Azure OpenAI Hizmeti için rol tabanlı erişim denetimi
Azure OpenAI Hizmeti, Azure kaynaklarına bireysel erişimi yönetmek için bir yetkilendirme sistemi olan Azure rol tabanlı erişim denetimini (Azure RBAC) destekler. Azure RBAC kullanarak, belirli bir projeye yönelik ihtiyaçlarına göre farklı ekip üyelerine farklı izin düzeyleri atarsınız. Daha fazla bilgi için Azure RBAC belgelerine bakın.
Azure OpenAI kaynağına rol ataması ekleme
Azure RBAC bir Azure OpenAI kaynağına atanabilir. Bir Azure kaynağına erişim vermek için rol ataması eklersiniz.
Azure OpenAI'yi seçin ve belirli kaynağınıza gidin.
Not
Azure RBAC'yi tüm kaynak grupları, abonelikler veya yönetim grupları için de ayarlayabilirsiniz. Bunu yapmak için istenen kapsam düzeyini seçin ve ardından istenen öğeye gidin. Örneğin, Kaynak gruplarını seçip belirli bir kaynak grubuna gidin.
Sol gezinti bölmesinde Erişim denetimi (IAM) öğesini seçin.
Ekle'yi ve ardından Rol ataması ekle'yi seçin.
Sonraki ekrandaki Rol sekmesinde, eklemek istediğiniz rolü seçin.
Üyeler sekmesinde bir kullanıcı, grup, hizmet sorumlusu veya yönetilen kimlik seçin.
Gözden geçirme + atama sekmesinde Gözden geçir + ata’yı seçerek rolü atayın.
Birkaç dakika içinde, hedefe seçilen kapsamda seçili rol atanır. Bu adımlarla ilgili yardım için bkz . Azure portalını kullanarak Azure rolleri atama.
Azure OpenAI rolleri
- Bilişsel Hizmetler OpenAI Kullanıcısı
- Bilişsel Hizmetler Katkıda Bulunanı
- Bilişsel Hizmetler Katkıda Bulunanı
- Bilişsel Hizmetler Kullanımları Okuyucusu
Not
Abonelik düzeyi Sahip ve Katkıda Bulunan rolleri devralınır ve Kaynak Grubu düzeyinde uygulanan özel Azure OpenAI rollerine göre öncelik alır.
Bu bölüm, Azure OpenAI kaynakları için farklı hesapların ve hesap bileşimlerinin gerçekleştirebileceği yaygın görevleri kapsar. Kullanılabilir Eylemler ve DataActions'ın tam listesini görüntülemek için Azure OpenAI kaynağınızdan erişim denetimi (IAM)>Roller'e> gidin ve ilgilendiğiniz rolün Ayrıntılar sütununun altında Görünüm'ü seçin. Varsayılan olarak Eylemler radyal düğmesi seçilidir. Bir role atanan özelliklerin tam kapsamını anlamak için hem Eylemler'i hem de DataActions'ı incelemeniz gerekir.
Bilişsel Hizmetler OpenAI Kullanıcısı
Bir kullanıcıya Azure OpenAI kaynağı için yalnızca bu role rol tabanlı erişim verilmişse, aşağıdaki yaygın görevleri gerçekleştirebilir:
✅ Azure portalında kaynağı görüntüleme
✅ Anahtarlar ve Uç Nokta altında kaynak uç noktasını görüntüleme
✅ Azure OpenAI Studio'da kaynak ve ilişkili model dağıtımlarını görüntüleme olanağı.
✅ Azure OpenAI Studio'da hangi modellerin dağıtım için kullanılabilir olduğunu görüntüleme olanağı.
✅ Bu Azure OpenAI kaynağına dağıtılmış olan tüm modellerle metin ve görüntü oluşturmak için Sohbet, Tamamlamalar ve DALL-E (önizleme) oyun alanı deneyimlerini kullanın.
✅ Microsoft Entra Id ile çıkarım API'si çağrıları yapın.
