共用方式為


Azure OpenAI 服務的角色型存取控制

Azure OpenAI 服務支援 Azure 角色型存取控制 (Azure RBAC),一項用於管理 Azure 資源個別存取權的授權系統。 使用 Azure RBAC,您可以根據不同小組成員對特定專案的需求,為其指派不同層級的權限。 如需詳細資訊,請參閱 Azure RBAC 文件 (機器翻譯)。

將角色指派新增至 Azure OpenAI 資源

Azure RBAC 可以指派給 Azure OpenAI 資源。 若要授與 Azure 資源的存取權,您可以新增角色指派。

  1. Azure 入口網站中,搜尋 Azure OpenAI

  2. 選取 Azure OpenAI,然後瀏覽至您的特定資源。

    注意

    您也可以為整個資源群組、訂用帳戶或管理群組設定 Azure RBAC。 若要這麼做,請選取所需的範圍層級,然後瀏覽至所需的項目。 例如,選取 [資源群組],然後瀏覽至特定的資源群組。

  3. 在左側瀏覽窗格中,選取 [存取控制 (IAM)]

  4. 選取 [新增],然後選取 [新增角色指派]

  5. 在下一個畫面的 [角色] 索引標籤上,選取您要新增的角色。

  6. 在 [成員] 索引標籤中,選取使用者、群組、服務主體或受控識別。

  7. 在 [檢閱 + 指派] 索引標籤上,選取 [檢閱 + 指派] 以指派角色。

只要幾分鐘,目標就會獲指派選取範圍中的選取角色。 如需這些步驟的說明,請參閱使用 Azure 入口網站指派 Azure 角色

Azure OpenAI 角色

  • 認知服務 OpenAI 使用者
  • 認知服務 OpenAI 參與者
  • 認知服務參與者
  • 認知服務使用量讀取者

注意

繼承訂用帳戶層級擁有者參與者角色,並優先於資源群組層級套用的自訂 Azure OpenAI 角色。

本節涵蓋不同帳戶和帳戶組合能夠針對 Azure OpenAI 資源執行的一般工作。 若要檢視可用 ActionsDataActions 的完整清單,會從您的 Azure OpenAI 資源授與個別角色,請移至 [存取控制 (IAM)] > [角色]>,在您感興趣的角色下的 [詳細資料] 資料行中,選取 [檢視]。 預設會選取 Actions 選項按鈕。 您必須檢查 ActionsDataActions,以了解指派給角色的功能的完整範圍。

認知服務 OpenAI 使用者

如果使用者只獲授與此角色的角色型存取權以取得某 Azure OpenAI 資源,他們就能夠執行下列一般工作:

✅ 在 Azure 入口網站中檢視資源
✅ 在 [金鑰和端點] 底下檢視資源端點
✅ 能夠在 Azure AI Foundry 入口網站中檢視資源和相關聯的模型部署。
✅ 能夠檢視可在 Azure AI Foundry 入口網站中部署哪些模型。
✅ 使用聊天、完成和 DALL-E (預覽) 遊樂場體驗,以任何已部署至此 Azure OpenAI 資源的模型來產生文字和影像。
✅ 使用 Microsoft Entra ID 進行推斷 API 呼叫。

只有獲指派此角色的使用者無法:

❌ 建立新的 Azure OpenAI 資源
❌ 在 [金鑰和端點] 底下檢視/複製/重新產生金鑰
❌ 建立新的模型部署或編輯現有的模型部署
❌ 建立/部署自訂微調模型
❌ 上傳資料集以進行微調
❌ 檢視、查詢、篩選預存完成數據
❌ 存取配額
❌ 建立自訂的內容篩選
❌ 新增資料來源以使用您的資料功能

認知服務 OpenAI 參與者

此角色具有認知服務 OpenAI 使用者的所有權限,也能夠執行其他工作,例如:

✅ 建立自訂微調模型
✅ 上傳資料集以進行微調
✅ 檢視、查詢、篩選預存完成數據
✅ 建立新的模型部署或編輯現有的模型部署 [已於 2023 年秋天新增]

