Configuration de RBAC pour les identités Azure OpenAI
L’attribution d’un rôle RBAC (contrôle d’accès en fonction du rôle) vous permet d’attribuer un ensemble d’autorisations préconfigurées à une identité. Vous pouvez attribuer des identités traditionnelles telles que des groupes et des utilisateurs Microsoft Entra à un rôle RBAC, ainsi que des identités spéciales comme une identité managée. Il est conseillé de créer un groupe de sécurité Microsoft Entra, d’attribuer le rôle au groupe, puis d’ajouter les identités auxquelles vous souhaitez attribuer ces droits comme membres du groupe. Cette opération simplifie la gestion des rôles, car vous pouvez rapidement déterminer les autorisations attribuées à une identité en passant en revue l’appartenance à un groupe. Elle est également utile dans les abonnements avec de grands nombres d’identités et de ressources, car il existe des limites quant au nombre d’attributions de rôle que vous pouvez configurer.
Il existe quatre rôles Azure OpenAI que vous pouvez attribuer aux identités : Ces rôles sont les suivants : Utilisateur OpenAI Cognitive Services, Contributeur OpenAI Cognitive Services, Contributeur Cognitive Services et Lecteur des utilisations Cognitive Services.
| autorisations | Utilisateur des Services Cognitifs OpenAI | Contributeur OpenAI Cognitive Services | Contributeur des Cognitive Services | Lecteur des utilisations Cognitive Services |
|---|---|---|---|---|
| Afficher la ressource dans le Portail Azure | ✅ | ✅ | ✅ | ➖ |
| Afficher le point de terminaison de la ressource sous « Clés et point de terminaison » | ✅ | ✅ | ✅ | ➖ |
| Voir la ressource et les modèles de déploiement associés dans Azure OpenAI Studio | ✅ | ✅ | ✅ | ➖ |
| Voir les modèles qui sont disponibles pour le déploiement dans Azure OpenAI Studio | ✅ | ✅ | ✅ | ➖ |
| Utilisez les expériences de terrain de jeu Conversation, Saisies semi-automatiques et DALL-E (préversion) avec n’importe quel modèle déjà déployé sur cette ressource Azure OpenAI. | ✅ | ✅ | ✅ | ➖ |
| Créer ou modifier des modèles de déploiement | ❌ | ✅ | ✅ | ➖ |
| Créer ou déployer des modèles personnalisés affinés | ❌ | ✅ | ✅ | ➖ |
| Charger des jeux de données pour les affiner | ❌ | ✅ | ✅ | ➖ |
| Créer des ressources Azure OpenAI | ❌ | ❌ | ✅ | ➖ |
| Voir/copier/regénérer des clés sous « Clés et point de terminaison » | ❌ | ❌ | ✅ | ➖ |
| Créer des filtres de contenu personnalisés | ❌ | ❌ | ✅ | ➖ |
| Ajouter une source de données pour la fonctionnalité « sur vos données » | ❌ | ❌ | ✅ | ➖ |
| Quota d’accès | ❌ | ❌ | ❌ | ✅ |
| Effectuer des appels d’API d’inférence avec Microsoft Entra ID | ✅ | ✅ | ❌ | ➖ |
Utilisateur des Services Cognitifs OpenAI
Les identités attribuées au rôle OpenAI Cognitive Services peuvent effectuer les tâches suivantes :
- Afficher la ressource Azure OpenAI dans le Portail Azure
- Afficher le point de terminaison de ressource Azure OpenAI sous Clés et point de terminaison
- Afficher la ressource Azure OpenAI et les modèles de déploiement associés dans Azure OpenAI Studio
- Voir les modèles qui sont disponibles pour le déploiement dans Azure OpenAI Studio
- Utilisez les modules d'expérimentation Conversation, Génération de texte et Dali pour générer du texte et des images avec tous les modèles déjà déployés sur cette ressource Azure OpenAI.