Yalnızca bu role atanmış bir kullanıcı şu şekilde yapamaz:
❌ Yeni Azure OpenAI kaynakları oluşturma
❌ Anahtarlar ve Uç Nokta altında anahtarları görüntüleme/kopyalama/yeniden oluşturma
❌ Yeni model dağıtımları oluşturma veya mevcut model dağıtımlarını düzenleme
❌ Özel ince ayarlı modeller oluşturma/dağıtma
❌ hassas ayarlama için veri kümelerini karşıya yükleme
❌ Erişim kotası
❌ Özelleştirilmiş içerik filtreleri oluşturma
❌ Verilerinizi kullanma özelliği için veri kaynağı ekleme
Bilişsel Hizmetler Katkıda Bulunanı
Bu rol Bilişsel Hizmetler OpenAI Kullanıcısı'nın tüm izinlerine sahiptir ve aşağıdaki gibi ek görevleri de gerçekleştirebilir:
✅ Özel ince ayarlı modeller oluşturma
✅ hassas ayarlama için veri kümelerini karşıya yükleme
✅ Yeni model dağıtımları oluşturma veya mevcut model dağıtımlarını düzenleme [Fall 2023 eklendi]
Yalnızca bu role atanmış bir kullanıcı şu şekilde yapamaz:
❌ Yeni Azure OpenAI kaynakları oluşturma
❌ Anahtarlar ve Uç Nokta altında anahtarları görüntüleme/kopyalama/yeniden oluşturma
❌ Erişim kotası
❌ Özelleştirilmiş içerik filtreleri oluşturma
❌ Verilerinizi kullanma özelliği için veri kaynağı ekleme
Bilişsel Hizmetler Katkıda Bulunanı
Bu role genellikle ek rollerle birlikte bir kullanıcı için kaynak grubu düzeyinde erişim verilir. Bu rol tek başına bir kullanıcının aşağıdaki görevleri gerçekleştirmesine olanak tanır.
✅ Atanan kaynak grubunda yeni Azure OpenAI kaynakları oluşturun.
✅Azure portalında atanan kaynak grubundaki kaynakları görüntüleyin.
✅ Anahtarlar ve Uç Nokta altında kaynak uç noktasını görüntüleme
✅ Anahtarlar ve Uç Nokta altında anahtarları görüntüleme/kopyalama/yeniden oluşturma
✅ Azure OpenAI Studio'da hangi modellerin dağıtım için kullanılabilir olduğunu görüntüleme olanağı
✅ Bu Azure OpenAI kaynağına dağıtılmış olan tüm modellerle metin ve görüntü oluşturmak için Sohbet, Tamamlamalar ve DALL-E (önizleme) oyun alanı deneyimlerini kullanın
✅ Özelleştirilmiş içerik filtreleri oluşturma
✅ Verilerinizi kullanma özelliği için veri kaynağı ekleme
✅ Yeni model dağıtımları oluşturma veya mevcut model dağıtımlarını düzenleme (API aracılığıyla)
✅ Özel ince ayarlı modeller oluşturma [Sonbahar 2023 eklendi]
✅ hassas ayarlama için veri kümelerini karşıya yükleme [Sonbahar 2023 eklendi]
✅ Yeni model dağıtımları oluşturma veya mevcut model dağıtımlarını düzenleme (Azure OpenAI Studio aracılığıyla) [Fall 2023 eklendi]
Yalnızca bu role atanmış bir kullanıcı şu şekilde yapamaz:
❌ Erişim kotası
❌ Microsoft Entra Id ile çıkarım API'si çağrıları yapın.
Bilişsel Hizmetler Kullanımları Okuyucusu
Kotayı görüntülemek için Bilişsel Hizmetler Kullanımı Okuyucusu rolü gerekir. Bu rol, Azure aboneliği genelinde kota kullanımını görüntülemek için gereken en düşük erişimi sağlar.
Bu rol Azure portalında Abonelikler *Erişim denetimi (IAM)>Bilişsel Hizmetler Kullanımları Okuyucusu için rol ataması> araması ekleme bölümünde bulunabilir.> Rol abonelik düzeyinde uygulanmalıdır, kaynak düzeyinde mevcut değildir.
Bu rolü kullanmak istemiyorsanız, abonelik Okuyucusu rolü eşdeğer erişim sağlar, ancak kotayı görüntülemek için gerekenlerin kapsamının ötesinde okuma erişimi de verir. Azure OpenAI Studio aracılığıyla model dağıtımı da kısmen bu rolün varlığına bağlıdır.
Bu rol tek başına çok az değer sağlar ve bunun yerine genellikle daha önce açıklanan rollerden biri veya daha fazlası ile birlikte atanır.
