التحكم في الوصول المستند إلى الدور لخدمة Azure OpenAI
تدعم خدمة Azure OpenAI التحكم في الوصول المستند إلى الدور Azure (Azure RBAC)، وهو نظام تخويل لإدارة الوصول الفردي إلى موارد Azure. باستخدام Azure RBAC، يمكنك تعيين مستويات مختلفة من الأذونات لأعضاء الفريق استنادا إلى احتياجاتهم لمشروع معين. لمزيد من المعلومات، راجع وثائق Azure RBAC.
إضافة تعيين دور إلى مورد Azure OpenAI
يمكن تعيين Azure RBAC إلى مورد Azure OpenAI. لمنح حق الوصول إلى مورد Azure، يمكنك إضافة تعيين دور.
حدد Azure OpenAI، وانتقل إلى موردك المحدد.
إشعار
يمكنك أيضاً إعداد Azure RBAC لمجموعات الموارد أو الاشتراكات أو مجموعات الإدارة بأكملها. قم بذلك عن طريق تحديد مستوى النطاق المطلوب ثم الانتقال إلى العنصر المطلوب. على سبيل المثال، تحديد Resource groups ثم الانتقال إلى مجموعة موارد معينة.
اخترالتحكم بالوصول (IAM) في جزء التنقل الأيمن.
حدِّد Add، ثم حدِّد Add role assignment.
في علامة التبويب Role على الشاشة التالية، اختر الدور الذي تريد إضافته.
في علامة التبويب Members، اختر مستخدمًا أو مجموعة أو كيان خدمة أو هوية مدارة.
في علامة التبويب Review + assign ، حدد Review + assign لتعيين الدور.
في غضون بضع دقائق، سيتم تعيين الدور المحدد للهدف في النطاق المحدد. للحصول على تعليمات بشأن هذه الخطوات، راجع تعيين أدوار Azure باستخدام مدخل Microsoft Azure.
أدوار Azure OpenAI
- مستخدم OpenAI للخدمات المعرفية
- مساهم OpenAI للخدمات المعرفية
- المساهم في الخدمات المعرفية
- قارئ استخدامات الخدمات المعرفية
إشعار
يتم توريث أدوار المالك والمساهم على مستوى الاشتراك وتولي الأولوية على أدوار Azure OpenAI المخصصة المطبقة على مستوى مجموعة الموارد.
يغطي هذا القسم المهام الشائعة التي يمكن للحسابات ومجموعات الحسابات المختلفة تنفيذها لموارد Azure OpenAI. لعرض القائمة الكاملة للإجراءات وDataActions المتوفرة، يتم منح دور فردي من مورد Azure OpenAI الخاص بك، انتقل إلى التحكم في الوصول (IAM)>الأدوار> ضمن عمود التفاصيل للدور الذي تهتم به في تحديد عرض. بشكل افتراضي، يتم تحديد الزر الشعاعي الإجراءات . تحتاج إلى فحص كل من الإجراءات وDataActions لفهم النطاق الكامل للقدرات المعينة لدور ما.
مستخدم OpenAI للخدمات المعرفية
إذا تم منح مستخدم حق الوصول المستند إلى الدور فقط لهذا الدور لمورد Azure OpenAI، فسيتمكن من تنفيذ المهام الشائعة التالية:
✅ عرض المورد في مدخل Microsoft Azure
✅ عرض نقطة نهاية المورد ضمن المفاتيح ونقطة النهاية
✅ القدرة على عرض المورد وتوزيعات النموذج المقترنة في Azure OpenAI Studio.
✅ القدرة على عرض النماذج المتوفرة للنشر في Azure OpenAI Studio.
✅ استخدم تجارب ملعب الدردشة والإكمال وDALL-E (معاينة) لإنشاء نص وصور مع أي نماذج تم نشرها بالفعل إلى مورد Azure OpenAI هذا.
✅ إجراء استدعاءات واجهة برمجة تطبيقات الاستدلال باستخدام معرف Microsoft Entra.
