Konfigurace RBAC pro identity Azure OpenAI
Přiřazení role RBAC (řízení přístupu na základě role) umožňuje přiřadit k identitě sadu předkonfigurovaných oprávnění. Tradiční identity, jako jsou uživatelé a skupiny Microsoft Entra, můžete přiřadit roli RBAC a také speciální identity, jako je spravovaná identita. Osvědčeným postupem je vytvořit skupinu zabezpečení Microsoft Entra, přiřadit k této skupině roli a pak přidat všechny identity, kterým chcete tato práva přiřadit jako členy skupiny. To zjednodušuje správu rolí, protože můžete rychle zjistit, jaká oprávnění byla přiřazena identitě kontrolou členství ve skupině. Pomáhá také v předplatných s velkým počtem identit a prostředků, protože existuje omezení počtu přiřazení rolí, které můžete nakonfigurovat.
Jsou čtyři role Azure OpenAI, kterým můžete přiřadit identity: tyto role jsou: Uživatel služeb Cognitive Services OpenAI, Přispěvatel služeb Cognitive Services OpenAI, Přispěvatel služeb Cognitive Services a Čtenář použití služeb Cognitive Services.
| Oprávnění | Uživatel Cognitive Services OpenAI | Přispěvatel Cognitive Services OpenAI | Přispěvatel služeb Cognitive Services | Čtenář využití služeb Cognitive Services |
|---|---|---|---|---|
| Zobrazení prostředku na webu Azure Portal | ✅ | ✅ | ✅ | ➖ |
| Zobrazení koncového bodu prostředku v části Klíče a koncový bod | ✅ | ✅ | ✅ | ➖ |
| Zobrazení nasazení prostředků a přidružených modelů v Nástroji Azure OpenAI Studio | ✅ | ✅ | ✅ | ➖ |
| Zobrazení modelů, které jsou k dispozici pro nasazení v nástroji Azure OpenAI Studio | ✅ | ✅ | ✅ | ➖ |
| Použití prostředí chatu, dokončování a DALL-E (Preview) s libovolnými modely, které už byly nasazeny do tohoto prostředku Azure OpenAI. | ✅ | ✅ | ✅ | ➖ |
| Vytvoření nebo úprava nasazení modelu | ❌ | ✅ | ✅ | ➖ |
| Vytvoření nebo nasazení vlastních jemně vyladěných modelů | ❌ | ✅ | ✅ | ➖ |
| Nahrání datových sad pro vyladění | ❌ | ✅ | ✅ | ➖ |
| Vytvoření nových prostředků Azure OpenAI | ❌ | ❌ | ✅ | ➖ |
| Zobrazení, kopírování a opětovné vygenerování klíčů v části Klíče a koncový bod | ❌ | ❌ | ✅ | ➖ |
| Vytvoření přizpůsobených filtrů obsahu | ❌ | ❌ | ✅ | ➖ |
| Přidání zdroje dat pro funkci "na vašich datech" | ❌ | ❌ | ✅ | ➖ |
| Kvóta přístupu | ❌ | ❌ | ❌ | ✅ |
| Volání inference API pomocí ID Microsoft Entra | ✅ | ✅ | ❌ | ➖ |
Uživatel Cognitive Services OpenAI
Identity přiřazené roli uživatele OpenAI služeb Cognitive Services mohou provádět následující úlohy:
- Zobrazení prostředku Azure OpenAI na webu Azure Portal
- Zobrazit koncový bod zdroje Azure OpenAI v části Klíče a koncový bod
- Zobrazte prostředek Azure OpenAI a přidružená nasazení modelů v Azure OpenAI Studio
- Zobrazení modelů, které jsou k dispozici pro nasazení v nástroji Azure OpenAI Studio
- Použijte prostředí Chat, Completions a Dali playgroundu pro generování textu a obrázků pomocí libovolných modelů, které už byly nasazeny v tomto prostředku Azure OpenAI
- Uživatelé, kteří tuto roli uchovávají, můžou také provádět volání rozhraní API pro odvozování pomocí ID Microsoft Entra.
