Controlo de acesso baseado em funções para o Azure OpenAI Service
O Serviço OpenAI do Azure dá suporte ao controle de acesso baseado em função do Azure (Azure RBAC), um sistema de autorização para gerenciar o acesso individual aos recursos do Azure. Usando o RBAC do Azure, você atribui diferentes membros da equipe diferentes níveis de permissões com base em suas necessidades para um determinado projeto. Para obter mais informações, consulte a documentação do RBAC do Azure.
Adicionar atribuição de função a um recurso do Azure OpenAI
O RBAC do Azure pode ser atribuído a um recurso do Azure OpenAI. Para conceder acesso a um recurso do Azure, adicione uma atribuição de função.
No portal do Azure, procure Azure OpenAI.
Selecione Azure OpenAI e navegue até seu recurso específico.
Nota
Você também pode configurar o RBAC do Azure para grupos de recursos inteiros, assinaturas ou grupos de gerenciamento. Faça isso selecionando o nível de escopo desejado e, em seguida, navegando até o item desejado. Por exemplo, selecionando Grupos de recursos e, em seguida, navegando para um grupo de recursos específico.
Selecione Controle de acesso (IAM) no painel de navegação esquerdo.
Selecione Adicionar e, em seguida, selecione Adicionar atribuição de função.
Na guia Função na próxima tela, selecione uma função que deseja adicionar.
Na guia Membros, selecione um usuário, grupo, entidade de serviço ou identidade gerenciada.
No separador Rever + atribuir, selecione Rever + atribuir para atribuir a função.
Dentro de alguns minutos, o destino receberá a função selecionada no escopo selecionado. Para obter ajuda com essas etapas, consulte Atribuir funções do Azure usando o portal do Azure.
Funções do Azure OpenAI
- Utilizador OpenAI dos Serviços Cognitivos
- Função de Contribuidor dos Serviços Cognitivos
- Colaborador de Serviços Cognitivos
- Leitor de Usos de Serviços Cognitivos
Nota
As funções de Proprietário e Colaborador do nível de assinatura são herdadas e têm prioridade sobre as funções personalizadas do Azure OpenAI aplicadas no nível do Grupo de Recursos.
Esta seção aborda tarefas comuns que diferentes contas e combinações de contas podem executar para recursos do Azure OpenAI. Para exibir a lista completa de Ações e DataActions disponíveis, uma função individual é concedida a partir do seu recurso do Azure OpenAI, vá Controle de acesso (IAM)>Funções>: Na coluna Detalhes da função em que você está interessado, selecione Exibir. Por padrão, o botão radial Ações é selecionado. Você precisa examinar Actions e DataActions para entender o escopo completo dos recursos atribuídos a uma função.
Utilizador OpenAI dos Serviços Cognitivos
Se um usuário recebesse acesso baseado em função somente a essa função para um recurso do Azure OpenAI, ele seria capaz de executar as seguintes tarefas comuns:
✅ Exibir o recurso no portal do Azure
✅ Exibir o ponto de extremidade do recurso em Chaves e Ponto de Extremidade
✅ Capacidade de exibir o recurso e as implantações de modelo associadas no Azure OpenAI Studio.
✅ Capacidade de exibir quais modelos estão disponíveis para implantação no Azure OpenAI Studio.
✅ Use as experiências de playground Bate-papo, Conclusão e DALL-E (visualização) para gerar texto e imagens com quaisquer modelos que já tenham sido implantados neste recurso do Azure OpenAI.
✅ Faça chamadas de API de inferência com o Microsoft Entra ID.
Um usuário com apenas essa função atribuída não poderá:
❌ Criar novos recursos do Azure OpenAI
❌ Exibir/Copiar/Regenerar chaves em Chaves e Ponto Final
❌ Criar novas implantações de modelo ou editar implantações de modelo existentes
❌ Criar/implantar modelos personalizados ajustados
❌ Carregar conjuntos de dados para ajuste fino
❌ Quota de acesso
❌ Criar filtros de conteúdo personalizados
❌ Adicionar uma fonte de dados para o recurso Usar seus dados
Função de Contribuidor dos Serviços Cognitivos
Esta função tem todas as permissões do Usuário OpenAI de Serviços Cognitivos e também é capaz de executar tarefas adicionais como:
✅ Crie modelos personalizados e ajustados
✅ Carregar conjuntos de dados para ajuste fino
✅ Criar novas implantações de modelo ou editar implantações de modelo existentes [Adicionado outono de 2023]
Um usuário com apenas essa função atribuída não poderá:
❌ Criar novos recursos do Azure OpenAI
❌ Exibir/Copiar/Regenerar chaves em Chaves e Ponto Final
❌ Quota de acesso
❌ Criar filtros de conteúdo personalizados
❌ Adicionar uma fonte de dados para o recurso Usar seus dados
Colaborador de Serviços Cognitivos
Essa função geralmente recebe acesso no nível do grupo de recursos para um usuário em conjunto com funções adicionais. Por si só, essa função permitiria que um usuário executasse as seguintes tarefas.