لن يتمكن المستخدم الذي تم تعيين هذا الدور له فقط من:
❌ إنشاء موارد Azure OpenAI جديدة
❌ عرض/نسخ/إعادة إنشاء المفاتيح ضمن المفاتيح ونقطة النهاية
❌ إنشاء عمليات نشر نموذج جديدة أو تحرير عمليات نشر النموذج الحالية
❌ إنشاء/توزيع نماذج دقيقة مخصصة
❌ تحميل مجموعات البيانات للضبط الدقيق
❌ الحصة النسبية للوصول
❌ إنشاء عوامل تصفية محتوى مخصصة
❌ إضافة مصدر بيانات لاستخدام ميزة البيانات
مساهم OpenAI للخدمات المعرفية
يحتوي هذا الدور على جميع أذونات مستخدم OpenAI للخدمات المعرفية كما أنه قادر على تنفيذ مهام إضافية مثل:
✅ إنشاء نماذج مخصصة دقيقة
✅ تحميل مجموعات البيانات للضبط الدقيق
✅ إنشاء عمليات نشر نموذج جديدة أو تحرير عمليات نشر النموذج الحالية [تمت إضافة Fall 2023]
لن يتمكن المستخدم الذي تم تعيين هذا الدور له فقط من:
❌ إنشاء موارد Azure OpenAI جديدة
❌ عرض/نسخ/إعادة إنشاء المفاتيح ضمن المفاتيح ونقطة النهاية
❌ الحصة النسبية للوصول
❌ إنشاء عوامل تصفية محتوى مخصصة
❌ إضافة مصدر بيانات لاستخدام ميزة البيانات
المساهم في الخدمات المعرفية
يتم منح هذا الدور عادة حق الوصول على مستوى مجموعة الموارد للمستخدم بالاقتران مع أدوار إضافية. في حد ذاته، سيسمح هذا الدور للمستخدم بتنفيذ المهام التالية.
✅ إنشاء موارد Azure OpenAI جديدة ضمن مجموعة الموارد المعينة.
✅عرض الموارد في مجموعة الموارد المعينة في مدخل Microsoft Azure.
✅ عرض نقطة نهاية المورد ضمن المفاتيح ونقطة النهاية
✅ عرض/نسخ/إعادة إنشاء المفاتيح ضمن المفاتيح ونقطة النهاية
✅ القدرة على عرض النماذج المتوفرة للتوزيع في Azure OpenAI Studio
✅ استخدم تجارب ملعب الدردشة والإكمال وDALL-E (معاينة) لإنشاء نص وصور مع أي نماذج تم نشرها بالفعل إلى مورد Azure OpenAI هذا
✅ إنشاء عوامل تصفية محتوى مخصصة
✅ إضافة مصدر بيانات لاستخدام ميزة البيانات
✅ إنشاء عمليات نشر نموذج جديدة أو تحرير عمليات نشر النموذج الحالية (عبر واجهة برمجة التطبيقات)
✅ إنشاء نماذج مخصصة دقيقة [تمت إضافة Fall 2023]
✅ تحميل مجموعات البيانات للضبط الدقيق [تمت إضافة Fall 2023]
✅ إنشاء عمليات نشر نموذج جديدة أو تحرير عمليات نشر النموذج الحالية (عبر Azure OpenAI Studio) [تمت إضافة Fall 2023]
لن يتمكن المستخدم الذي تم تعيين هذا الدور له فقط من:
❌ الحصة النسبية للوصول
❌ إجراء استدعاءات واجهة برمجة تطبيقات الاستدلال باستخدام معرف Microsoft Entra.
قارئ استخدامات الخدمات المعرفية
يتطلب عرض الحصة النسبية دور قارئ استخدامات الخدمات المعرفية. يوفر هذا الدور الحد الأدنى من الوصول اللازم لعرض استخدام الحصة النسبية عبر اشتراك Azure.
يمكن العثور على هذا الدور في مدخل Microsoft Azure ضمن Subscriptions> *Access control (IAM)>Add role assignment> search for Cognitive Services Usages Reader. يجب تطبيق الدور على مستوى الاشتراك، وهو غير موجود على مستوى المورد.
إذا كنت لا ترغب في استخدام هذا الدور، يوفر دور قارئ الاشتراك وصولا مكافئا، ولكنه يمنح أيضا حق الوصول للقراءة خارج نطاق ما هو مطلوب لعرض الحصة النسبية. يعتمد نشر النموذج عبر Azure OpenAI Studio جزئيا أيضا على وجود هذا الدور.
يوفر هذا الدور قيمة ضئيلة في حد ذاته، وبدلا من ذلك يتم تعيينه عادة بالاشتراك مع دور واحد أو أكثر من الأدوار الموضحة سابقا.
