Azure AI Foundry 모델에서 Azure OpenAI에 대한 역할 기반 액세스 제어

Azure OpenAI는 Azure 리소스에 대한 개별 액세스를 관리하기 위한 권한 부여 시스템인 Azure RBAC(Azure 역할 기반 액세스 제어)를 지원합니다. Azure RBAC를 사용하여 지정된 프로젝트에 대한 요구 사항에 따라 서로 다른 수준의 권한을 다른 팀 구성원에게 할당합니다. 자세한 내용은 Azure RBAC 설명서를 참조하세요.

Azure OpenAI 리소스에 역할 할당 추가

Azure RBAC는 Azure OpenAI 리소스에 할당할 수 있습니다. Azure 리소스에 대한 액세스 권한을 부여하려면 역할 할당을 추가합니다.

1. In the Azure portal, search for Azure OpenAI.

2. Select Azure OpenAI, and navigate to your specific resource.

   Note

   또한 전체 리소스 그룹, 구독 또는 관리 그룹에 대해 Azure RBAC를 설정할 수 있습니다. 원하는 범위 수준을 선택한 다음, 원하는 항목으로 이동하여 이 작업을 수행합니다. For example, selecting Resource groups and then navigating to a specific resource group.

3. 왼쪽 창에서 액세스 제어(IAM) 를 선택합니다.

4. Select Add, then select Add role assignment.

5. On the Role tab on the next screen, select a role you want to add.

6. On the Members tab, select a user, group, service principal, or managed identity.

7. 검토 + 할당 탭에서 검토 + 할당을 선택하여 역할을 할당합니다.

몇 분 이내에 선택한 범위에서 선택한 역할이 대상에 할당됩니다. 이 단계에 대한 도움말은 Azure Portal을 사용하여 Azure 역할 할당을 참조하세요.

Azure OpenAI 역할

• Cognitive Services OpenAI 사용자
• Cognitive Services OpenAI 기여자
• Cognitive Services 기여자
• Cognitive Services Usages 독자

이 섹션에서는 다양한 계정 및 계정 조합이 Azure OpenAI 리소스에 대해 수행할 수 있는 일반적인 작업에 대해 설명합니다. To view the full list of available Actions and DataActions, an individual role is granted from your Azure OpenAI resource go Access control (IAM)>Roles> Under the Details column for the role you're interested in select View. By default the Actions radial button is selected. You need to examine both Actions and DataActions to understand the full scope of capabilities assigned to a role.

인지 서비스 OpenAI 사용자

사용자에게 Azure OpenAI 리소스에 대해서만 이 역할에 대한 역할 기반 액세스 권한이 부여된 경우 다음과 같은 일반적인 작업을 수행할 수 있습니다.

✅ View the resource in Azure portal
✅ 키 및 엔드포인트에서 리소스 엔드포인트 보기
✅Azure AI Foundry 포털에서 리소스 및 관련 모델 배포를 볼 수 있는 기능입니다.
✅Azure AI Foundry 포털에서 배포에 사용할 수 있는 모델을 볼 수 있습니다.
✅ Chat, Completions 및 DALL-E(미리 보기) 플레이그라운드 환경을 사용하여 이 Azure OpenAI 리소스에 이미 배포된 모델로 텍스트와 이미지를 생성하세요.
✅ Microsoft Entra ID를 사용하여 유추 API 호출을 만듭니다.

이 역할만 할당된 사용자는 다음을 수행할 수 없습니다.

❌ 새로운 Azure OpenAI 리소스 만들기
❌ 키 및 엔드포인트에서 키 보기/복사/다시 생성
❌ 새 모델 배포 생성 또는 기존 모델 배포 수정
❌ 사용자 지정 미세 조정 모델 생성/배포
❌ 미세 조정을 위한 데이터 세트 업로드
❌ 저장된 완료 데이터 보기, 쿼리, 필터링
❌ 액세스 할당량
❌ 사용자 지정된 콘텐츠 필터 만들기

Cognitive Services OpenAI 기여자

이 역할에는 Cognitive Services OpenAI 사용자의 모든 권한이 있으며 다음과 같은 추가 작업을 수행할 수도 있습니다.

✅ 사용자 지정 미세 조정 모델 만들기
✅ 미세 조정을 위한 데이터 세트 업로드
✅ 저장된 완료 데이터 보기, 쿼리, 필터링
✅ 새 모델 배포 만들기 또는 기존 모델 배포 편집 [2023년 가을에 추가됨]
✅ Assistants API에 대한 액세스 권한 부여
✅ Azure OpenAI On Your Data에 데이터 원본을 추가합니다.