Bilişsel Hizmetler Kullanımları Okuyucusu + Bilişsel Hizmetler OpenAI Kullanıcısı
Bilişsel Hizmetler OpenAI Kullanıcısının tüm özelliklerine ek olarak aşağıdakileri yapma olanağı da vardır:
✅ Azure OpenAI Studio'da kota ayırmalarını görüntüleme
Bilişsel Hizmetler Kullanımları Okuyucusu + Bilişsel Hizmetler OpenAI Katkıda Bulunanı
Bilişsel Hizmetler OpenAI Katkıda Bulunanı'nın tüm özelliklerine ek olarak:
✅ Azure OpenAI Studio'da kota ayırmalarını görüntüleme
Bilişsel Hizmetler Kullanımları Okuyucusu + Bilişsel Hizmetler Katkıda Bulunanı
Bilişsel Hizmetler Katkıda Bulunanı'nın tüm özelliklerine ek olarak:
✅ Azure OpenAI Studio'da kota ayırmalarını görüntüleme ve düzenleme
✅ Yeni model dağıtımları oluşturma veya mevcut model dağıtımlarını düzenleme (Azure OpenAI Studio aracılığıyla)
Özet
| İzinler | Bilişsel Hizmetler OpenAI Kullanıcısı | Bilişsel Hizmetler Katkıda Bulunanı | Bilişsel Hizmetler Katkıda Bulunanı | Bilişsel Hizmetler Kullanımları Okuyucusu |
|---|---|---|---|---|
| Azure Portal'da kaynağı görüntüleme | ✅ | ✅ | ✅ | ➖ |
| "Anahtarlar ve Uç Nokta" altında kaynak uç noktasını görüntüleme | ✅ | ✅ | ✅ | ➖ |
| Azure OpenAI Studio'da kaynak ve ilişkili model dağıtımlarını görüntüleme | ✅ | ✅ | ✅ | ➖ |
| Azure OpenAI Studio'da hangi modellerin dağıtım için kullanılabilir olduğunu görüntüleme | ✅ | ✅ | ✅ | ➖ |
| Bu Azure OpenAI kaynağına dağıtılmış olan tüm modellerle Sohbet, Tamamlamalar ve DALL-E (önizleme) oyun alanı deneyimlerini kullanın. | ✅ | ✅ | ✅ | ➖ |
| Model dağıtımlarını oluşturma veya düzenleme | ❌ | ✅ | ✅ | ➖ |
| Özel ince ayarlı modeller oluşturma veya dağıtma | ❌ | ✅ | ✅ | ➖ |
| hassas ayarlama için veri kümelerini karşıya yükleme | ❌ | ✅ | ✅ | ➖ |
| Yeni Azure OpenAI kaynakları oluşturma | ❌ | ❌ | ✅ | ➖ |
| "Anahtarlar ve Uç Nokta" altında anahtarları görüntüleme/kopyalama/yeniden oluşturma | ❌ | ❌ | ✅ | ➖ |
| Özelleştirilmiş içerik filtreleri oluşturma | ❌ | ❌ | ✅ | ➖ |
| "Verilerinizde" özelliği için veri kaynağı ekleme | ❌ | ❌ | ✅ | ➖ |
| Erişim kotası | ❌ | ❌ | ❌ | ✅ |
| Microsoft Entra Id ile çıkarım API'si çağrıları yapma | ✅ | ✅ | ❌ | ➖ |
Genel Sorunlar
Azure OpenAI Studio'da Azure Bilişsel Arama seçeneği görüntülenemiyor
Sorun:
Mevcut bir Azure Bilişsel Arama kaynağı seçerken arama dizinleri yüklenmez ve yükleme tekerleği sürekli döner. Azure OpenAI Studio'da, Yardımcı kurulumu altında Playground Sohbeti>Verilerinizi ekleme (önizleme) bölümüne gidin. Veri kaynağı ekle'yi seçtiğinizde, Azure Bilişsel Arama veya Blob Depolama aracılığıyla veri kaynağı eklemenize olanak tanıyan bir kalıcı açılır. Azure Bilişsel Arama seçeneğinin ve mevcut bir Azure Bilişsel Arama kaynağının seçilmesi, seçilebilecek Azure Bilişsel Arama dizinlerini yüklemelidir.
Kök neden
Azure Bilişsel Arama hizmetlerini listelemek üzere genel bir API çağrısı yapmak için aşağıdaki çağrı yapılır:
https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Search/searchServices?api-version=2021-04-01-Preview
{subscriptionId} yerine gerçek abonelik kimliğinizi yazın.
