Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Azure OpenAI dá suporte ao RBAC (controle de acesso baseado em função) do Azure, um sistema de autorização para gerenciar o acesso individual aos recursos do Azure. Usando o RBAC do Azure, você atribui diferentes níveis de permissões a diferentes membros da equipe com base em suas necessidades para um determinado projeto. Para obter mais informações, confira a documentação do RBAC do Azure.
Adicionar atribuição de função a um recurso do OpenAI do Azure
O RBAC do Azure pode ser atribuído a um recurso do OpenAI do Azure. Para permitir acesso a um recurso do Azure, você adiciona uma atribuição de função.
In the Azure portal, search for Azure OpenAI.
Select Azure OpenAI, and navigate to your specific resource.
Note
Você também pode configurar o RBAC do Azure para grupos de recursos, assinaturas ou grupos de gerenciamento inteiros. Faça isso por meio da seleção do nível de escopo desejado e, em seguida, navegue até o item desejado. For example, selecting Resource groups and then navigating to a specific resource group.
Selecione controle de acesso (IAM) no painel esquerdo.
Select Add, then select Add role assignment.
On the Role tab on the next screen, select a role you want to add.
On the Members tab, select a user, group, service principal, or managed identity.
Na guia Examinar + atribuir, selecione Examinar + atribuir para atribuir a função.
Em alguns minutos, o destino será atribuído à função selecionada no escopo selecionado. Para obter ajuda com essas etapas, confira Atribuir funções do Azure usando o portal do Azure.
Funções OpenAI do Azure
- Usuário do OpenAI de Serviços Cognitivos
- Colaborador de OpenAI dos Serviços Cognitivos
- Colaborador dos Serviços Cognitivos
- Leitor de Usos dos Serviços Cognitivos
Note
Subscription level Owner and Contributor roles are inherited and take priority over the custom Azure OpenAI roles applied at the Resource Group level.
Esta seção aborda tarefas comuns que diferentes contas e combinações de contas podem executar para recursos do OpenAI do Azure. To view the full list of available Actions and DataActions, an individual role is granted from your Azure OpenAI resource go Access control (IAM)>Roles> Under the Details column for the role you're interested in select View. By default the Actions radial button is selected. You need to examine both Actions and DataActions to understand the full scope of capabilities assigned to a role.
Usuário dos Serviços Cognitivos OpenAI
Se um usuário recebesse acesso baseado em função apenas a essa função para um recurso do OpenAI do Azure, ele seria capaz de executar as seguintes tarefas comuns:
✅ View the resource in Azure portal
✅ Exibir o ponto de extremidade do recurso em Chaves e Ponto de Extremidade
✅ Capacidade de exibir o recurso e as implantações de modelo associadas no portal do Azure AI Foundry.
✅ Capacidade de exibir quais modelos estão disponíveis para implantação no portal do Azure AI Foundry.
✅ Use as experiências de playground Chat, Preenchimentos e DALL-E (versão prévia) para gerar texto e imagens com todos os modelos que já foram implantados neste recurso do OpenAI do Azure.
✅ Faça chamadas à API de inferência com o Microsoft Entra ID.
Um usuário com apenas essa função atribuída não seria capaz de:
❌ Criar novos recursos do OpenAI do Azure
❌ Exibir/Copiar/Regenerar chaves em Chaves e Ponto de Extremidade
❌ Criar novas implantações de modelo ou editar implantações de modelo existentes
❌ Criar/implantar modelos personalizados ajustados
❌ Carregar conjuntos de dados para ajuste fino
❌ Ver, consultar, filtrar dados de preenchimentos armazenados
❌ Acessar cota
❌ Criar filtros de conteúdo personalizados
Colaborador dos Serviços Cognitivos da OpenAI
Essa função tem todas as permissões do Usuário do OpenAI dos Serviços Cognitivos e também é capaz de executar tarefas adicionais como:
✅ Criar modelos personalizados ajustados
✅ Carregar conjuntos de dados para ajuste fino
✅ Ver, consultar, filtrar dados de preenchimentos armazenados
✅ Criar novas implantações de modelo ou editar implantações de modelo existentes [Adicionado na primavera de 2023]
✅ Conceder acesso à API de Assistentes
✅ Adicionar fontes de dados ao OpenAI do Azure em seus dados.
Um usuário com apenas essa função atribuída não seria capaz de:
❌ Criar novos recursos do OpenAI do Azure
❌ Exibir/Copiar/Regenerar chaves em Chaves e Ponto de Extremidade
❌ Acessar cota
❌ Criar filtros de conteúdo personalizados
Colaborador dos Serviços Cognitivos
Normalmente, essa função recebe acesso no nível do grupo de recursos para um usuário em conjunto com funções adicionais. Por si só, essa função permitiria que um usuário executasse as tarefas a seguir.
