go Access control (IAM)>Roles> Under the Details column for the role you're interested in select View. By default the Actions radial button is selected. You need to examine both Actions and DataActions to understand the full scope of capabilities assigned to a role.
Cognitive Services OpenAI-användare
Om en användare endast har beviljats rollbaserad åtkomst till den här rollen för en Azure OpenAI-resurs skulle de kunna utföra följande vanliga uppgifter:
✅ View the resource in Azure portal
✅ Visa resursslutpunkten under Nycklar och slutpunkt
✅ Möjlighet att visa resurs- och associerade modelldistributioner i Azure AI Foundry-portalen.
✅ Möjlighet att visa vilka modeller som är tillgängliga för distribution i Azure AI Foundry-portalen.
✅ Använd verktygen Chatt, Slutföranden och DALL-E (förhandsversion) för att generera text och bilder med alla modeller som redan har implementerats på denna Azure OpenAI-resurs.
✅ Gör api-anrop för slutsatsdragning med Microsoft Entra-ID.
En användare med endast den här rollen tilldelad kan inte:
❌ Skapa nya Azure OpenAI-resurser
❌ Visa/kopiera/återskapa nycklar under Nycklar och slutpunkt
❌ Skapa nya modelldistributioner eller redigera befintliga modelldistributioner
❌ Skapa/distribuera anpassade finjusterade modeller
❌ Ladda upp datauppsättningar för finjustering
❌ Visa, fråga, filtrera lagrade slutförandedata
❌ Åtkomstkvot
❌ Skapa anpassade innehållsfilter
Cognitive Services OpenAI-deltagare
Den här rollen har alla behörigheter för Cognitive Services OpenAI-användare och kan även utföra ytterligare uppgifter som:
✅ Skapa anpassade finjusterade modeller
✅ Ladda upp datauppsättningar för finjustering
✅ Visa, fråga, filtrera lagrade slutförandedata
✅ Skapa nya modelldistributioner eller redigera befintliga modelldistributioner [Tillagd hösten 2023]
✅ Bevilja åtkomst till ASSISTENT-API:et
✅ Lägg till datakällor i Azure OpenAI på dina data.
En användare med endast den här rollen tilldelad kan inte:
❌ Skapa nya Azure OpenAI-resurser
❌ Visa/kopiera/återskapa nycklar under Nycklar och slutpunkt
❌ Åtkomstkvot
❌ Skapa anpassade innehållsfilter
Cognitive Services-bidragsgivare
Den här rollen beviljas vanligtvis åtkomst på resursgruppsnivå för en användare tillsammans med ytterligare roller. Den här rollen gör det möjligt för en användare att utföra följande uppgifter.
✅ Skapa nya Azure OpenAI-resurser i den tilldelade resursgruppen.
✅ View resources in the assigned resource group in the Azure portal.
✅ Visa resursslutpunkten under Nycklar och slutpunkt
✅ Visa/kopiera/återskapa nycklar under Nycklar och slutpunkt
✅ Möjlighet att visa vilka modeller som är tillgängliga för distribution i Azure AI Foundry-portalen
✅ Använd chatt-, slutförande- och DALL-E (förhandsversion) -upplevelser för att generera text och bilder med modeller som redan har distribuerats till den här Azure OpenAI-resursen
✅ Skapa anpassade innehållsfilter
✅ Lägg till datakällor i Azure OpenAI på dina data.
✅ Skapa nya modelldistributioner eller redigera befintliga modelldistributioner (via API)
✅ Skapa anpassade finjusterade modeller [Tillagd hösten 2023]
✅ Ladda upp datauppsättningar för finjustering [Tillagd hösten 2023]
✅ Skapa nya modelldistributioner eller redigera befintliga modelldistributioner (via Azure AI Foundry) [Tillagd hösten 2023]
✅ Visa, fråga, filtrera lagrade slutförandedata
En användare med endast den här rollen tilldelad kan inte:
❌ Åtkomstkvot
❌ Gör api-anrop för slutsatsdragning med Microsoft Entra-ID.