이 역할만 할당된 사용자는 다음을 수행할 수 없습니다.

❌ 새로운 Azure OpenAI 리소스 만들기
❌ 키 및 엔드포인트에서 키 보기/복사/다시 생성
❌ 액세스 할당량
❌ 사용자 지정 콘텐츠 필터 만들기

Cognitive Services 기여자

이 역할은 일반적으로 추가 역할과 함께 사용자의 리소스 그룹 수준에서 액세스 권한을 부여합니다. 그 자체로 이 역할을 통해 사용자는 다음 작업을 수행할 수 있습니다.

✅ 할당된 리소스 그룹 내에 새 Azure OpenAI 리소스를 만듭니다.
✅ View resources in the assigned resource group in the Azure portal.
✅ 키 및 엔드포인트에서 리소스 엔드포인트 보기
✅ 키 및 엔드포인트에서 키 보기/복사/다시 생성
✅Azure AI Foundry 포털에서 배포에 사용할 수 있는 모델을 보는 기능
✅ Chat, Completions 및 DALL-E(미리 보기) 플레이그라운드 환경을 사용하여 이 Azure OpenAI 리소스에 이미 배포된 모델로 텍스트와 이미지를 생성하세요.
✅ 사용자 지정 콘텐츠 필터 만들기
✅ Azure OpenAI On Your Data에 데이터 원본을 추가합니다.
✅ 새 모델 배포 생성 또는 기존 모델 배포 수정(API를 통해)
✅ 사용자 지정 미세 조정 모델 만들기 [2023년 가을에 추가됨]
✅ 미세 조정을 위한 데이터 세트 업로드 [2023년 가을에 추가됨]
✅ 새 모델 배포 만들기 또는 기존 모델 배포 편집(Azure AI 파운드리를 통해) [2023년 가을에 추가됨]
✅ 저장된 완료 데이터 보기, 쿼리, 필터링

이 역할만 할당된 사용자는 다음을 수행할 수 없습니다.

❌ 액세스 할당량
❌ Microsoft Entra ID를 사용하여 유추 API 호출을 만듭니다.

Cognitive Services 사용량 읽기 권한자

할당량을 보려면 Cognitive Services 사용량 읽기 권한자 역할이 필요합니다. 이 역할은 Azure 구독 전체의 할당량 사용량을 보는 데 필요한 최소한의 액세스 권한을 제공합니다.

This role can be found in the Azure portal under Subscriptions> *Access control (IAM)>Add role assignment> search for Cognitive Services Usages Reader. 역할은 구독 수준에서 적용해야 하며 리소스 수준에는 없습니다.

If you don't wish to use this role, the subscription Reader role provides equivalent access, but it also grants read access beyond the scope of what is needed for viewing quota. Azure AI Foundry 포털을 통한 모델 배포도 이 역할의 존재에 부분적으로 종속됩니다.

이 역할은 그 자체로 작은 값을 제공하며 일반적으로 이전에 설명한 역할 중 하나 이상과 함께 할당됩니다.

Cognitive Services 사용량 읽기 권한자 + Cognitive Services OpenAI 사용자

Cognitive Services OpenAI User의 모든 기능과 다음을 수행할 수 있는 기능:

✅Azure AI Foundry 포털에서 할당량 할당 보기

Cognitive Services 사용량 읽기 권한자 + Cognitive Services OpenAI 기여자

Cognitive Services OpenAI 기여자의 모든 기능과 다음을 수행할 수 있는 기능

✅Azure AI Foundry 포털에서 할당량 할당 보기

Cognitive Services 사용량 읽기 권한자 + Cognitive Services 기여자

Cognitive Services 기여자의 모든 기능과 다음을 수행할 수 있는 기능

✅Azure AI Foundry 포털에서 할당량 할당 보기 및 편집
✅ 새 모델 배포 만들기 또는 기존 모델 배포 편집(Azure AI 파운드리를 통해)

Summary

Common Issues

Azure AI 파운드리 포털에서 Azure Cognitive Search 옵션을 볼 수 없음

Issue:

기존 Azure Cognitive Search 리소스를 선택하면 검색 인덱스가 로드되지 않고 로드 휠이 계속 회전합니다. Azure AI Foundry 포털에서 길잡이 설정에서 플레이그라운드 채팅>데이터 추가(미리 보기)로 이동합니다. 데이터 원본 추가를 선택하면 Azure Cognitive Search 또는 Blob Storage를 통해 데이터 원본을 추가할 수 있는 모달이 열립니다. Azure Cognitive Search 옵션과 기존 Azure Cognitive Search 리소스를 선택하면 선택할 수 있는 Azure Cognitive Search 인덱스가 로드됩니다.