✅ Crie novos recursos do Azure OpenAI dentro do grupo de recursos atribuído.
✅Exiba recursos no grupo de recursos atribuído no portal do Azure.
✅ Exibir o ponto de extremidade do recurso em Chaves e Ponto de Extremidade
✅ Exibir/Copiar/Regenerar chaves em Chaves e Ponto Final
✅ Capacidade de exibir quais modelos estão disponíveis para implantação no Azure OpenAI Studio
✅ Use as experiências de playground Chat, Concluídações e DALL-E (visualização) para gerar texto e imagens com quaisquer modelos que já tenham sido implantados neste recurso do Azure OpenAI
✅ Criar filtros de conteúdo personalizados
✅ Adicionar uma fonte de dados para o recurso Usar seus dados
✅ Criar novas implantações de modelo ou editar implantações de modelo existentes (via API)
✅ Criar modelos personalizados ajustados [Adicionado outono de 2023]
✅ Carregar conjuntos de dados para ajuste fino [Adicionado outono de 2023]
✅ Criar novas implantações de modelo ou editar implantações de modelo existentes (por meio do Azure OpenAI Studio) [Adicionado no outono de 2023]
Um usuário com apenas essa função atribuída não poderá:
❌ Quota de acesso
❌ Faça chamadas de API de inferência com o Microsoft Entra ID.
Leitor de Usos de Serviços Cognitivos
A quota de visualização requer a função Leitor de Utilizações dos Serviços Cognitivos . Essa função fornece o acesso mínimo necessário para exibir o uso da cota em uma assinatura do Azure.
Esta função pode ser encontrada no portal do Azure em Subscrições *Controlo de> acesso (IAM)>Adicionar pesquisa de atribuição> de função para o Leitor de Utilizações dos Serviços Cognitivos. A função deve ser aplicada no nível de assinatura, não existe no nível de recurso.
Se você não quiser usar essa função, a função Leitor de assinatura fornece acesso equivalente, mas também concede acesso de leitura além do escopo do que é necessário para a cota de visualização. A implantação do modelo por meio do Azure OpenAI Studio também depende parcialmente da presença dessa função.
Essa função fornece pouco valor por si só e, em vez disso, normalmente é atribuída em combinação com uma ou mais das funções descritas anteriormente.
Serviços Cognitivos Usos Leitor + Serviços Cognitivos OpenAI Usuário
Todas as capacidades do Cognitive Services OpenAI User mais a capacidade de:
✅ Exibir alocações de cota no Azure OpenAI Studio
Leitor de Usos de Serviços Cognitivos + Contribuidor de Serviços Cognitivos OpenAI
Todas as capacidades do Cognitive Services OpenAI Contributor mais a capacidade de:
✅ Exibir alocações de cota no Azure OpenAI Studio
Leitor de Usos de Serviços Cognitivos + Colaborador de Serviços Cognitivos
Todas as capacidades do Colaborador de Serviços Cognitivos mais a capacidade de:
✅ Exibir & editar alocações de cota no Azure OpenAI Studio
✅ Criar novas implantações de modelo ou editar implantações de modelo existentes (por meio do Azure OpenAI Studio)
Resumo
| Permissões | Utilizador OpenAI dos Serviços Cognitivos | Função de Contribuidor dos Serviços Cognitivos | Colaborador de Serviços Cognitivos | Leitor de Usos de Serviços Cognitivos |
|---|---|---|---|---|
| Exibir o recurso no Portal do Azure | ✅ | ✅ | ✅ | ➖ |
| Visualize o ponto de extremidade do recurso em "Chaves e ponto de extremidade" | ✅ | ✅ | ✅ | ➖ |
| Exibir o recurso e as implantações de modelo associadas no Azure OpenAI Studio | ✅ | ✅ | ✅ | ➖ |
| Exibir quais modelos estão disponíveis para implantação no Azure OpenAI Studio | ✅ | ✅ | ✅ | ➖ |
| Use as experiências de playground de Bate-papo, Conclusão e DALL-E (visualização) com quaisquer modelos que já tenham sido implantados neste recurso do Azure OpenAI. | ✅ | ✅ | ✅ | ➖ |
| Criar ou editar implantações de modelo | ❌ | ✅ | ✅ | ➖ |
| Criar ou implantar modelos personalizados ajustados | ❌ | ✅ | ✅ | ➖ |
| Carregar conjuntos de dados para ajuste fino | ❌ | ✅ | ✅ | ➖ |
| Criar novos recursos do Azure OpenAI | ❌ | ❌ | ✅ | ➖ |
| Ver/Copiar/Regenerar chaves em "Chaves e Ponto de Extremidade" | ❌ | ❌ | ✅ | ➖ |
| Criar filtros de conteúdo personalizados | ❌ | ❌ | ✅ | ➖ |
| Adicione uma fonte de dados para o recurso "em seus dados" | ❌ | ❌ | ✅ | ➖ |
| Quota de acesso | ❌ | ❌ | ❌ | ✅ |
| Fazer chamadas de API de inferência com o Microsoft Entra ID | ✅ | ✅ | ❌ | ➖ |
Problemas Comuns
Não é possível exibir a opção Pesquisa Cognitiva do Azure no Azure OpenAI Studio
Problema:
Ao selecionar um recurso existente da Pesquisa Cognitiva do Azure, os índices de pesquisa não carregam e a roda de carregamento gira continuamente. No Azure OpenAI Studio, vá para Playground Chat>Adicione seus dados (visualização) em Configuração do Assistente. Selecionar Adicionar uma fonte de dados abre um modal que permite adicionar uma fonte de dados por meio da Pesquisa Cognitiva do Azure ou do Armazenamento de Blob. Selecionar a opção Pesquisa Cognitiva do Azure e um recurso existente da Pesquisa Cognitiva do Azure deve carregar os índices disponíveis da Pesquisa Cognitiva do Azure para selecionar.