Läsare av användningar för kognitiva tjänster
Visningskvoten kräver rollen Cognitive Services Usages Reader . Den här rollen ger den minimala åtkomst som krävs för att visa kvotanvändning i en Azure-prenumeration.
This role can be found in the Azure portal under Subscriptions> *Access control (IAM)>Add role assignment> search for Cognitive Services Usages Reader. Rollen måste tillämpas på prenumerationsnivå, den finns inte på resursnivå.
If you don't wish to use this role, the subscription Reader role provides equivalent access, but it also grants read access beyond the scope of what is needed for viewing quota. Modelldistribution via Azure AI Foundry-portalen är också delvis beroende av förekomsten av den här rollen.
Den här rollen ger lite värde i sig själv och tilldelas i stället vanligtvis i kombination med en eller flera av de tidigare beskrivna rollerna.
Kognitiva tjänster användarläsare + Kognitiva tjänster OpenAI-användare
Alla funktioner i Cognitive Services OpenAI User och därtill kunna:
✅ Visa kvotfördelningar i Azure AI Foundry-portalen
Cognitive Services Usages Reader + Cognitive Services OpenAI-deltagare
Alla funktioner i OpenAI-bidragsgivare av Cognitive Services samt möjligheten att:
✅ Visa kvotfördelningar i Azure AI Foundry-portalen
Cognitive Services användningsläsare + Cognitive Services-deltagare
Alla funktioner i Cognitive Services Contributor plus möjligheten att:
✅ Visa och redigera kvotallokeringar i Azure AI Foundry-portalen
✅ Skapa nya modelldistributioner eller redigera befintliga modelldistributioner (via Azure AI Foundry)
Summary
| Permissions | Cognitive Services OpenAI-användare | Cognitive Services OpenAI-deltagare | Cognitive Services-bidragsgivare | Läsare av användningar för kognitiva tjänster |
|---|---|---|---|---|
| Visa resursen i Azure Portal | ✅ | ✅ | ✅ | ➖ |
| Visa resursslutpunkten under "Nycklar och slutpunkt" | ✅ | ✅ | ✅ | ➖ |
| Visa resurs- och associerade modelldistributioner i Azure AI Foundry-portalen | ✅ | ✅ | ✅ | ➖ |
| Visa vilka modeller som är tillgängliga för distribution i Azure AI Foundry-portalen | ✅ | ✅ | ✅ | ➖ |
| Använd lekupplevelserna Chat, Completions och DALL-E (förhandsversion) med alla modeller som redan har distribuerats till den här Azure OpenAI-resursen. | ✅ | ✅ | ✅ | ➖ |
| Skapa eller redigera modellinstallationer | ❌ | ✅ | ✅ | ➖ |
| Skapa eller distribuera anpassade finjusterade modeller | ❌ | ✅ | ✅ | ➖ |
| Ladda upp datauppsättningar för finjustering | ❌ | ✅ | ✅ | ➖ |
| Visa, fråga, filtrera lagrade competions-data | ❌ | ✅ | ✅ | ➖ |
| Skapa nya Azure OpenAI-resurser | ❌ | ❌ | ✅ | ➖ |
| Visa/kopiera/återskapa nycklar under "Nycklar och slutpunkt" | ❌ | ❌ | ✅ | ➖ |
| Skapa anpassade innehållsfilter | ❌ | ❌ | ✅ | ➖ |
| Lägg till en datakälla för funktionen "på dina data" | ✅ | ✅ | ✅ | ➖ |
| Access quota | ❌ | ❌ | ❌ | ✅ |
| Göra slutsatsdragnings-API-anrop med Microsoft Entra-ID | ✅ | ✅ | ❌ | ➖ |
Common Issues
Det går inte att visa azure cognitive search-alternativet i Azure AI Foundry-portalen
Issue:
När du väljer en befintlig Azure Cognitive Search-resurs läses inte sökindexen in och inläsningshjulet snurrar kontinuerligt. I Azure AI Foundry-portalen går du till Playground Chat>Lägg till dina data (förhandsversion) under Assistentkonfiguration. Om du väljer Lägg till en datakälla öppnas en modal som gör att du kan lägga till en datakälla via antingen Azure Cognitive Search eller Blob Storage. Om du väljer alternativet Azure Cognitive Search och en befintlig Azure Cognitive Search-resurs, ska de tillgängliga sökindexen i Azure Cognitive Search laddas in för att väljas bland.
