Azure OpenAI Service에 대한 역할 기반 액세스 제어
Azure OpenAI Service는 Azure 리소스에 대한 개별 액세스를 관리하기 위한 권한 부여 시스템인 Azure RBAC(Azure 역할 기반 액세스 제어)를 지원합니다. Azure RBAC를 사용하여 지정된 프로젝트에 대한 요구 사항에 따라 서로 다른 수준의 권한을 다른 팀 구성원에게 할당합니다. 자세한 내용은 Azure RBAC 설명서를 참조하세요.
Azure OpenAI 리소스에 역할 할당 추가
Azure RBAC는 Azure OpenAI 리소스에 할당할 수 있습니다. Azure 리소스에 대한 액세스 권한을 부여하려면 역할 할당을 추가합니다.
Azure portal에서 Azure OpenAI를 검색합니다.
Azure OpenAI를 선택하고 특정 리소스로 이동합니다.
참고 항목
또한 전체 리소스 그룹, 구독 또는 관리 그룹에 대해 Azure RBAC를 설정할 수 있습니다. 원하는 범위 수준을 선택한 다음, 원하는 항목으로 이동하여 이 작업을 수행합니다. 예를 들어 리소스 그룹을 선택한 다음, 특정 리소스 그룹으로 이동합니다.
왼쪽 탐색 창에서 액세스 제어(IAM)를 선택합니다.
추가를 선택한 다음, 역할 할당 추가를 선택합니다.
다음 화면의 역할 탭에서 추가할 역할을 선택합니다.
구성원 탭에서 사용자, 그룹, 서비스 주체 또는 관리 ID를 선택합니다.
검토 + 할당 탭에서 검토 + 할당을 선택하여 역할을 할당합니다.
몇 분 이내에 선택한 범위에서 선택한 역할이 대상에 할당됩니다. 이 단계에 대한 도움말은 Azure Portal을 사용하여 Azure 역할 할당을 참조하세요.
Azure OpenAI 역할
- Cognitive Services OpenAI 사용자
- Cognitive Services OpenAI 기여자
- Cognitive Services 기여자
- Cognitive Services 사용량 읽기 권한자
참고 항목
구독 수준 소유자 및 기여자 역할은 상속되며 리소스 그룹 수준에서 적용되는 사용자 지정 Azure OpenAI 역할보다 우선 순위가 높습니다.
이 섹션에서는 다양한 계정 및 계정 조합이 Azure OpenAI 리소스에 대해 수행할 수 있는 일반적인 작업에 대해 설명합니다. 사용 가능한 작업 및 DataActions의 전체 목록을 보려면 Azure OpenAI 리소스에서 개별 역할이 부여됩니다. 액세스 제어(IAM)>역할>로 이동합니다. 관심 있는 역할의 세부 정보 열에서 보기를 선택합니다. 기본적으로 작업 방사형 버튼이 선택되어 있습니다. 역할에 할당된 기능의 전체 범위를 이해하려면 Actions와 DataActions를 모두 조사해야 합니다.
Cognitive Services OpenAI 사용자
사용자에게 Azure OpenAI 리소스에 대해서만 이 역할에 대한 역할 기반 액세스 권한이 부여된 경우 다음과 같은 일반적인 작업을 수행할 수 있습니다.
✅Azure portal에서 리소스 보기
✅키 및 엔드포인트에서 리소스 엔드포인트를 봅니다.
✅ Azure OpenAI Studio에서 리소스 및 관련 모델 배포를 볼 수 있는 기능입니다.
✅ Azure OpenAI Studio에서 배포에 사용할 수 있는 모델을 볼 수 있는 기능입니다.
✅ 채팅, 완료 및 DALL-E(미리 보기) 플레이그라운드 환경을 사용하여 이 Azure OpenAI 리소스에 이미 배포된 모델로 텍스트와 이미지를 생성합니다.
✅ Microsoft Entra ID를 사용하여 유추 API 호출을 만듭니다.
이 역할만 할당된 사용자는 다음을 수행할 수 없습니다.
