Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O Azure OpenAI dá suporte ao controle de acesso baseado em função do Azure (Azure RBAC), um sistema de autorização para gerenciar o acesso individual aos recursos do Azure. Usando o RBAC do Azure, você atribui diferentes membros da equipe diferentes níveis de permissões com base em suas necessidades para um determinado projeto. Para obter mais informações, consulte a documentação do RBAC do Azure.
Adicionar atribuição de função a um recurso do Azure OpenAI
O RBAC do Azure pode ser atribuído a um recurso do Azure OpenAI. Para conceder acesso a um recurso do Azure, adicione uma atribuição de função.
In the Azure portal, search for Azure OpenAI.
Select Azure OpenAI, and navigate to your specific resource.
Note
Você também pode configurar o RBAC do Azure para grupos de recursos inteiros, assinaturas ou grupos de gerenciamento. Faça isso selecionando o nível de escopo desejado e, em seguida, navegando até o item desejado. For example, selecting Resource groups and then navigating to a specific resource group.
Selecione Controle de acesso (IAM) no painel esquerdo.
Select Add, then select Add role assignment.
On the Role tab on the next screen, select a role you want to add.
On the Members tab, select a user, group, service principal, or managed identity.
Na guia Revisão + atribuir, selecione Revisão + atribuir para atribuir a função.
Dentro de alguns minutos, o alvo receberá a função selecionada no âmbito selecionado. Para obter ajuda com essas etapas, consulte Atribuir funções do Azure usando o portal do Azure.
Funções do Azure OpenAI
- Utilizador OpenAI dos Serviços Cognitivos
- Função de Contribuidor dos Serviços Cognitivos
- Colaborador de Serviços Cognitivos
- Leitor de Usos de Serviços Cognitivos
Note
Subscription level Owner and Contributor roles are inherited and take priority over the custom Azure OpenAI roles applied at the Resource Group level.
Esta seção aborda tarefas comuns que diferentes contas e combinações de contas podem executar para recursos do Azure OpenAI. To view the full list of available Actions and DataActions, an individual role is granted from your Azure OpenAI resource go Access control (IAM)>Roles> Under the Details column for the role you're interested in select View. By default the Actions radial button is selected. You need to examine both Actions and DataActions to understand the full scope of capabilities assigned to a role.
Utilizador dos Serviços Cognitivos OpenAI
Se um usuário recebesse acesso baseado em função somente a essa função para um recurso do Azure OpenAI, ele seria capaz de executar as seguintes tarefas comuns:
✅ View the resource in Azure portal
✅ Exibir o ponto de extremidade do recurso em Chaves e Ponto de Extremidade
✅ Capacidade de exibir o recurso e as implantações de modelo associadas no portal do Azure AI Foundry.
✅ Capacidade de exibir quais modelos estão disponíveis para implantação no portal do Azure AI Foundry.
✅ Use as experiências de playground Bate-papo, Conclusão e DALL-E (visualização) para gerar texto e imagens com quaisquer modelos que já tenham sido implantados neste recurso do Azure OpenAI.
✅ Faça chamadas de API de inferência com o Microsoft Entra ID.
Um usuário com apenas essa função atribuída não poderá:
❌ Criar novos recursos do Azure OpenAI
❌ Exibir/Copiar/Regenerar chaves em Chaves e Ponto Final
❌ Criar novas implantações de modelo ou editar implantações de modelo existentes
❌ Criar/implantar modelos personalizados ajustados
❌ Carregar conjuntos de dados para ajuste fino
❌ Exibir, consultar, filtrar Dados de conclusão armazenados
❌ Quota de acesso
❌ Criar filtros de conteúdo personalizados
Contribuidor dos Serviços Cognitivos OpenAI
Esta função tem todas as permissões do Usuário OpenAI de Serviços Cognitivos e também é capaz de executar tarefas adicionais como:
✅ Crie modelos personalizados e ajustados
✅ Carregar conjuntos de dados para ajuste fino
✅ Exibir, consultar, filtrar Dados de conclusão armazenados
✅ Criar novas implantações de modelo ou editar implantações de modelo existentes [Adicionado outono de 2023]
✅ Conceder acesso à API de Assistentes
✅ Adicione fontes de dados ao Azure OpenAI On Your Data.
Um usuário com apenas essa função atribuída não poderá:
❌ Criar novos recursos do Azure OpenAI
❌ Exibir/Copiar/Regenerar chaves em Chaves e Ponto Final
❌ Quota de acesso
❌ Criar filtros de conteúdo personalizados
Colaborador de Serviços Cognitivos
Essa função geralmente recebe acesso no nível do grupo de recursos para um usuário em conjunto com funções adicionais. Por si só, essa função permitiria que um usuário executasse as seguintes tarefas.
✅ Crie novos recursos do Azure OpenAI dentro do grupo de recursos atribuído.
✅ View resources in the assigned resource group in the Azure portal.