只有獲指派此角色的使用者無法:

❌ 建立新的 Azure OpenAI 資源
❌ 在 [金鑰和端點] 底下檢視/複製/重新產生金鑰
❌ 存取配額
❌ 建立自訂的內容篩選
❌ 新增資料來源以使用您的資料功能

認知服務參與者

此角色通常會在資源群組層級為使用者結合其他角色的存取權授與。 此角色本身可讓使用者執行下列工作。

✅ 在獲指派的資源群組內建立新的 Azure OpenAI 資源。
✅ 在 Azure 入口網站中檢視獲指派資源群組中的資源。
✅ 在 [金鑰和端點] 底下檢視資源端點
✅ 在 [金鑰和端點] 底下檢視/複製/重新產生金鑰
✅ 能夠在 Azure AI Foundry 入口網站中檢視哪些模型可供部署
✅ 使用聊天、完成和 DALL-E (預覽) 遊樂場體驗,以任何已部署至此 Azure OpenAI 資源的模型來產生文字和影像
✅ 建立自訂的內容篩選
✅ 新增資料來源以使用您的資料功能
✅ 建立新的模型部署或編輯現有的模型部署 (透過 API)
✅ 建立自訂微調模型 [已於 2023 年秋天新增]
✅ 上傳資料集以進行微調 [已於 2023 年秋天新增]
✅ 建立新的模型部署或編輯現有的模型部署(透過 Azure AI Foundry) [新增 2023 年秋季]✅ 檢視、查詢、篩選預存完成數據

只有獲指派此角色的使用者無法:

❌ 存取配額
❌ 使用 Microsoft Entra ID 進行推斷 API 呼叫。

認知服務使用量讀取者

檢視配額需要認知服務使用量讀取者角色。 此角色提供檢視 Azure 訂用帳戶中配額使用量所需的最低存取權。

您可以在 Azure 入口網站中 [訂用帳戶] > *[存取控制 (IAM)] > [新增角色指派] > 搜尋認知服務使用量讀取者找到此角色。 角色必須在訂用帳戶層級套用,它不存在於資源層級。

如果您不想使用此角色,訂用帳戶讀取者角色會提供對等的存取權,但也會授與檢視配額所需範圍以外的讀取權限。 透過 Azure AI Foundry 入口網站進行模型部署也部分相依於此角色的存在。

此角色本身提供少量值,但通常會與一或多個先前描述的角色結合來指派。

認知服務使用量讀取者 + 認知服務 OpenAI 使用者

認知服務 OpenAI 使用者的所有功能,以及下列功能:

✅ 在 Azure AI Foundry 入口網站中檢視配額配置

認知服務使用量讀取者 + 認知服務 OpenAI 參與者

認知服務 OpenAI 參與者的所有功能,以及下列功能:

✅ 在 Azure AI Foundry 入口網站中檢視配額配置

認知服務使用量讀取者 + 認知服務參與者

認知服務參與者的所有功能,以及下列功能:

✅ 在 Azure AI Foundry 入口網站中檢視和編輯配額配置
✅ 建立新的模型部署或編輯現有的模型部署(透過 Azure AI Foundry)

摘要

權限 認知服務 OpenAI 使用者 認知服務 OpenAI 參與者 認知服務參與者 認知服務使用量讀取者
在 Azure 入口網站中檢視資源
在 [金鑰和端點] 底下檢視資源端點
在 Azure AI Foundry 入口網站中檢視資源和相關聯的模型部署
在 Azure AI Foundry 入口網站中檢視哪些模型可供部署
搭配任何已部署至此 Azure OpenAI 資源的模型使用聊天、完成和 DALL-E (預覽) 遊樂場體驗。
建立及編輯模型部署
建立或部署自訂微調模型
上傳資料集以進行微調
檢視、查詢、篩選預存競爭數據
建立新的 Azure OpenAI 資源
在 [金鑰和端點] 底下檢視/複製/重新產生金鑰
建立自訂的內容篩選
新增資料來源以使用您的資料功能
存取配額
使用 Microsoft Entra ID 進行推斷 API 呼叫