❌ 새로운 Azure OpenAI 리소스 만들기
❌키 및 엔드포인트에서 키 보기/복사/다시 생성
❌ 새 모델 배포 생성 또는 기존 모델 배포 수정
❌ 사용자 지정 미세 조정 모델 생성/배포
❌ 미세 조정을 위한 데이터 세트 업로드
❌ 액세스 할당량
❌ 사용자 지정 콘텐츠 필터 만들기
❌ 데이터 기능을 사용하기 위한 데이터 소스를 추가하세요.
Cognitive Services OpenAI 기여자
이 역할에는 Cognitive Services OpenAI 사용자의 모든 권한이 있으며 다음과 같은 추가 작업을 수행할 수도 있습니다.
✅ 사용자 지정 미세 조정 모델 만들기
✅ 미세 조정을 위한 데이터 세트 업로드
✅ 새 모델 배포 만들기 또는 기존 모델 배포 편집 [2023년 가을에 추가됨]
이 역할만 할당된 사용자는 다음을 수행할 수 없습니다.
❌ 새로운 Azure OpenAI 리소스 만들기
❌키 및 엔드포인트에서 키 보기/복사/다시 생성
❌ 액세스 할당량
❌ 사용자 지정 콘텐츠 필터 만들기
❌ 데이터 기능을 사용하기 위한 데이터 소스를 추가하세요.
Cognitive Services 기여자
이 역할은 일반적으로 추가 역할과 함께 사용자의 리소스 그룹 수준에서 액세스 권한을 부여합니다. 그 자체로 이 역할을 통해 사용자는 다음 작업을 수행할 수 있습니다.
✅ 할당된 리소스 그룹 내에 새 Azure OpenAI 리소스를 만듭니다.
✅Azure portal에서 할당된 리소스 그룹의 리소스를 봅니다.
✅키 및 엔드포인트에서 리소스 엔드포인트를 봅니다.
✅키 및 엔드포인트에서 키 보기/복사/다시 생성
✅ Azure OpenAI Studio에서 배포에 사용할 수 있는 모델을 볼 수 있는 기능
✅ Chat, Completions 및 DALL-E(미리 보기) 플레이그라운드 환경을 사용하여 이 Azure OpenAI 리소스에 이미 배포된 모델로 텍스트와 이미지를 생성하세요.
✅ 사용자 지정 콘텐츠 필터 만들기
✅ 데이터 기능을 사용하기 위한 데이터 원본을 추가하세요.
✅ 새 모델 배포 생성 또는 기존 모델 배포 수정(API를 통해)
✅ 사용자 지정 미세 조정 모델 만들기 [2023년 가을에 추가됨]
✅ 미세 조정을 위한 데이터 세트 업로드 [2023년 가을에 추가됨]
✅ 새 모델 배포 만들기 또는 기존 모델 배포 편집(Azure OpenAI Studio 사용) [2023년 가을에 추가됨]
이 역할만 할당된 사용자는 다음을 수행할 수 없습니다.
❌ 액세스 할당량
❌ Microsoft Entra ID를 사용하여 유추 API 호출을 만듭니다.
Cognitive Services 사용량 읽기 권한자
할당량을 보려면 Cognitive Services 사용량 읽기 권한자 역할이 필요합니다. 이 역할은 Azure 구독 전체의 할당량 사용량을 보는 데 필요한 최소한의 액세스 권한을 제공합니다.
이 역할은 Azure portal의 구독> *액세스 제어(IAM)>역할 할당 추가>Cognitive Services 사용량 읽기 권한자 검색에서 찾을 수 있습니다. 역할은 구독 수준에서 적용해야 하며 리소스 수준에는 없습니다.
이 역할을 사용하지 않으려면 구독 읽기 권한자 역할이 동등한 액세스 권한을 제공하지만 할당량을 보는 데 필요한 범위를 넘어서는 읽기 액세스 권한도 부여합니다. Azure OpenAI Studio를 통한 모델 배포도 이 역할의 존재에 부분적으로 종속됩니다.
이 역할은 그 자체로 작은 값을 제공하며 일반적으로 이전에 설명한 역할 중 하나 이상과 함께 할당됩니다.
