Role RBAC Azure OpenAI
Tyto role RBAC můžete přiřadit identitám pro službu Azure OpenAI:
- Role uživatele Cognitive Services OpenAI umožňuje zobrazit prostředky, koncové body a nasazení modelů, využívat zkušební prostředí a provádět volání API k odvozování. Neumožňuje ale vytvářet prostředky, zobrazovat, kopírovat nebo znovu vygenerovat klíče ani spravovat nasazení modelu.
- Role přispěvatele OpenAI služeb Cognitive Services zahrnuje všechna uživatelská oprávnění a možnost vytvářet vlastní jemně vyladěné modely, nahrávat datové sady a spravovat nasazení modelu. Nepovoluje vytváření nových prostředků ani správu klíčů.
- Role přispěvatele služeb Cognitive Services umožňuje vytvářet nové prostředky, zobrazovat a spravovat klíče, vytvářet a spravovat nasazení modelů a používat prostředí pro dětské hřiště. Nepovoluje přístup k kvótám ani volání rozhraní API pro odvozování.
- Role Čtenář využití služeb Cognitive Services umožňuje zobrazit využití kvóty v rámci předplatného. Tato role poskytuje minimální přístup a obvykle se kombinuje s jinými rolemi.
Vždy zvolte roli, která poskytuje nejnižší množství oprávnění vyžadovaných pro identitu, aby prováděla úlohy, které potřebuje provést. Další podrobnosti o rolích RBAC v Azure OpenAI.
Konfigurace přiřazení rolí na webu Azure Portal
Pokud chcete povolit ověřování bez klíčů, nakonfigurujte podle těchto kroků potřebná přiřazení rolí:
- Na webu Azure Portal přejděte ke konkrétnímu prostředku Azure OpenAI.
- V nabídce služby vyberte řízení přístupu (IAM).
- Vyberte Přidat přiřazení role. V okně, které se otevře, vyberte kartu Role.
- Vyberte roli, kterou chcete přiřadit.
- Na kartě Členové vyberte uživatele, skupinu, instanční objekt nebo spravovanou identitu, kterou chcete přiřadit k roli.
- Na kartě Ověřit a přiřadit potvrďte své vybrané možnosti. Vyberte Zkontrolovat a přiřadit a dokončete přiřazení role.
Během několika minut se vybranému uživateli nebo identitě udělí přiřazená role ve zvoleném oboru. Uživatel nebo identita pak může přistupovat ke službám Azure OpenAI, aniž by potřeboval klíč rozhraní API.
Konfigurace přiřazení rolí v Azure CLI
Pokud chcete nakonfigurovat přiřazení rolí pomocí Azure CLI, postupujte takto:
Najděte roli pro vaše využití Azure OpenAI. V závislosti na tom, jak chcete tuto roli nastavit, potřebujete název nebo ID:
- Pro Azure CLI nebo Azure PowerShell můžete použít název role.
- Pro Bicep potřebujete ID role.
Pomocí následující tabulky vyberte název role nebo ID role:
Případ použití Název role Role ID Asistenti Přispěvatel kognitivních služeb OpenAI a001fd3d-188f-4b5d-821b-7da978bf7442 Dokončení chatu Uživatel služeb OpenAI Cognitive Services 5e0bd9bd-7b93-4f28-af87-19fc36ad61bd Vyberte typ identity, který chcete použít:
- osobní identita je svázaná s vaším přihlášením do Azure.
- Spravovanou identitu spravuje Azure a vytvoří se pro použití v Azure. Pro tuto volbu vytvořte spravovanou identitu přiřazenou uživatelem. Při vytváření spravované identity potřebujete ID klienta (označované také jako ID aplikace).
Najděte svou osobní identitu a použijte ID jako hodnotu
<identity-id>v tomto kroku.Pokud chcete získat vlastní ID identity pro místní vývoj, použijte následující příkaz. Před použitím tohoto příkazu se musíte přihlásit pomocí
az login.az ad signed-in-user show \ --query id -o tsvPřiřaďte roli RBAC identitě pro skupinu prostředků. Pokud chcete prostředku udělit oprávnění k identitě prostřednictvím RBAC, přiřaďte roli pomocí příkazu Azure CLI
az role assignment create. Nahraďte<identity-id>,<subscription-id>a<resource-group-name>skutečnými hodnotami.az role assignment create \ --role "Cognitive Services OpenAI User" \ --assignee "\<identity-id>" \ --scope "/subscriptions/\<subscription-id>/resourceGroups/\<resource-group-name>"