✅ Criar novos recursos do OpenAI do Azure no grupo de recursos atribuído.
✅ View resources in the assigned resource group in the Azure portal.
✅ Exibir o ponto de extremidade do recurso em Chaves e Ponto de Extremidade
✅ Exibir/Copiar/Regenerar chaves em Chaves e Ponto de Extremidade
✅ Capacidade de exibir quais modelos estão disponíveis para implantação no portal do Azure AI Foundry
✅ Usar as experiências de playground Chat, Preenchimentos e DALL-E (versão prévia) para gerar texto e imagens com todos os modelos que já foram implantados neste recurso do OpenAI do Azure
✅ Criar filtros de conteúdo personalizados
✅ Adicionar fontes de dados ao OpenAI do Azure em seus dados.
✅ Criar novas implantações de modelo ou editar implantações de modelo existentes (por meio da API)
✅ Criar modelos personalizados ajustados [Adicionado na primavera de 2023]
✅ Carregar conjuntos de dados para ajuste fino [Adicionado na primavera de 2023]
✅ Criar implantações de modelo ou editar implantações de modelo existentes (por meio do Azure AI Foundry) [Adicionado no outono de 2023]
✅ Ver, consultar, filtrar dados de preenchimentos armazenados
Um usuário com apenas essa função atribuída não seria capaz de:
❌ Acessar cota
❌ Faça chamadas à API de inferência com o Microsoft Entra ID.
Leitor de Usos dos Serviços Cognitivos
Exibir cotas requer a função Leitor de Usos dos Serviços Cognitivos. Essa função fornece o acesso mínimo necessário para exibir o uso da cota em uma assinatura do Azure.
This role can be found in the Azure portal under Subscriptions> *Access control (IAM)>Add role assignment> search for Cognitive Services Usages Reader. A função deve ser aplicada no nível da assinatura, não existe no nível do recurso.
If you don't wish to use this role, the subscription Reader role provides equivalent access, but it also grants read access beyond the scope of what is needed for viewing quota. A implantação de modelo por meio do portal do Azure AI Foundry também depende parcialmente da presença dessa função.
Essa função fornece pouco valor por si só e normalmente é atribuída em combinação com uma ou mais das funções descritas.
Leitor de Usos dos Serviços Cognitivos + Usuário do OpenAI dos Serviços Cognitivos
Todos os recursos do usuário OpenAI de Serviços Cognitivos, além da capacidade de:
✅ Exibir alocações de cota no portal do Azure AI Foundry
Leitor de Usos dos Serviços Cognitivos + Colaborador do OpenAI dos Serviços Cognitivos
Todos os recursos do Colaborador OpenAI dos Serviços Cognitivos mais a capacidade de:
✅ Exibir alocações de cota no portal do Azure AI Foundry
Leitor de Usos dos Serviços Cognitivos + Colaborador dos Serviços Cognitivos
Todos os recursos do Colaborador dos Serviços Cognitivos mais a capacidade de:
✅ Exibir &editar alocações de cota no portal do Azure AI Foundry
✅ Criar implantações de modelo ou editar implantações de modelo existentes (por meio do Azure AI Foundry)
Summary
| Permissions | Usuário dos Serviços Cognitivos OpenAI | Colaborador dos Serviços Cognitivos da OpenAI | Colaborador dos Serviços Cognitivos | Leitor de Usos dos Serviços Cognitivos |
|---|---|---|---|---|
| Exibir o recurso no portal do Azure | ✅ | ✅ | ✅ | ➖ |
| Exibir o ponto de extremidade do recurso em “Chaves e Ponto de Extremidade” | ✅ | ✅ | ✅ | ➖ |
| Exibir o recurso e as implantações de modelo associadas no portal do Azure AI Foundry | ✅ | ✅ | ✅ | ➖ |
| Exibir quais modelos estão disponíveis para implantação no portal do Azure AI Foundry | ✅ | ✅ | ✅ | ➖ |
| Use as experiências de playground Chat, Completions e DALL-E (visualização) com quaisquer modelos que já tenham sido implantados nesse recurso do Azure OpenAI. | ✅ | ✅ | ✅ | ➖ |
| Criar ou editar implantações de modelos | ❌ | ✅ | ✅ | ➖ |
| Criar ou implantar modelos ajustados personalizados | ❌ | ✅ | ✅ | ➖ |
| Carregar conjuntos de dados para ajuste fino | ❌ | ✅ | ✅ | ➖ |
| Ver, consultar, filtrar dados de preenchimentos armazenados | ❌ | ✅ | ✅ | ➖ |
| Criar novos recursos do OpenAI do Azure | ❌ | ❌ | ✅ | ➖ |
| Exibir/Copiar/Regenerar chaves em “Chaves e Endpoint” | ❌ | ❌ | ✅ | ➖ |
| Criar filtros de conteúdo personalizados | ❌ | ❌ | ✅ | ➖ |
| Adicionar uma fonte de dados para o recurso "nos seus dados" | ✅ | ✅ | ✅ | ➖ |
| Access quota | ❌ | ❌ | ❌ | ✅ |
| Fazer chamadas à API de inferência com o Microsoft Entra ID | ✅ | ✅ | ❌ | ➖ |
Common Issues
Não é possível exibir a opção Azure Cognitive Search no portal do Azure AI Foundry
Issue:
Ao selecionar um recurso do Azure Cognitive Search existente, os índices de pesquisa não serão carregados e pacote wheel de carregamento girará continuamente. No portal do Azure AI Foundry, acesse Playground Chat>Adicionar seus dados (versão prévia) na configuração do Assistente. Selecionar Adicionar uma fonte de dados abre um modal que permite adicionar uma fonte de dados por meio do Azure Cognitive Search ou Armazenamento de Blobs. Selecionar a opção Azure Cognitive Search e um recurso do Azure Cognitive Search existente deve carregar os índices do Azure Cognitive Search disponíveis para seleção.