- Les utilisateurs détenant ce rôle peuvent également effectuer des appels d’API d’inférence avec Microsoft Entra ID
Contributeur OpenAI Cognitive Services
Les identités attribuées au rôle Contributeur OpenAI Cognitive Services peuvent effectuer toutes les tâches disponibles à un utilisant détenant le rôle Utilisateur OpenAI Cognitive Services. Elles peuvent également effectuer les tâches suivantes :
- Créer des modèles finement ajustés et personnalisés
- Charger des jeux de données pour les affiner
- Créer de nouveaux déploiements de modèles
- Modifier des modèles de déploiement existants.
Contributeur des Cognitive Services
Le rôle Contributeur Cognitive Services se voit généralement attribuer un accès au niveau du groupe de ressources pour un utilisateur, conjointement à des rôles supplémentaires. Ce rôle, à lui seul, permet à une identité d’effectuer les tâches suivantes :
- Créer des ressources Azure OpenAI dans le groupe de ressources attribué
- Afficher les ressources du groupe de ressources attribué dans le Portail Azure
- Afficher le point de terminaison de la ressource sous Clés et point de terminaison
- Voir/copier et regénérer des clés sous Clés et point de terminaison
- Utilisez les modules d'expérimentation Conversation, Génération de texte et Dali pour générer du texte et des images avec tous les modèles déjà déployés sur cette ressource Azure OpenAI.
- Créer des filtres de contenu personnalisés
- Ajouter une source de données pour la fonctionnalité Utiliser vos données
- Créer des modèles de déploiement ou modifier des modèles de déploiement existants via l’API
- Créer des modèles ajustés personnalisés, Charger des jeux de données pour l’ajustement
- Créer des modèles de déploiement ou modifier les modèles existants via Azure OpenAI Studio
Lecteur des utilisations Cognitive Services
Le rôle Lecteur des utilisations Cognitive Services a un accès minimal nécessaire pour afficher l’utilisation du quota dans un abonnement Azure. Si vous ne souhaitez pas utiliser ce rôle, le rôle Lecteur de l’abonnement fournit un accès équivalent, mais il accorde également un accès en lecture au-delà de ce qui est nécessaire pour afficher les quotas.
Lorsque vous attribuez des rôles aux identités, rappelez-vous toujours du principe du moindre privilège plutôt que du principe de la commodité de l'utilisateur. Si une personne, une application ou un service nécessite uniquement la capacité à réaliser les tâches d’un rôle approvisionné au minimum, il s’agit du rôle que vous devez attribuer à cette identité. N’oubliez pas non plus la meilleure pratique d’attribuer des groupes Microsoft Entra avec des noms pertinents à un rôle, puis de contrôler l’appartenance de rôle en ajoutant et supprimant des utilisateurs à partir de ces groupes.
Configuration des attributions de rôles dans le Portail Azure
Pour activer l’authentification sans clé, suivez cette procédure pour configurer les attributions de rôle nécessaires :
- Sélectionnez Azure OpenAI : Accédez à votre ressource Azure OpenAI spécifique dans le Portail Azure.
- Contrôle d’accès : Dans le volet de navigation gauche, sélectionnez l’option Contrôle d’accès (IAM).
- Ajoutez une attribution de rôle : Sélectionnez Ajouter une attribution de rôle, puis à l’écran suivant, choisissez l’onglet Rôle.
- Sélectionnez un rôle : Choisissez le rôle que vous souhaitez attribuer, tel que Lecteur ou Contributeur.
- Onglet Membres : Sous l’onglet Membres, sélectionnez un utilisateur, un groupe, un principal de service ou une identité managée pour attribuer un rôle.
- Vérifiez et attribuez : Sous l’onglet Vérifier + attribuer, confirmez vos sélections, puis sélectionnez Vérifier + attribuer pour finaliser l’attribution de rôle.
Sous quelques minutes, l’identité ou l’utilisateur sélectionné se voit octroyer le rôle attribué dans l’étendue choisie, ce qui lui permet d’accéder aux services Azure OpenAI sans nécessiter de clé API.