Rôles RBAC Azure OpenAI

  • 7 minutes

Ces rôles RBAC sont disponibles pour vous permettre d’attribuer des identités pour Azure OpenAI Service :

  • Le rôle d’utilisateur OpenAI Cognitive Services permet d’afficher les ressources, les points de terminaison et les modèles de déploiement, en utilisant des expériences de terrain de jeu et en effectuant des appels d’API d’inférence. Toutefois, il n’autorise pas la création de ressources, l’affichage/la copie/la régénération des clés ou la gestion des déploiements de modèles.
  • Le rôle de Contributeur OpenAI Cognitive Services inclut toutes les autorisations utilisateur, ainsi que la possibilité de créer des modèles affinés personnalisés, de télécharger des jeux de données et de gérer les déploiements de modèles. Elle n’autorise pas la création de nouvelles ressources ou la gestion des clés.
  • Le rôle Contributeur Cognitive Services permet de créer de nouvelles ressources, d’afficher et de gérer des clés, de créer et de gérer des déploiements de modèles et d’utiliser des expériences de terrain de jeu. Il n’autorise pas l’accès aux quotas ou n’effectue pas d’appels d’API d’inférence.
  • Le rôle Lecteur d’utilisations Cognitive Services permet d’afficher l’utilisation du quota sur un abonnement. Ce rôle fournit un accès minimal et est généralement combiné à d’autres rôles.

Choisissez toujours un rôle qui fournit le niveau de privilège le plus bas requis pour l'identité afin d'accomplir les tâches nécessaires. Pour plus d’informations sur les rôles RBAC Azure OpenAI.

Configurer des attributions de rôles dans le portail Azure

Pour activer l’authentification sans clé, procédez comme suit pour configurer les attributions de rôles nécessaires :

  1. Dans le portail Azure, accédez à votre ressource Azure OpenAI spécifique.
  2. Dans le menu du service, sélectionnez contrôle d’accès (IAM).
  3. Sélectionnez Ajouter une attribution de rôle. Dans le volet qui s’ouvre, sélectionnez l’onglet Rôle.
  4. Sélectionnez le rôle que vous souhaitez attribuer.
  5. Sous l’onglet Membres, sélectionnez un utilisateur, un groupe, un principal de service ou une identité managée à attribuer au rôle.
  6. Sous l’onglet Vérifier + affecter, confirmez vos sélections. Sélectionnez Vérifier + affecter pour finaliser l’attribution de rôle.

Dans quelques minutes, l’utilisateur ou l’identité sélectionné reçoit le rôle attribué à l’étendue choisie. L’utilisateur ou l’identité peut ensuite accéder aux services Azure OpenAI sans avoir besoin d’une clé API.

Configurer des attributions de rôles dans Azure CLI

Pour configurer des attributions de rôles à l’aide d’Azure CLI, procédez comme suit :

  1. Recherchez le rôle pour votre utilisation d’Azure OpenAI. Selon la façon dont vous avez l’intention de définir ce rôle, vous avez besoin du nom ou de l’ID :

    • Pour Azure CLI ou Azure PowerShell, vous pouvez utiliser un nom de rôle.
    • Pour Bicep, vous avez besoin de l’ID de rôle.

    Utilisez le tableau suivant pour sélectionner un nom de rôle ou un ID de rôle :

    Cas d'utilisation Nom du rôle ID de rôle
    Assistants Contributeur pour les services cognitifs d'OpenAI a001fd3d-188f-4b5d-821b-7da978bf7442
    Complétions de conversation Utilisateur OpenAI de Cognitive Services 5e0bd9bd-7b93-4f28-af87-19fc36ad61bd

  2. Sélectionnez un type d’identité à utiliser :

    • Une identité personnelle est liée à votre connexion Azure.
    • Une identité managée est gérée par Azure et créée pour une utilisation sur Azure. Pour ce choix, créez une identité gérée par l'utilisateur. Lorsque vous créez l’identité managée, vous avez besoin de l’ID client (également appelé ID d’application).

  3. Recherchez votre identité personnelle et utilisez l’ID comme valeur <identity-id> dans cette étape.

    Pour le développement local, pour obtenir votre propre ID d’identité, utilisez la commande suivante. Vous devez vous connecter avec az login avant d’utiliser cette commande.

    az ad signed-in-user show \
    --query id -o tsv

  4. Attribuez le rôle RBAC à l’identité du groupe de ressources. Pour accorder vos autorisations d’identité à votre ressource via RBAC, attribuez un rôle à l’aide de la commande Azure CLI az role assignment create. Remplacez <identity-id>, <subscription-id>et <resource-group-name> par vos valeurs réelles.

    az role assignment create \
    --role "Cognitive Services OpenAI User" \
    --assignee "\<identity-id>" \
    --scope "/subscriptions/\<subscription-id>/resourceGroups/\<resource-group-name>"