قارئ استخدامات الخدمات المعرفية + مستخدم OpenAI للخدمات المعرفية
جميع قدرات مستخدم OpenAI للخدمات المعرفية بالإضافة إلى القدرة على:
✅ عرض تخصيصات الحصة النسبية في Azure OpenAI Studio
Cognitive Services Usages Reader + Cognitive Services OpenAI Contributor
جميع قدرات مساهم OpenAI للخدمات المعرفية بالإضافة إلى القدرة على:
✅ عرض تخصيصات الحصة النسبية في Azure OpenAI Studio
قارئ استخدام الخدمات المعرفية + المساهم في الخدمات المعرفية
جميع قدرات المساهم في الخدمات المعرفية بالإضافة إلى القدرة على:
✅ عرض تخصيصات الحصة النسبية وتحريرها في Azure OpenAI Studio
✅ إنشاء عمليات نشر نموذج جديدة أو تحرير عمليات نشر النموذج الحالية (عبر Azure OpenAI Studio)
الملخص
| الأذونات | مستخدم OpenAI للخدمات المعرفية | مساهم OpenAI للخدمات المعرفية | المساهم في الخدمات المعرفية | قارئ استخدامات الخدمات المعرفية |
|---|---|---|---|---|
| عرض المورد في مدخل Microsoft Azure | ✅ | ✅ | ✅ | ➖ |
| عرض نقطة نهاية المورد ضمن "المفاتيح ونقطة النهاية" | ✅ | ✅ | ✅ | ➖ |
| عرض الموارد وتوزيعات النموذج المقترنة في Azure OpenAI Studio | ✅ | ✅ | ✅ | ➖ |
| عرض النماذج المتوفرة للتوزيع في Azure OpenAI Studio | ✅ | ✅ | ✅ | ➖ |
| استخدم تجارب ملعب الدردشة والإكمال وDALL-E (معاينة) مع أي نماذج تم نشرها بالفعل في مورد Azure OpenAI هذا. | ✅ | ✅ | ✅ | ➖ |
| إنشاء عمليات نشر النموذج أو تحريرها | ❌ | ✅ | ✅ | ➖ |
| إنشاء نماذج مخصصة مضبوطة أو توزيعها | ❌ | ✅ | ✅ | ➖ |
| تحميل مجموعات البيانات للضبط الدقيق | ❌ | ✅ | ✅ | ➖ |
| إنشاء موارد Azure OpenAI جديدة | ❌ | ❌ | ✅ | ➖ |
| عرض/نسخ/إعادة إنشاء المفاتيح ضمن "المفاتيح ونقطة النهاية" | ❌ | ❌ | ✅ | ➖ |
| إنشاء عوامل تصفية محتوى مخصصة | ❌ | ❌ | ✅ | ➖ |
| إضافة مصدر بيانات لميزة "على بياناتك" | ❌ | ❌ | ✅ | ➖ |
| الحصة النسبية للوصول | ❌ | ❌ | ❌ | ✅ |
| إجراء استدعاءات واجهة برمجة تطبيقات الاستدلال باستخدام معرف Microsoft Entra | ✅ | ✅ | ❌ | ➖ |
مشكلات شائعة
تعذر عرض خيار Azure Cognitive Search في Azure OpenAI Studio
المساله:
عند تحديد مورد Azure Cognitive Search موجود، لا يتم تحميل مؤشرات البحث، وتدور عجلة التحميل باستمرار. في Azure OpenAI Studio، انتقل إلى Playground Chat>Add your data (preview) ضمن Assistant setup. يؤدي تحديد إضافة مصدر بيانات إلى فتح نموذج يسمح لك بإضافة مصدر بيانات من خلال Azure Cognitive Search أو Blob Storage. يجب أن يؤدي تحديد خيار Azure Cognitive Search ومورد Azure Cognitive Search الحالي إلى تحميل مؤشرات Azure Cognitive Search المتوفرة للاختيار من بينها.
السبب الجذري
لإجراء استدعاء API عام لإدراج Azure Cognitive خدمة البحث s، يتم إجراء الاستدعاء التالي:
https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Search/searchServices?api-version=2021-04-01-Preview
استبدل {subscriptionId} بمعرف الاشتراك الفعلي.
بالنسبة لاستدعاء واجهة برمجة التطبيقات هذا، تحتاج إلى دور نطاق على مستوى الاشتراك. يمكنك استخدام دور القارئ للوصول للقراءة فقط أو دور المساهم للوصول للقراءة والكتابة. إذا كنت بحاجة فقط إلى الوصول إلى Azure Cognitive خدمة البحث s، يمكنك استخدام أدوار Azure Cognitive Search Service Contributor أو Azure Cognitive Search Service Reader.