Cognitive Services 사용량 읽기 권한자 + Cognitive Services OpenAI 사용자
Cognitive Services OpenAI User의 모든 기능과 다음을 수행할 수 있는 기능:
✅ Azure OpenAI Studio에서 할당량 할당 보기
Cognitive Services 사용량 읽기 권한자 + Cognitive Services OpenAI 기여자
Cognitive Services OpenAI 기여자의 모든 기능과 다음을 수행할 수 있는 기능
✅ Azure OpenAI Studio에서 할당량 할당 보기
Cognitive Services 사용량 읽기 권한자 + Cognitive Services 기여자
Cognitive Services 기여자의 모든 기능과 다음을 수행할 수 있는 기능
✅ Azure OpenAI Studio에서 보기 및 할당량 할당 편집
✅ 새 모델 배포 생성 또는 기존 모델 배포 수정(Azure OpenAI Studio를 통해)
요약
| 사용 권한 | Cognitive Services OpenAI 사용자 | Cognitive Services OpenAI 기여자 | Cognitive Services 기여자 | Cognitive Services 사용량 읽기 권한자 |
|---|---|---|---|---|
| Azure portal에서 리소스 보기 | ✅ | ✅ | ✅ | ➖ |
| 키 및 엔드포인트에서 리소스 엔드포인트를 봅니다. | ✅ | ✅ | ✅ | ➖ |
| Azure OpenAI Studio에서 리소스 및 관련 모델 배포 보기 | ✅ | ✅ | ✅ | ➖ |
| Azure OpenAI Studio에서 배포에 사용할 수 있는 모델 보기 | ✅ | ✅ | ✅ | ➖ |
| 이 Azure OpenAI 리소스에 이미 배포된 모델에 대해 채팅, 완료 및 DALL-E(미리 보기) 플레이그라운드 환경을 사용합니다. | ✅ | ✅ | ✅ | ➖ |
| 모델 배포 만들기 또는 편집 | ❌ | ✅ | ✅ | ➖ |
| 사용자 지정 미세 조정 모델 만들기 또는 배포 | ❌ | ✅ | ✅ | ➖ |
| 미세 조정을 위한 데이터 세트 업로드 | ❌ | ✅ | ✅ | ➖ |
| 새로운 Azure OpenAI 리소스 만들기 | ❌ | ❌ | ✅ | ➖ |
| 키 및 엔드포인트에서 키 보기/복사/다시 생성 | ❌ | ❌ | ✅ | ➖ |
| 사용자 지정 콘텐츠 필터 만들기 | ❌ | ❌ | ✅ | ➖ |
| "사용자 데이터" 기능을 위한 데이터 원본 추가 | ❌ | ❌ | ✅ | ➖ |
| 액세스 할당량 | ❌ | ❌ | ❌ | ✅ |
| Microsoft Entra ID를 사용하여 유추 API 호출 | ✅ | ✅ | ❌ | ➖ |
일반적인 문제
Azure OpenAI Studio에서 Azure Cognitive Search 옵션을 볼 수 없음
문제:
기존 Azure Cognitive Search 리소스를 선택하면 검색 인덱스가 로드되지 않고 로드 휠이 계속 회전합니다. Azure OpenAI Studio에서 도우미 설정 아래의 플레이그라운드 채팅>데이터 추가(미리 보기)로 이동합니다. 데이터 원본 추가를 선택하면 Azure Cognitive Search 또는 Blob Storage를 통해 데이터 원본을 추가할 수 있는 모달이 열립니다. Azure Cognitive Search 옵션과 기존 Azure Cognitive Search 리소스를 선택하면 선택할 수 있는 Azure Cognitive Search 인덱스가 로드됩니다.
근본 원인
Azure Cognitive Search 서비스를 나열하기 위한 일반 API 호출을 수행하려면 다음 호출이 수행됩니다.
https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Search/searchServices?api-version=2021-04-01-Preview
{subscriptionId}를 실제 구독 ID로 바꾸세요.
