RBAC konfigurálása Azure OpenAI-identitásokhoz
Az RBAC (szerepköralapú hozzáférés-vezérlés) szerepkörök hozzárendelésével előre konfigurált engedélyeket rendelhet egy identitáshoz. A hagyományos identitásokat, például a Microsoft Entra-felhasználókat és -csoportokat hozzárendelheti egy RBAC-szerepkörhöz, valamint speciális identitásokat, például felügyelt identitásokat. Ajánlott eljárás egy Microsoft Entra biztonsági csoport létrehozása, a szerepkör hozzárendelése a csoporthoz, majd minden olyan identitás hozzáadása, amelyhez ezeket a jogosultságokat a csoport tagjaiként szeretné hozzárendelni. Ez leegyszerűsíti a szerepkörkezelést, mivel a csoporttagság áttekintésével gyorsan megállapíthatja, hogy milyen engedélyek lettek hozzárendelve egy identitáshoz. Emellett nagy számú identitással és erőforrással rendelkező előfizetésekben is segít, mivel a konfigurálható szerepkör-hozzárendelések száma korlátozott.
Négy Azure OpenAI-szerepkörhöz rendelhet identitásokat: Ezek a szerepkörök a következők: Cognitive Services OpenAI-felhasználó, Cognitive Services OpenAI-közreműködő, Cognitive Services-közreműködő és Cognitive Services-használati olvasó.
| Engedélyek | Cognitive Services OpenAI-felhasználó | Cognitive Services OpenAI-közreműködő | Cognitive Services-közreműködő | Cognitive Services használati adatok olvasója |
|---|---|---|---|---|
| Az erőforrás megtekintése az Azure Portalon | ✅ | ✅ | ✅ | ➖ |
| Az erőforrásvégpont megtekintése a "Kulcsok és végpont" területen | ✅ | ✅ | ✅ | ➖ |
| Az erőforrás- és a kapcsolódó modelltelepítések megtekintése az Azure OpenAI Studióban | ✅ | ✅ | ✅ | ➖ |
| Az Üzembe helyezéshez elérhető modellek megtekintése az Azure OpenAI Studióban | ✅ | ✅ | ✅ | ➖ |
| Használja a Csevegés, a Befejezések és a DALL-E (előzetes verzió) játszótéri felületét az Azure OpenAI-erőforrásban már üzembe helyezett modellekkel. | ✅ | ✅ | ✅ | ➖ |
| Modelltelepítések létrehozása vagy szerkesztése | ❌ | ✅ | ✅ | ➖ |
| Egyéni finomhangolt modellek létrehozása vagy üzembe helyezése | ❌ | ✅ | ✅ | ➖ |
| Adatkészletek feltöltése finomhangoláshoz | ❌ | ✅ | ✅ | ➖ |
| Új Azure OpenAI-erőforrások létrehozása | ❌ | ❌ | ✅ | ➖ |
| Kulcsok megtekintése/másolása/újragenerálása a "Kulcsok és végpont" területen | ❌ | ❌ | ✅ | ➖ |
| Testreszabott tartalomszűrők létrehozása | ❌ | ❌ | ✅ | ➖ |
| Adatforrás hozzáadása az "adatokon" funkcióhoz | ❌ | ❌ | ✅ | ➖ |
| Hozzáférési kvóta | ❌ | ❌ | ❌ | ✅ |
| Következtetési API-hívások indítása a Microsoft Entra-azonosítóval | ✅ | ✅ | ❌ | ➖ |
Cognitive Services OpenAI-felhasználó
A Cognitive Services OpenAI felhasználói szerepkörhöz hozzárendelt identitások a következő feladatokat hajthatják végre:
- Az Azure OpenAI-erőforrás megtekintése az Azure Portalon
- Az Azure OpenAI-erőforrásvégpont megtekintése a Kulcsok és végpont területen
- Az Azure OpenAI-erőforrás és a kapcsolódó modelltelepítések megtekintése az Azure OpenAI Studióban
- Az Üzembe helyezéshez elérhető modellek megtekintése az Azure OpenAI Studióban
- A Csevegés, a Befejezések és a Dali játszótéri felülettel szövegeket és képeket hozhat létre az Azure OpenAI-erőforrásban már üzembe helyezett modellekkel
- A szerepkörrel rendelkező felhasználók a Microsoft Entra ID azonosítójával is kezdeményezhetnek következtetési API-hívásokat
Cognitive Services OpenAI-közreműködő
A Cognitive Services OpenAI-közreműködői szerepkörhöz hozzárendelt identitások a Cognitive Services OpenAI felhasználói szerepkörrel rendelkező felhasználók számára elérhető összes feladatot el tudják végezni. Olyan feladatokat is el tudnak végezni, mint a következők:
- Egyéni finomhangolt modellek létrehozása
- Adatkészletek feltöltése finomhangoláshoz
- Új modelltelepítések létrehozása
- Meglévő modelltelepítések szerkesztése.