خيارات الحل
اتصل بمسؤول الاشتراك أو المالك: تواصل مع الشخص الذي يدير اشتراك Azure الخاص بك واطلب الوصول المناسب. شرح متطلباتك والدور المحدد الذي تحتاجه (على سبيل المثال، Reader أو Contributor أو Azure Cognitive Search Service Contributor أو Azure Cognitive Search Service Reader).
طلب الوصول على مستوى الاشتراك أو على مستوى مجموعة الموارد: إذا كنت بحاجة إلى الوصول إلى موارد معينة، فاطلب من مالك الاشتراك منحك حق الوصول على المستوى المناسب (الاشتراك أو مجموعة الموارد). يمكنك هذا من تنفيذ المهام المطلوبة دون الوصول إلى الموارد غير المرتبطة.
استخدام مفاتيح واجهة برمجة التطبيقات ل Azure Cognitive Search: إذا كنت بحاجة فقط إلى التفاعل مع Azure Cognitive خدمة البحث، يمكنك طلب مفاتيح المسؤول أو مفاتيح الاستعلام من مالك الاشتراك. تسمح لك هذه المفاتيح بإجراء استدعاءات API مباشرة إلى خدمة البحث دون الحاجة إلى دور Azure RBAC. ضع في اعتبارك أن استخدام مفاتيح API سيتجاوز التحكم في الوصول إلى Azure RBAC، لذا استخدمها بحذر واتبع أفضل ممارسات الأمان.
تعذر تحميل الملفات في Azure OpenAI Studio على بياناتك
الأعراض: غير قادر على الوصول إلى التخزين لميزة البيانات الخاصة بك باستخدام Azure OpenAI Studio.
السبب الجذري:
وصول غير كاف على مستوى الاشتراك للمستخدم الذي يحاول الوصول إلى تخزين الكائن الثنائي كبير الحجم في Azure OpenAI Studio. قد لا يكون لدى المستخدم الأذونات اللازمة لاستدعاء نقطة نهاية Azure Management API: https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{accountName}/listAccountSas?api-version=2022-09-01
يتم تعطيل الوصول العام إلى تخزين الكائن الثنائي كبير الحجم من قبل مالك اشتراك Azure لأسباب أمنية.
الأذونات المطلوبة لاستدعاء واجهة برمجة التطبيقات: **Microsoft.Storage/storageAccounts/listAccountSas/action:** يسمح هذا الإذن للمستخدم بإدراج الرموز المميزة لتوقيع الوصول المشترك (SAS) لحساب التخزين المحدد.
الأسباب المحتملة لعدم توفر أذونات للمستخدم:
- يتم تعيين دور محدود للمستخدم في اشتراك Azure، والذي لا يتضمن الأذونات الضرورية لاستدعاء API.
- تم تقييد دور المستخدم من قبل مالك الاشتراك أو المسؤول بسبب المخاوف الأمنية أو النهج التنظيمية.
- تم تغيير دور المستخدم مؤخرا، ولا يمنح الدور الجديد الأذونات المطلوبة.
خيارات الحل
- التحقق من حقوق الوصول وتحديثها: تأكد من أن المستخدم لديه حق الوصول المناسب على مستوى الاشتراك، بما في ذلك الأذونات الضرورية لاستدعاء واجهة برمجة التطبيقات (Microsoft.Storage/storageAccounts/listAccountSas/action). إذا لزم الأمر، اطلب من مالك الاشتراك أو المسؤول منح حقوق الوصول الضرورية.
- طلب المساعدة من المالك أو المسؤول: إذا لم يكن الحل أعلاه ممكنا، ففكر في مطالبة مالك الاشتراك أو المسؤول بتحميل ملفات البيانات نيابة عنك. يمكن أن يساعد هذا الأسلوب في استيراد البيانات إلى Azure OpenAI Studio دون مطالبة المستخدم بالوصول على مستوى الاشتراك أو الوصول العام إلى تخزين الكائن الثنائي كبير الحجم.
الخطوات التالية
- تعرف على المزيد حول التحكم في الوصول المستند إلى دور Azure (Azure RBAC).
- تحقق أيضا منتعيين أدوار Azure باستخدام مدخل Microsoft Azure.