Bu API çağrısı için abonelik düzeyi kapsam rolüne ihtiyacınız vardır. Salt okunur erişim için Okuyucu rolünü veya okuma-yazma erişimi için Katkıda Bulunan rolünü kullanabilirsiniz. Yalnızca Azure Bilişsel Arama hizmetlere erişmeniz gerekiyorsa, Azure Bilişsel Arama Hizmet Katkıda Bulunanı veya Azure Bilişsel Arama Hizmet Okuyucusu rollerini kullanabilirsiniz.
Çözümler seçenekleri
Abonelik yöneticinize veya sahibinize başvurun: Azure aboneliğinizi yöneten kişiye ulaşın ve uygun erişimi isteyin. Gereksinimlerinizi ve ihtiyacınız olan rolü açıklayın (örneğin, Okuyucu, Katkıda Bulunan, Azure Bilişsel Arama Hizmet Katkıda Bulunanı veya Azure Bilişsel Arama Hizmet Okuyucusu).
Abonelik düzeyi veya kaynak grubu düzeyinde erişim isteme: Belirli kaynaklara erişmeniz gerekiyorsa, abonelik sahibinden size uygun düzeyde (abonelik veya kaynak grubu) erişim izni vermesini isteyin. Bu, ilgisiz kaynaklara erişmeden gerekli görevleri gerçekleştirmenizi sağlar.
Azure Bilişsel Arama için API anahtarlarını kullanma: Yalnızca Azure Bilişsel Arama hizmetiyle etkileşim kurmanız gerekiyorsa, abonelik sahibinden yönetici anahtarlarını veya sorgu anahtarlarını isteyebilirsiniz. Bu anahtarlar, Azure RBAC rolüne gerek kalmadan doğrudan arama hizmetine API çağrıları yapmanıza olanak sağlar. API anahtarlarını kullanmanın Azure RBAC erişim denetimini atlayacağını unutmayın, bu nedenle bunları dikkatli bir şekilde kullanın ve en iyi güvenlik yöntemlerini izleyin.
Azure OpenAI Studio'da verilerinize dosya yüklenemiyor
Belirti: Azure OpenAI Studio kullanılarak veri özelliğinizin depolama alanına erişilemiyor.
Kök neden:
Azure OpenAI Studio'da blob depolamaya erişmeye çalışan kullanıcı için abonelik düzeyi erişimi yetersiz. Kullanıcı, Azure Yönetim API'sinin uç noktasını çağırmak için gerekli izinlere sahip olmayabilir:https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{accountName}/listAccountSas?api-version=2022-09-01
Blob depolamaya genel erişim, güvenlik nedeniyle Azure aboneliğinin sahibi tarafından devre dışı bırakılır.
API çağrısı için gereken izinler: **Microsoft.Storage/storageAccounts/listAccountSas/action:** Bu izin, kullanıcının belirtilen depolama hesabı için Paylaşılan Erişim İmzası (SAS) belirteçlerini listelemesine olanak tanır.
Kullanıcının izinlere sahip olmamasının olası nedenleri:
- Kullanıcıya Azure aboneliğinde api çağrısı için gerekli izinleri içermeyen sınırlı bir rol atanır.
- Güvenlik endişeleri veya kuruluş ilkeleri nedeniyle kullanıcının rolü abonelik sahibi veya yöneticisi tarafından kısıtlandı.
- Kullanıcının rolü yakın zamanda değiştirildi ve yeni rol gerekli izinleri vermiyor.
Çözümler seçenekleri
- Erişim haklarını doğrulama ve güncelleştirme: Kullanıcının API çağrısı için gerekli izinler de dahil olmak üzere uygun abonelik düzeyinde erişime sahip olduğundan emin olun (Microsoft.Depolama/storageAccounts/listAccountSas/action). Gerekirse, abonelik sahibinden veya yöneticiden gerekli erişim haklarını vermesini isteyin.
- Sahipten veya yöneticiden yardım isteyin: Yukarıdaki çözüm uygun değilse, abonelik sahibinden veya yöneticisinden veri dosyalarını sizin adınıza karşıya yüklemesini isteyebilirsiniz. Bu yaklaşım, kullanıcının blob depolamaya abonelik düzeyinde erişim veya genel erişim gerektirmeden verileri Azure OpenAI Studio'ya aktarmasına yardımcı olabilir.
Sonraki adımlar
- Azure rol tabanlı erişim denetimi (Azure RBAC) hakkında daha fazla bilgi edinin.
- Ayrıca Azure portalını kullanarak Azure rolleri atamaya da göz atın.