✅ Exibir o ponto de extremidade do recurso em Chaves e Ponto de Extremidade
✅ Exibir/Copiar/Regenerar chaves em Chaves e Ponto Final
✅ Capacidade de exibir quais modelos estão disponíveis para implantação no portal do Azure AI Foundry
✅ Use as experiências de playground Chat, Concluídações e DALL-E (visualização) para gerar texto e imagens com quaisquer modelos que já tenham sido implantados neste recurso do Azure OpenAI
✅ Criar filtros de conteúdo personalizados
✅ Adicione fontes de dados ao Azure OpenAI On Your Data.
✅ Criar novas implantações de modelo ou editar implantações de modelo existentes (via API)
✅ Criar modelos personalizados ajustados [Adicionado outono de 2023]
✅ Carregar conjuntos de dados para ajuste fino [Adicionado outono de 2023]
✅ Criar novas implantações de modelo ou editar implantações de modelo existentes (por meio do Azure AI Foundry) [Adicionado no outono de 2023]
✅ Exibir, consultar, filtrar Dados de conclusão armazenados
Um usuário com apenas essa função atribuída não poderá:
❌ Quota de acesso
❌ Faça chamadas de API de inferência com o Microsoft Entra ID.
Visualizador de Utilizações de Serviços Cognitivos
A quota de visualização requer a função Leitor de Utilizações dos Serviços Cognitivos . Essa função fornece o acesso mínimo necessário para exibir o uso da cota em uma assinatura do Azure.
This role can be found in the Azure portal under Subscriptions> *Access control (IAM)>Add role assignment> search for Cognitive Services Usages Reader. A função deve ser aplicada no nível de assinatura, não existe no nível de recurso.
If you don't wish to use this role, the subscription Reader role provides equivalent access, but it also grants read access beyond the scope of what is needed for viewing quota. A implantação do modelo por meio do portal do Azure AI Foundry também depende parcialmente da presença dessa função.
Essa função fornece pouco valor por si só e, em vez disso, normalmente é atribuída em combinação com uma ou mais das funções descritas anteriormente.
Serviços Cognitivos Usos Leitor + Serviços Cognitivos OpenAI Usuário
Todas as capacidades do Cognitive Services OpenAI User mais a capacidade de:
✅ Exibir alocações de cota no portal do Azure AI Foundry
Leitor de Usos de Serviços Cognitivos + Contribuidor de Serviços Cognitivos OpenAI
Todas as capacidades do Cognitive Services OpenAI Contributor mais a capacidade de:
✅ Exibir alocações de cota no portal do Azure AI Foundry
Leitor de Usos de Serviços Cognitivos + Colaborador de Serviços Cognitivos
Todas as capacidades do Colaborador de Serviços Cognitivos mais a capacidade de:
✅ Exibir & editar alocações de cota no portal do Azure AI Foundry
✅ Criar novas implantações de modelo ou editar implantações de modelo existentes (por meio do Azure AI Foundry)
Summary
| Permissions | Utilizador dos Serviços Cognitivos OpenAI | Contribuidor dos Serviços Cognitivos OpenAI | Colaborador de Serviços Cognitivos | Visualizador de Utilizações de Serviços Cognitivos |
|---|---|---|---|---|
| Exibir o recurso no portal do Azure | ✅ | ✅ | ✅ | ➖ |
| Visualize o ponto de extremidade do recurso em "Chaves e ponto de extremidade" | ✅ | ✅ | ✅ | ➖ |
| Exibir o recurso e as implantações de modelo associadas no portal do Azure AI Foundry | ✅ | ✅ | ✅ | ➖ |
| Exibir quais modelos estão disponíveis para implantação no portal do Azure AI Foundry | ✅ | ✅ | ✅ | ➖ |
| Use as experiências de playground de Bate-papo, Conclusão e DALL-E (visualização) com quaisquer modelos que já tenham sido implantados neste recurso do Azure OpenAI. | ✅ | ✅ | ✅ | ➖ |
| Criar ou editar implantações de modelo | ❌ | ✅ | ✅ | ➖ |
| Criar ou implantar modelos personalizados ajustados | ❌ | ✅ | ✅ | ➖ |
| Carregar conjuntos de dados para ajuste fino | ❌ | ✅ | ✅ | ➖ |
| Ver, consultar, filtrar Dados de competição armazenados | ❌ | ✅ | ✅ | ➖ |
| Criar novos recursos do Azure OpenAI | ❌ | ❌ | ✅ | ➖ |
| Ver/Copiar/Regenerar chaves em "Chaves e Ponto de Extremidade" | ❌ | ❌ | ✅ | ➖ |
| Criar filtros de conteúdo personalizados | ❌ | ❌ | ✅ | ➖ |
| Adicione uma fonte de dados para a funcionalidade "nos seus dados" | ✅ | ✅ | ✅ | ➖ |
| Access quota | ❌ | ❌ | ❌ | ✅ |
| Fazer chamadas de API de inferência com o Microsoft Entra ID | ✅ | ✅ | ❌ | ➖ |
Common Issues
Não é possível exibir a opção Pesquisa Cognitiva do Azure no portal do Azure AI Foundry
Issue:
Ao selecionar um recurso existente da Pesquisa Cognitiva do Azure, os índices de pesquisa não carregam e a roda de carregamento gira continuamente. No portal do Azure AI Foundry, vá para Playground Chat>Adicione seus dados (visualização) em Configuração do Assistente. Selecionar Adicionar uma fonte de dados abre um modal que permite adicionar uma fonte de dados por meio da Pesquisa Cognitiva do Azure ou do Armazenamento de Blob. Selecionar a opção Pesquisa Cognitiva do Azure e um recurso existente da Pesquisa Cognitiva do Azure deve carregar os índices disponíveis da Pesquisa Cognitiva do Azure para selecionar.
