Azure OpenAI RBAC-szerepkörök

  • 7 perc

Ezek az RBAC-szerepkörök az Azure OpenAI szolgáltatás identitásaihoz rendelhetők:

  • A Cognitive Services OpenAI felhasználói szerepköre lehetővé teszi az erőforrások, végpontok és modelltelepítések megtekintését; játszótéri élmények használata; és következtetési API-hívások indítása. Ez azonban nem teszi lehetővé az erőforrások létrehozását, a kulcsok megtekintését/másolását/újragenerálását vagy a modelltelepítések kezelését.
  • A Cognitive Services OpenAI közreműködői szerepköre tartalmazza az összes felhasználói engedélyt, valamint egyéni, finomhangolt modellek létrehozását, adathalmazok feltöltését és modelltelepítések kezelését. Nem teszi lehetővé új erőforrások létrehozását vagy kulcsok kezelését.
  • A Cognitive Services közreműködői szerepköre lehetővé teszi új erőforrások létrehozását, a kulcsok megtekintését és kezelését, a modelltelepítések létrehozását és kezelését, valamint a játszótéri szolgáltatások használatát. Nem teszi lehetővé a kvótákhoz való hozzáférést vagy a következtetési API-hívások indítását.
  • A Cognitive Services Használati adatok olvasó szerepköre lehetővé teszi a kvótahasználat megtekintését egy előfizetésen belül. Ez a szerepkör minimális hozzáférést biztosít, és általában más szerepkörökkel van kombinálva.

Mindig olyan szerepkört válasszon, amely az identitáshoz szükséges legalacsonyabb szintű jogosultságot biztosítja a végrehajtandó feladatok elvégzéséhez. További részletek az Azure OpenAI RBAC-szerepkörökről.

Szerepkör-hozzárendelések konfigurálása az Azure Portalon

A kulcs nélküli hitelesítés engedélyezéséhez kövesse az alábbi lépéseket a szükséges szerepkör-hozzárendelések konfigurálásához:

  1. Az Azure Portalon nyissa meg az adott Azure OpenAI-erőforrást.
  2. A szolgáltatás menüjében válassza a Hozzáférés-vezérlés (IAM) lehetőséget.
  3. Válassza a Szerepkör-hozzárendelés hozzáadása lehetőséget. A megnyíló panelen válassza a Szerepkör lapot.
  4. Válassza ki a hozzárendelni kívánt szerepkört.
  5. A Tagok lapon válasszon ki egy felhasználót, csoportot, szolgáltatásnevet vagy felügyelt identitást a szerepkörhöz való hozzárendeléshez.
  6. A Véleményezés + hozzárendelés lapon erősítse meg a kijelöléseket. Válassza a Véleményezés + hozzárendelés lehetőséget a szerepkör-hozzárendelés véglegesítéséhez.

Néhány percen belül a kiválasztott felhasználó vagy identitás megkapja a hozzárendelt szerepkört a kiválasztott hatókörben. A felhasználó vagy identitás ezután API-kulcs nélkül is hozzáférhet az Azure OpenAI-szolgáltatásokhoz.

Szerepkör-hozzárendelések konfigurálása az Azure CLI-ben

A szerepkör-hozzárendelések Azure CLI használatával történő konfigurálásához hajtsa végre az alábbi lépéseket:

  1. Keresse meg az Azure OpenAI használatára vonatkozó szerepkört. A szerepkör beállításának módjától függően a névre vagy az azonosítóra van szüksége:

    • Az Azure CLI vagy az Azure PowerShell esetében használhat szerepkörnevet.
    • A Bicep esetében szüksége van a szerepkör-azonosítóra.

    A következő táblázat segítségével válasszon ki egy szerepkörnevet vagy szerepkör-azonosítót:

    Használati eset Szerepkör neve Szerepkör-azonosító
    Asszisztensek Cognitive Services OpenAI-közreműködő a001fd3d-188f-4b5d-821b-7da978bf7442
    Csevegés befejezése Cognitive Services OpenAI-felhasználó 5e0bd9bd-7b93-4f28-af87-19fc36ad61bd

  2. Válasszon ki egy használni kívánt identitástípust:

    • A személyes identitás az Azure-bejelentkezéshez van kötve.
    • A felügyelt identitásokat az Azure felügyeli, és az Azure-ban való használatra hozza létre. Ehhez a választáshoz hozzon létre egy felhasználó által hozzárendelt felügyelt identitást. A felügyelt identitás létrehozásakor szüksége lesz az ügyfél-azonosítóra (más néven az alkalmazásazonosítóra).

  3. Keresse meg a személyes identitását, és használja az azonosítót <identity-id> értékként ebben a lépésben.

    A helyi fejlesztéshez a következő paranccsal szerezheti be a saját identitásazonosítóját. A parancs használata előtt be kell jelentkeznie az login.

    az ad signed-in-user show \
    --query id -o tsv

  4. Rendelje hozzá az RBAC-szerepkört az erőforráscsoport identitásához. Ahhoz, hogy identitásengedélyeket adhasson az erőforrás számára az RBAC-cel, rendeljen hozzá egy szerepkört az az role assignment createAzure CLI parancs segítségével. Cserélje le <identity-id>, <subscription-id>és <resource-group-name> a tényleges értékekre.

    az role assignment create \
    --role "Cognitive Services OpenAI User" \
    --assignee "\<identity-id>" \
    --scope "/subscriptions/\<subscription-id>/resourceGroups/\<resource-group-name>"