Přispěvatel Cognitive Services OpenAI
Identitám přiřazeným roli Přispěvatel OpenAI služeb Cognitive Services mohou provádět všechny úlohy, které jsou dostupné uživateli s rolí OpenAI Uživatel služeb Cognitive Services. Můžou také provádět úlohy, mezi které patří:
- Vytváření vlastních jemně vyladěných modelů
- Nahrání datových sad pro vyladění
- Vytvořit nová nasazení modelů
- Upravte existující nasazení modelu.
Přispěvatel služeb Cognitive Services
Role Přispěvatel služeb Cognitive Services má obvykle přístup na úrovni skupiny prostředků pro uživatele ve spojení s dalšími rolemi. Tato role sama o sobě umožní identitě provádět následující úlohy:
- Vytvoření nových prostředků Azure OpenAI v rámci přiřazené skupiny prostředků
- Zobrazení prostředků v přiřazené skupině prostředků na webu Azure Portal
- Zobrazení koncového bodu prostředku v části Klíče a koncový bod
- Zobrazení, kopírování a opětovné vygenerování klíčů v části Klíče a koncový bod
- Použijte prostředí Chat, Completions a Dali playgroundu pro generování textu a obrázků pomocí libovolných modelů, které už byly nasazeny v tomto prostředku Azure OpenAI
- Vytvoření přizpůsobených filtrů obsahu
- Přidání zdroje dat pro funkci „použijte svá data“
- Vytvoření nových nasazení modelu nebo úprava existujících nasazení modelů prostřednictvím rozhraní API
- Vytváření vlastních jemně vyladěných modelů, nahrávání datových sad pro vyladění
- Vytvoření nových nasazení modelu nebo úprava existujících nasazení modelů prostřednictvím nástroje Azure OpenAI Studio
Čtenář využití služeb Cognitive Services
Role Čtenář využití služeb Cognitive Services má minimální přístup potřebný k zobrazení využití kvóty v rámci předplatného Azure. Pokud tuto roli nechcete používat, role čtenáře předplatného poskytuje ekvivalentní přístup, ale také uděluje přístup pro čtení nad rámec toho, co je potřeba pro zobrazení kvóty.
Při přiřazování rolí k identitám si vždy pamatujte princip nejnižších oprávnění, nikoli princip uživatelského pohodlí. Pokud osoba, aplikace nebo služba vyžaduje pouze schopnost provádět úlohy minimálně zřízené role, to je role, kterou byste k této identitě měli přiřadit. Nezapomeňte také na osvědčený postup přiřazování skupin Microsoft Entra s smysluplnými názvy k roli a následnému řízení členství v rolích přidáním a odebráním uživatelů z těchto skupin.
Konfigurace přiřazení rolí na webu Azure Portal
Pokud chcete povolit ověřování bez klíčů, nakonfigurujte podle těchto kroků potřebná přiřazení rolí:
- Vyberte Azure OpenAI: Na webu Azure Portal přejděte ke konkrétnímu prostředku Azure OpenAI.
- Řízení přístupu: V levém navigačním podokně vyberte možnost Řízení přístupu (IAM).
- Přidat přiřazení role: Vyberte Přidat přiřazení role a na další obrazovce zvolte kartu Role.
- Vyberte roli: Zvolte požadovanou roli, kterou chcete přiřadit, například Čtenář nebo Přispěvatel.
- Karta Členové: Na kartě Členové vyberte uživatele, skupinu, instanční objekt nebo spravovanou identitu a přiřaďte roli.
- Revize a přiřazení: Na kartě Revize a přiřazení potvrďte výběry a vyberte Zkontrolovat a přiřadit a dokončete přiřazení role.
Během několika minut se vybranému uživateli nebo identitě udělí přiřazená role ve zvoleném oboru a umožní jim přístup ke službám Azure OpenAI, aniž by potřeboval klíč rozhraní API.