Root cause
Para fazer uma chamada de API genérica para listar serviços de Pesquisa Cognitiva do Azure, a seguinte chamada é feita:
https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Search/searchServices?api-version=2021-04-01-Preview
Substitua {subscriptionId} pelo seu ID de subscrição real.
For this API call, you need a subscription-level scope role. You can use the Reader role for read-only access or the Contributor role for read-write access. Se precisar apenas de acesso aos serviços de Pesquisa Cognitiva do Azure, pode utilizar as funções de Colaborador do Serviço de Pesquisa Cognitiva do Azure ou de Leitor do Serviço de Pesquisa Cognitiva do Azure.
Solution options
Entre em contato com o administrador ou proprietário da assinatura: entre em contato com a pessoa que gerencia sua assinatura do Azure e solicite o acesso apropriado. Explique seus requisitos e a função específica de que você precisa (por exemplo, Leitor, Colaborador, Colaborador do Serviço de Pesquisa Cognitiva do Azure ou Leitor do Serviço de Pesquisa Cognitiva do Azure).
Solicitar acesso no nível da assinatura ou no nível do grupo de recursos: se você precisar de acesso a recursos específicos, peça ao proprietário da assinatura para conceder acesso no nível apropriado (assinatura ou grupo de recursos). Isso permite que você execute as tarefas necessárias sem ter acesso a recursos não relacionados.
Usar chaves de API para a Pesquisa Cognitiva do Azure: se você só precisar interagir com o serviço de Pesquisa Cognitiva do Azure, poderá solicitar as chaves de administrador ou as chaves de consulta do proprietário da assinatura. Essas chaves permitem que você faça chamadas de API diretamente para o serviço de pesquisa sem precisar de uma função RBAC do Azure. Keep in mind that using API keys will bypass the Azure RBAC access control, so use them cautiously and follow security best practices.
Não é possível carregar ficheiros no portal do Azure AI Foundry para os seus dados
Symptom: Unable to access storage for the on your data feature using Azure AI Foundry.
Root cause:
Acesso insuficiente no nível de assinatura para o usuário que tenta acessar o armazenamento de blob no portal do Azure AI Foundry. The user may not have the necessary permissions to call the Azure Management API endpoint: https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{accountName}/listAccountSas?api-version=2022-09-01
O acesso público ao armazenamento de blobs é desativado pelo proprietário da subscrição do Azure por razões de segurança.
Permissões necessárias para a chamada de API: **Microsoft.Storage/storageAccounts/listAccountSas/action:** essa permissão permite que o usuário liste os tokens SAS (Assinatura de Acesso Compartilhado) para a conta de armazenamento especificada.
Possible reasons why the user may not have permissions:
- O usuário recebe uma função limitada na assinatura do Azure, que não inclui as permissões necessárias para a chamada de API.
- A função do utilizador foi restringida pelo proprietário ou administrador da subscrição devido a preocupações de segurança ou políticas organizacionais.
- A função do usuário foi alterada recentemente e a nova função não concede as permissões necessárias.
Solution options
- Verificar e atualizar os direitos de acesso: verifique se o usuário tem o acesso apropriado no nível de assinatura, incluindo as permissões necessárias para a chamada de API (Microsoft.Storage/storageAccounts/listAccountSas/action). Se necessário, solicite ao proprietário ou administrador da assinatura que conceda os direitos de acesso necessários.
- Solicite assistência do proprietário ou administrador: Se a solução acima não for viável, considere pedir ao proprietário ou administrador da assinatura para carregar os arquivos de dados em seu nome. This approach can help import the data into Azure AI Foundry without user requiring subscription-level access or public access to the blob storage.
Next steps
- Introdução ao bloco de construção de segurança do Azure OpenAI
- Saiba mais sobre o controle de acesso baseado em função do Azure (Azure RBAC).
- Confira tambématribuir funções do Azure usando o portal do Azure.