Root cause
För att göra ett allmänt API-anrop för att lista tjänster för Azure Cognitive Search görs följande anrop:
https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Search/searchServices?api-version=2021-04-01-Preview
Ersätt {subscriptionId} med ditt faktiska prenumerations-ID.
For this API call, you need a subscription-level scope role. You can use the Reader role for read-only access or the Contributor role for read-write access. Om du bara behöver åtkomst till Azure Cognitive Search-tjänster, kan du använda rollerna Azure Cognitive Search Service-deltagare eller Azure Cognitive Search Service-läsare.
Solution options
Kontakta prenumerationsadministratören eller ägaren: Kontakta den person som hanterar din Azure-prenumeration och begär lämplig åtkomst. Förklara dina krav och den specifika roll du behöver (till exempel Läsare, Deltagare, Azure Cognitive Search Service-deltagare eller Azure Cognitive Search Service Reader).
Begär åtkomst på prenumerationsnivå eller resursgruppsnivå: Om du behöver åtkomst till specifika resurser ber du prenumerationsägaren att ge dig åtkomst på lämplig nivå (prenumeration eller resursgrupp). På så sätt kan du utföra de uppgifter som krävs utan att ha åtkomst till orelaterade resurser.
Använd API-nycklar för Azure Cognitive Search: Om du bara behöver interagera med Azure Cognitive tjänsten Search kan du begära administratörsnycklarna eller frågenycklarna från prenumerationsägaren. Med de här nycklarna kan du göra API-anrop direkt till söktjänsten utan att behöva en Azure RBAC-roll. Keep in mind that using API keys will bypass the Azure RBAC access control, so use them cautiously and follow security best practices.
Det går inte att ladda upp filer i Azure AI Foundry-portalen för dina data
Symptom: Unable to access storage for the on your data feature using Azure AI Foundry.
Root cause:
Otillräcklig åtkomst på prenumerationsnivå för den användare som försöker komma åt bloblagringen i Azure AI Foundry-portalen. The user may not have the necessary permissions to call the Azure Management API endpoint: https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{accountName}/listAccountSas?api-version=2022-09-01
Offentlig åtkomst till blobblagringen inaktiveras av säkerhetsskäl av ägaren till Azure-prenumerationen.
Behörigheter som krävs för API-anropet: **Microsoft.Storage/storageAccounts/listAccountSas/action:** Med den här behörigheten kan användaren visa en lista över SAS-token (Signatur för delad åtkomst) för det angivna lagringskontot.
Possible reasons why the user may not have permissions:
- Användaren tilldelas en begränsad roll i Azure-prenumerationen, som inte innehåller de behörigheter som krävs för API-anropet.
- Användarens roll har begränsats av prenumerationsägaren eller administratören beroende på säkerhetsproblem eller organisationsprinciper.
- Användarens roll har nyligen ändrats och den nya rollen beviljar inte de behörigheter som krävs.
Solution options
- Verifiera och uppdatera åtkomsträttigheter: Kontrollera att användaren har rätt åtkomst på prenumerationsnivå, inklusive nödvändiga behörigheter för API-anropet (Microsoft.Storage/storageAccounts/listAccountSas/action). Om det behövs ber du prenumerationsägaren eller administratören att bevilja nödvändiga åtkomsträttigheter.
- Begär hjälp från ägaren eller administratören: Om lösningen ovan inte är möjlig kan du be prenumerationsägaren eller administratören att ladda upp datafilerna åt dig. This approach can help import the data into Azure AI Foundry without user requiring subscription-level access or public access to the blob storage.