常見的問題

無法在 Azure AI Foundry 入口網站中檢視 Azure 認知搜尋 選項

問題:

選取現有的 Azure 認知搜尋資源時,搜尋索引不會載入,且載入中轉輪會持續旋轉。 在 Azure AI Foundry 入口網站中,移至 [小幫手設定] 底下的 [遊樂場聊天>] [新增您的數據] [預覽]。 選取 [新增資料來源] 會開啟強制回應,讓您透過Azure 認知搜尋或 Blob 儲存體新增資料來源。 選取 [Azure 認知搜尋] 選項,而現有的 Azure 認知搜尋資源應該會載入可用的 Azure 認知搜尋索引以供選取。

根本原因

若要對列出 Azure 認知搜尋服務進行泛型 API 呼叫,會進行下列呼叫:

https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Search/searchServices?api-version=2021-04-01-Preview

以您的實際訂用帳戶識別碼取代 {subscriptionId}。

針對此 API 呼叫,您需要訂用帳戶層級範圍角色。 您可以使用讀取者角色進行唯讀存取,或使用參與者角色進行讀寫存取。 如果只需要存取 Azure 認知搜尋服務,您可以使用 Azure 認知搜尋服務參與者Azure 認知搜尋服務讀取者角色。

方案選項

  • 請連絡您的訂用帳戶管理員或擁有者:連絡管理您的 Azure 訂用帳戶的人員,並要求適當的存取權。 說明您的需求和您需要的特定角色 (例如,讀取者、參與者、Azure 認知搜尋服務參與者或 Azure 認知搜尋服務讀取者)。

  • 要求訂用帳戶層級或資源群組層級存取:如果您需要特定資源的存取權,請要求訂用帳戶擁有者授與您適當層級的存取權 (訂用帳戶或資源群組)。 這可讓您執行必要的工作,而不需存取不相關的資源。

  • 針對 Azure 認知搜尋使用 API 金鑰:如果您只需要與 Azure 認知搜尋服務互動,可以向訂用帳戶擁有者要求管理金鑰或查詢金鑰。 這些金鑰可讓您直接對搜尋服務進行 API 呼叫,而不需要 Azure RBAC 角色。 請記住,使用 API 金鑰會略過 Azure RBAC 存取控制,因此請僅慎使用,並遵循安全性最佳做法。

無法在 Azure AI Foundry 入口網站中上傳您數據的檔案

徵兆:無法使用 Azure AI Foundry 存取數據功能上的 記憶體

根本原因:

用戶嘗試在 Azure AI Foundry 入口網站中存取 Blob 記憶體的訂用帳戶層級存取不足。 使用者可能沒有呼叫 Azure 管理 API 端點的必要權限:https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{accountName}/listAccountSas?api-version=2022-09-01

基於安全性考量,Azure 訂用帳戶的擁有者會停用對 Blob 儲存體的公用存取。

API 呼叫所需的權限:**Microsoft.Storage/storageAccounts/listAccountSas/action:** 此權限可讓使用者列出指定儲存體帳戶的共用存取簽章 (SAS) 權杖。

使用者可能沒有權限的可能原因:

  • 使用者獲指派 Azure 訂用帳戶中有限的角色,但其未包含 API 呼叫的必要權限。
  • 由於安全性考量或組織原則,訂用帳戶擁有者或系統管理員已限制使用者的角色。
  • 使用者的角色最近已變更,而且新角色不會授與必要的權限。

方案選項

  • 驗證和更新存取權限:確保使用者具有適當的訂用帳戶層級存取權,包括 API 呼叫 (Microsoft.Storage/storageAccounts/listAccountSas/action) 的必要權限。 如有需要,請要求訂用帳戶擁有者或系統管理員授與必要的存取權限。
  • 向擁有者或系統管理員要求協助:如果上述解決方案不可行,請考量要求訂用帳戶擁有者或系統管理員代表您上傳資料檔案。 這種方法可協助將數據匯入 Azure AI Foundry,而不需要 使用者 訂用帳戶層級存取或公用存取 Blob 記憶體。

下一步