Azure 语言服务正在尝试创建角色,但我没有这样做的权限
Azure Language services is trying to create roles and I don't have the permission to do so
我正在尝试部署 Azure 语言服务(自定义文本分类)。但是我无法创建我想要的资源,因为该服务正在尝试分配角色。这样做的原因是它可以访问存储帐户。显然我没有这样做的权限,因为我在一家公司工作。有什么办法可以避免这种情况吗?有没有一种不需要分配角色权限就可以创建资源的方法?
附带说明:我确实有权创建资源
您有 2 个选项可以在 Azure 语言服务上使用自定义文本分类:
- 使用新创建的 Azure 语言服务资源和 select 在此资源的设置过程中使用“自定义文本分类”
- 使用现有的 Azure 语言服务资源并在其上启用“自定义文本分类”(2 步设置)
在这两种情况下,您都需要可以在资源上设置角色的人的干预,但第二个选项需要他们这边的操作较少(这只是角色分配与第一个选项的资源创建)。
1 步资源设置
在第一种情况下(我猜是你做的那种),进程需要按照你提到的那样设置角色,你被阻止了,因为你没有这个权限。
2 步设置
程序
在第二种情况下,您可以:
- 首先在没有 selecting“自定义文本分类”的情况下创建 Azure 语言服务(参见下面的详细信息)
- 在此资源上启用 managed-identity
- 然后创建一个存储帐户供以后使用
- 请管理员设置您的存储权限
- 在您的 Azure 语言资源上启用“自定义文本分类”
Azure 语言服务资源设置
创建资源
- 创建期间不要select“自定义文本分类”功能
- 区域:“美国西部 2”或“西欧”
- 定价:“标准 S”
启用managed-identity
在 Azure 门户中,在“身份”选项卡下,启用托管身份(系统分配或用户分配,由您决定)
点击“打开”并保存后:
存储帐户设置
创建资源
在与您的语言服务资源相同的区域中创建您的存储:
设置权限
权限是文档here中的详细信息
Your Azure blob storage account must have the below roles:
- Your resource has the owner or contributor role on the storage account.
- Your resource has the Storage blob data owner or Storage blob data contributor role on the storage account.
- Your resource has the Reader role on the storage account.
所以您必须让您的“管理员”转到存储帐户资源的“访问控制 (IAM)”部分,并将角色添加到您之前启用的托管身份。通过使用最小特权原则,我将设置以下角色:
- 存储 blob 数据贡献者
- Reader
存储 Blob 数据贡献者设置示例:
完成 Azure 语言服务设置
转到 Language Studio (https://language.cognitive.azure.com/) 并选择您的语言服务资源。然后,转到“自定义文本分类”。
点击“创建新项目”,您将被引导到link您的语言服务资源到您的存储帐户:
Select 存储帐户并单击下一步。
您可以在您的语言服务资源的“Activity 日志”中检查它link将存储存储到此资源:
它在属性中添加了“userOwnedStorage”属性:
那你就可以开始了!
我正在尝试部署 Azure 语言服务(自定义文本分类)。但是我无法创建我想要的资源,因为该服务正在尝试分配角色。这样做的原因是它可以访问存储帐户。显然我没有这样做的权限,因为我在一家公司工作。有什么办法可以避免这种情况吗?有没有一种不需要分配角色权限就可以创建资源的方法?
附带说明:我确实有权创建资源
您有 2 个选项可以在 Azure 语言服务上使用自定义文本分类:
- 使用新创建的 Azure 语言服务资源和 select 在此资源的设置过程中使用“自定义文本分类”
- 使用现有的 Azure 语言服务资源并在其上启用“自定义文本分类”(2 步设置)
在这两种情况下,您都需要可以在资源上设置角色的人的干预,但第二个选项需要他们这边的操作较少(这只是角色分配与第一个选项的资源创建)。
1 步资源设置
在第一种情况下(我猜是你做的那种),进程需要按照你提到的那样设置角色,你被阻止了,因为你没有这个权限。
2 步设置
程序
在第二种情况下,您可以:
- 首先在没有 selecting“自定义文本分类”的情况下创建 Azure 语言服务(参见下面的详细信息)
- 在此资源上启用 managed-identity
- 然后创建一个存储帐户供以后使用
- 请管理员设置您的存储权限
- 在您的 Azure 语言资源上启用“自定义文本分类”
Azure 语言服务资源设置
创建资源
- 创建期间不要select“自定义文本分类”功能
- 区域:“美国西部 2”或“西欧”
- 定价:“标准 S”
启用managed-identity
在 Azure 门户中,在“身份”选项卡下,启用托管身份(系统分配或用户分配,由您决定)
点击“打开”并保存后:
存储帐户设置
创建资源
在与您的语言服务资源相同的区域中创建您的存储:
设置权限
权限是文档here中的详细信息
Your Azure blob storage account must have the below roles:
- Your resource has the owner or contributor role on the storage account.
- Your resource has the Storage blob data owner or Storage blob data contributor role on the storage account.
- Your resource has the Reader role on the storage account.
所以您必须让您的“管理员”转到存储帐户资源的“访问控制 (IAM)”部分,并将角色添加到您之前启用的托管身份。通过使用最小特权原则,我将设置以下角色:
- 存储 blob 数据贡献者
- Reader
存储 Blob 数据贡献者设置示例:
完成 Azure 语言服务设置
转到 Language Studio (https://language.cognitive.azure.com/) 并选择您的语言服务资源。然后,转到“自定义文本分类”。
点击“创建新项目”,您将被引导到link您的语言服务资源到您的存储帐户:
Select 存储帐户并单击下一步。
您可以在您的语言服务资源的“Activity 日志”中检查它link将存储存储到此资源:
它在属性中添加了“userOwnedStorage”属性:
那你就可以开始了!