Causa
Para fazer uma chamada de API genérica para listar serviços de Pesquisa Cognitiva do Azure, a seguinte chamada é feita:
https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Search/searchServices?api-version=2021-04-01-Preview
Substitua {subscriptionId} pelo seu ID de subscrição real.
Para esta chamada de API, você precisa de uma função de escopo no nível de assinatura. Você pode usar a função Leitor para acesso somente leitura ou a função Colaborador para acesso leitura-gravação. Se precisar apenas de acesso aos serviços de Pesquisa Cognitiva do Azure, pode utilizar as funções de Colaborador do Serviço de Pesquisa Cognitiva do Azure ou de Leitor do Serviço de Pesquisa Cognitiva do Azure.
Opções de solução
Entre em contato com o administrador ou proprietário da assinatura: entre em contato com a pessoa que gerencia sua assinatura do Azure e solicite o acesso apropriado. Explique seus requisitos e a função específica de que você precisa (por exemplo, Leitor, Colaborador, Colaborador do Serviço de Pesquisa Cognitiva do Azure ou Leitor do Serviço de Pesquisa Cognitiva do Azure).
Solicitar acesso no nível da assinatura ou no nível do grupo de recursos: se você precisar de acesso a recursos específicos, peça ao proprietário da assinatura para conceder acesso no nível apropriado (assinatura ou grupo de recursos). Isso permite que você execute as tarefas necessárias sem ter acesso a recursos não relacionados.
Usar chaves de API para a Pesquisa Cognitiva do Azure: se você só precisar interagir com o serviço de Pesquisa Cognitiva do Azure, poderá solicitar as chaves de administrador ou as chaves de consulta do proprietário da assinatura. Essas chaves permitem que você faça chamadas de API diretamente para o serviço de pesquisa sem precisar de uma função RBAC do Azure. Lembre-se de que o uso de chaves de API ignorará o controle de acesso RBAC do Azure, portanto, use-as com cautela e siga as práticas recomendadas de segurança.
Não é possível carregar arquivos no Azure OpenAI Studio para em seus dados
Sintoma: Não é possível acessar o armazenamento para o recurso em seus dados usando o Azure OpenAI Studio.
Causa raiz:
Acesso insuficiente no nível de assinatura para o usuário que tenta acessar o armazenamento de blob no Azure OpenAI Studio. O usuário pode não ter as permissões necessárias para chamar o ponto de extremidade da API de Gerenciamento do Azure: https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{accountName}/listAccountSas?api-version=2022-09-01
O acesso público ao armazenamento de blobs é desativado pelo proprietário da subscrição do Azure por razões de segurança.
Permissões necessárias para a chamada de API: **Microsoft.Storage/storageAccounts/listAccountSas/action:** essa permissão permite que o usuário liste os tokens SAS (Assinatura de Acesso Compartilhado) para a conta de armazenamento especificada.
Possíveis razões pelas quais o usuário pode não ter permissões:
- O usuário recebe uma função limitada na assinatura do Azure, que não inclui as permissões necessárias para a chamada de API.
- A função do utilizador foi restringida pelo proprietário ou administrador da subscrição devido a preocupações de segurança ou políticas organizacionais.
- A função do usuário foi alterada recentemente e a nova função não concede as permissões necessárias.
Opções de solução
- Verificar e atualizar os direitos de acesso: verifique se o usuário tem o acesso apropriado no nível de assinatura, incluindo as permissões necessárias para a chamada de API (Microsoft.Storage/storageAccounts/listAccountSas/action). Se necessário, solicite ao proprietário ou administrador da assinatura que conceda os direitos de acesso necessários.
- Solicite assistência do proprietário ou administrador: Se a solução acima não for viável, considere pedir ao proprietário ou administrador da assinatura para carregar os arquivos de dados em seu nome. Essa abordagem pode ajudar a importar os dados para o Azure OpenAI Studio sem que o usuário precise de acesso em nível de assinatura ou acesso público ao armazenamento de blob.
Próximos passos
- Saiba mais sobre o controle de acesso baseado em função do Azure (Azure RBAC).
- Confira tambématribuir funções do Azure usando o portal do Azure.