Root cause
Para fazer uma chamada à API genérica para listar serviços do Azure Cognitive Search, a seguinte chamada é feita:
https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Search/searchServices?api-version=2021-04-01-Preview
Substitua {subscriptionId} pela sua ID da assinatura real.
For this API call, you need a subscription-level scope role. You can use the Reader role for read-only access or the Contributor role for read-write access. Se você precisar apenas de acesso a serviços do Azure Cognitive Search, poderá usar as funções Colaborador do Serviço Azure Cognitive Search ou Leitor de Serviço Azure Cognitive Search.
Solution options
Entre em contato com o administrador ou proprietário da assinatura: entre em contato com a pessoa que gerencia sua assinatura do Azure e solicite o acesso apropriado. Explique seus requisitos a função específica necessária (por exemplo, Leitor, Colaborador, Colaborador do Serviço Azure Cognitive Search ou Leitor de Serviço Azure Cognitive Search).
Solicitar acesso no nível da assinatura ou ao grupo de recursos: se você precisar de acesso a recursos específicos, peça ao proprietário da assinatura para conceder acesso no nível apropriado (assinatura ou grupo de recursos). Isso permite que você execute as tarefas necessárias sem ter acesso a recursos não relacionados.
Usar chaves de API para Azure Cognitive Search: se você só precisar interagir com o serviço Azure Cognitive Search, poderá solicitar as chaves de administração ou chaves de consulta do proprietário da assinatura. Essas chaves permitem que você faça chamadas à API diretamente para o serviço de pesquisa sem precisar de uma função RBAC do Azure. Keep in mind that using API keys will bypass the Azure RBAC access control, so use them cautiously and follow security best practices.
Não é possível carregar arquivos no portal do Azure AI Foundry para seus dados
Symptom: Unable to access storage for the on your data feature using Azure AI Foundry.
Root cause:
Acesso em nível de assinatura insuficiente para o usuário que está tentando acessar o armazenamento de blobs no portal do Azure AI Foundry. The user may not have the necessary permissions to call the Azure Management API endpoint: https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{accountName}/listAccountSas?api-version=2022-09-01
O acesso público ao armazenamento de blobs é desabilitado pelo proprietário da assinatura do Azure por motivos de segurança.
Permissões necessárias para a chamada à API: **Microsoft.Storage/storageAccounts/listAccountSas/action:** essa permissão permite que o usuário liste os tokens SAS (Assinatura de Acesso Compartilhado) para a conta de armazenamento especificada.
Possible reasons why the user may not have permissions:
- O usuário recebe uma função limitada na assinatura do Azure, que não inclui as permissões necessárias para a chamada à API.
- A função do usuário foi restrita pelo proprietário ou administrador da assinatura devido a questões de segurança ou políticas organizacionais.
- A função do usuário foi alterada recentemente e a nova função não concede as permissões necessárias.
Solution options
- Verificar e atualizar os direitos de acesso: certifique-se de que o usuário tem o acesso apropriado no nível da assinatura, incluindo as permissões necessárias para a chamada à API (Microsoft.Storage/storageAccounts/listAccountSas/action). Se necessário, solicite ao proprietário ou administrador da assinatura que conceda os direitos de acesso necessários.
- Solicitar assistência do proprietário ou administrador: se a solução acima não for viável, considere pedir ao proprietário ou administrador da assinatura para carregar os arquivos de dados em seu nome. This approach can help import the data into Azure AI Foundry without user requiring subscription-level access or public access to the blob storage.