Root cause

Azure Cognitive Search 서비스를 나열하기 위한 일반 API 호출을 수행하려면 다음 호출이 수행됩니다.

https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Search/searchServices?api-version=2021-04-01-Preview

{subscriptionId}를 실제 구독 ID로 바꾸세요.

For this API call, you need a subscription-level scope role. You can use the Reader role for read-only access or the Contributor role for read-write access. Azure Cognitive Search 서비스에만 액세스해야 하는 경우에는 Azure Cognitive Search 서비스 기여자 또는 Azure Cognitive Search 서비스 읽기 권한자 역할을 사용할 수 있습니다.

Solution options

• 구독 관리자 또는 소유자에게 문의: Azure 구독을 관리하는 사람에게 연락하여 적절한 액세스를 요청합니다. 요구 사항 및 필요한 특정 역할(예: 읽기 권한자, 기여자, Azure Cognitive Search Service 기여자 또는 Azure Cognitive Search Service 읽기 권한자)을 설명합니다.

• 구독 수준 또는 리소스 그룹 수준 액세스 요청: 특정 리소스에 액세스해야 하는 경우 구독 소유자에게 적절한 수준(구독 또는 리소스 그룹)에서 액세스 권한을 부여하도록 요청합니다. 이렇게 하면 관련 없는 리소스에 액세스하지 않고도 필요한 작업을 수행할 수 있습니다.

• Azure Cognitive Search API 키 사용: Azure Cognitive Search Search와만 상호 작용해야 하는 경우 구독 소유자로부터 관리 키 또는 쿼리 키를 요청할 수 있습니다. 이러한 키를 사용하면 Azure RBAC 역할 없이 검색 서비스에 직접 API를 호출할 수 있습니다. Keep in mind that using API keys will bypass the Azure RBAC access control, so use them cautiously and follow security best practices.

데이터에 대한 Azure AI Foundry 포털에서 파일을 업로드할 수 없음

Symptom: Unable to access storage for the on your data feature using Azure AI Foundry.

Root cause:

Azure AI Foundry 포털에서 Blob Storage에 액세스하려는 사용자의 구독 수준 액세스가 부족합니다. The user may not have the necessary permissions to call the Azure Management API endpoint: https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{accountName}/listAccountSas?api-version=2022-09-01

보안상의 이유로 Azure 구독 소유자가 Blob 스토리지에 대한 공용 액세스를 사용하지 않도록 설정합니다.

API 호출에 필요한 권한: **Microsoft.Storage/storageAccounts/listAccountSas/action:** 이 권한을 통해 사용자는 지정된 스토리지 계정에 대한 SAS(공유 액세스 서명) 토큰을 나열할 수 있습니다.

Possible reasons why the user may not have permissions:

• 사용자에게 API 호출에 필요한 권한을 포함하지 않는 제한된 역할이 Azure 구독에 할당됩니다.
• 보안 문제 또는 조직 정책으로 인해 구독 소유자 또는 관리자가 사용자의 역할을 제한했습니다.
• 사용자의 역할이 최근에 변경되었으며 새 역할에 필요한 권한이 부여되지 않습니다.

Solution options

• 액세스 권한 확인 및 업데이트: 사용자에게 API 호출에 필요한 권한(Microsoft.Storage/storageAccounts/listAccountSas/action)을 포함하여 적절한 구독 수준 액세스 권한이 있는지 확인합니다. 필요한 경우 구독 소유자 또는 관리자에게 필요한 액세스 권한을 부여하도록 요청합니다.
• 소유자 또는 관리자의 지원 요청: 위의 솔루션이 불가능한 경우 구독 소유자 또는 관리자에게 사용자 대신 데이터 파일을 업로드하도록 요청하는 것이 좋습니다. This approach can help import the data into Azure AI Foundry without user requiring subscription-level access or public access to the blob storage.

Next steps

• Azure OpenAI 보안 구성 요소 시작
• Azure RBAC(Azure 역할 기반 액세스 제어)에 대해 자세히 알아보세요.
• 또한 Azure portal을 사용하여 Azure 역할 할당도 확인해 보세요.