Cognitive Services-közreműködő
A Cognitive Services-közreműködői szerepkör általában az erőforráscsoport szintjén kap hozzáférést a felhasználó számára, további szerepkörökkel együtt. Ez a szerepkör önmagában lehetővé tenné az identitás számára a következő feladatok elvégzését:
- Új Azure OpenAI-erőforrások létrehozása a hozzárendelt erőforráscsoporton belül
- Erőforrások megtekintése a hozzárendelt erőforráscsoportban az Azure Portalon
- Az erőforrásvégpont megtekintése a Kulcsok és végpont területen
- Kulcsok megtekintése, másolása és újragenerálása a Kulcsok és végpont területen
- A Csevegés, a Befejezések és a Dali játszótéri felülettel szövegeket és képeket hozhat létre az Azure OpenAI-erőforrásban már üzembe helyezett modellekkel
- Testreszabott tartalomszűrők létrehozása
- Adatforrás hozzáadása az adatfunkció használatához
- Új modelltelepítések létrehozása vagy meglévő modelltelepítések szerkesztése API-val
- Egyéni finomhangolt modellek létrehozása, adatkészletek feltöltése finomhangoláshoz
- Új modelltelepítések létrehozása vagy meglévő modelltelepítések szerkesztése az Azure OpenAI Studióval
Cognitive Services használati adatok olvasója
A Cognitive Services Használati adatok olvasó szerepköre minimális hozzáféréssel rendelkezik az Azure-előfizetés kvótahasználatának megtekintéséhez. Ha nem szeretné használni ezt a szerepkört, az előfizetés-olvasó szerepkör egyenértékű hozzáférést biztosít, de olvasási hozzáférést is biztosít a kvóta megtekintéséhez szükséges hatókörön túl.
A szerepkörök identitásokhoz való hozzárendelésekor mindig a minimális jogosultság elvét kell figyelembe venni, nem pedig a felhasználói kényelem elvét. Ha egy személy, alkalmazás vagy szolgáltatás csak minimálisan kiosztott szerepkör feladatainak elvégzését igényli, akkor ezt a szerepkört kell hozzárendelnie az identitáshoz. Ne feledje azt az ajánlott eljárást is, hogy a Microsoft Entra-csoportokat értelmes névvel rendelje hozzá egy szerepkörhöz, majd szabályozza a szerepkör-tagságot azáltal, hogy felhasználókat vesz fel és távolít el ezekből a csoportokból.
Szerepkör-hozzárendelések konfigurálása az Azure Portalon
A kulcs nélküli hitelesítés engedélyezéséhez kövesse az alábbi lépéseket a szükséges szerepkör-hozzárendelések konfigurálásához:
- Válassza az Azure OpenAI lehetőséget: Navigáljon az Adott Azure OpenAI-erőforráshoz az Azure Portalon.
- Hozzáférés-vezérlés: Válassza a Hozzáférés-vezérlés (IAM) lehetőséget a bal oldali navigációs panelen.
- Szerepkör-hozzárendelés hozzáadása: Válassza a Szerepkör-hozzárendelés hozzáadása lehetőséget, majd a következő képernyőn válassza a Szerepkör lapot.
- Szerepkör kiválasztása: Válassza ki a hozzárendelni kívánt szerepkört, például az Olvasót vagy a Közreműködőt.
- Tagok lap: A Tagok lapon válasszon ki egy felhasználót, csoportot, szolgáltatásnevet vagy felügyelt identitást a szerepkör hozzárendeléséhez.
- Véleményezés és hozzárendelés: A Véleményezés + hozzárendelés lapon erősítse meg a kijelöléseket, és válassza a Véleményezés + hozzárendelés lehetőséget a szerepkör-hozzárendelés véglegesítéséhez.
Néhány percen belül a kiválasztott felhasználó vagy identitás megkapja a hozzárendelt szerepkört a kiválasztott hatókörben, így API-kulcs nélkül érheti el az Azure OpenAI-szolgáltatásokat.