이 API 호출을 위해서는 구독 수준 범위 역할이 필요합니다. 읽기 전용 액세스에는 읽기 권한자 역할을 사용하고 읽기-쓰기 액세스에는 기여자 역할을 사용할 수 있습니다. Azure Cognitive Search 서비스에만 액세스해야 하는 경우에는 Azure Cognitive Search 서비스 기여자 또는 Azure Cognitive Search 서비스 읽기 권한자 역할을 사용할 수 있습니다.
솔루션 옵션
구독 관리자 또는 소유자에게 문의: Azure 구독을 관리하는 사람에게 연락하여 적절한 액세스를 요청합니다. 요구 사항 및 필요한 특정 역할(예: 읽기 권한자, 기여자, Azure Cognitive Search Service 기여자 또는 Azure Cognitive Search Service 읽기 권한자)을 설명합니다.
구독 수준 또는 리소스 그룹 수준 액세스 요청: 특정 리소스에 액세스해야 하는 경우 구독 소유자에게 적절한 수준(구독 또는 리소스 그룹)에서 액세스 권한을 부여하도록 요청합니다. 이렇게 하면 관련 없는 리소스에 액세스하지 않고도 필요한 작업을 수행할 수 있습니다.
Azure Cognitive Search API 키 사용: Azure Cognitive Search Search와만 상호 작용해야 하는 경우 구독 소유자로부터 관리 키 또는 쿼리 키를 요청할 수 있습니다. 이러한 키를 사용하면 Azure RBAC 역할 없이 검색 서비스에 직접 API를 호출할 수 있습니다. API 키를 사용하면 Azure RBAC 액세스 제어를 우회하므로 신중하게 사용하고 보안 모범 사례를 따르세요.
데이터에 대한 Azure OpenAI Studio에서 파일을 업로드할 수 없음
증상: Azure OpenAI Studio를 사용하여 데이터 저장 기능을 위한 스토리지에 액세스할 수 없습니다.
근본 원인:
Azure OpenAI Studio에서 Blob Storage에 액세스하려는 사용자의 구독 수준 액세스가 부족합니다. 사용자에게 Azure Management API 엔드포인트를 호출하는 데 필요한 권한이 없을 수도 있습니다: https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{accountName}/listAccountSas?api-version=2022-09-01
보안상의 이유로 Azure 구독 소유자가 Blob 스토리지에 대한 공용 액세스를 사용하지 않도록 설정합니다.
API 호출에 필요한 권한: **Microsoft.Storage/storageAccounts/listAccountSas/action:** 이 권한을 통해 사용자는 지정된 스토리지 계정에 대한 SAS(공유 액세스 서명) 토큰을 나열할 수 있습니다.
사용자에게 권한이 없을 수 있는 이유는 다음과 같습니다.
- 사용자에게 API 호출에 필요한 권한을 포함하지 않는 제한된 역할이 Azure 구독에 할당됩니다.
- 보안 문제 또는 조직 정책으로 인해 구독 소유자 또는 관리자가 사용자의 역할을 제한했습니다.
- 사용자의 역할이 최근에 변경되었으며 새 역할에 필요한 권한이 부여되지 않습니다.
솔루션 옵션
- 액세스 권한 확인 및 업데이트: 사용자에게 API 호출에 필요한 권한(Microsoft.Storage/storageAccounts/listAccountSas/action)을 포함하여 적절한 구독 수준 액세스 권한이 있는지 확인합니다. 필요한 경우 구독 소유자 또는 관리자에게 필요한 액세스 권한을 부여하도록 요청합니다.
- 소유자 또는 관리자의 지원 요청: 위의 솔루션이 불가능한 경우 구독 소유자 또는 관리자에게 사용자 대신 데이터 파일을 업로드하도록 요청하는 것이 좋습니다. 이 접근 방식을 사용하면 사용자가 구독 수준 액세스 또는 Blob 스토리지에 대한 공개 액세스를 요구하지 않고도 Azure OpenAI Studio로 데이터를 가져올 수 있습니다.
다음 단계
- Azure RBAC(Azure 역할 기반 액세스 제어)에 대해 자세히 알아보세요.
- 또한 Azure portal을 사용하여 Azure 역할 할당도 확인해 보세요.