Ruoli di controllo degli accessi in base al ruolo di Azure OpenAI
Questi ruoli di controllo degli accessi in base al ruolo sono disponibili per l'assegnazione alle identità per il Servizio OpenAI di Azure:
- Il ruolo Utente OpenAI di Servizi cognitivi consente di visualizzare risorse, endpoint e distribuzioni di modelli, usando esperienze playground ed eseguire chiamate API di inferenza. Tuttavia, non consente la creazione di risorse, la visualizzazione/copia/rigenerazione delle chiavi o la gestione delle distribuzioni di modelli.
- Il ruolo Collaboratore OpenAI di Servizi cognitivi include tutte le autorizzazioni utente e la possibilità di creare modelli personalizzati ottimizzati, caricare set di dati e gestire le distribuzioni dei modelli. Non consente la creazione di nuove risorse o la gestione delle chiavi.
- Il ruolo Collaboratore di Servizi cognitivi consente di creare nuove risorse, visualizzare e gestire le chiavi, creare e gestire distribuzioni di modelli e usare esperienze playground. Non consente l'accesso alle quote o l'esecuzione di chiamate API di inferenza.
- Il ruolo Lettore di utilizzi di Servizi cognitivi consente di visualizzare l'utilizzo quote in una sottoscrizione. Questo ruolo fornisce accesso minimo ed è in genere combinato con altri ruoli.
Scegliere sempre un ruolo che fornisca i privilegi più bassi necessari affinché l'identità possa svolgere le attività richieste. Per ulteriori dettagli sui ruoli RBAC di Azure OpenAI.
Configurare le assegnazioni di ruolo nel portale di Azure
Per abilitare l'autenticazione senza chiave, seguire questa procedura per configurare le assegnazioni di ruolo necessarie:
- Nel portale di Azure, vai alla tua specifica risorsa OpenAI di Azure.
- Nel menu di servizio di controllo di accesso selezionare Controllo di accesso (IAM).
- Selezionare Aggiungi assegnazione di ruolo. Nel riquadro visualizzato selezionare la scheda Ruolo.
- Selezionare il ruolo da assegnare.
- Nella scheda Membri selezionare un utente, gruppo, entità servizio o identità gestita a cui assegnare il ruolo.
- Nella scheda Rivedi + assegna confermare le selezioni. Selezionare Rivedere + assegnare per finalizzare l'assegnazione del ruolo.
Entro pochi minuti, all'utente o all'identità selezionato viene concesso il ruolo assegnato nell'ambito scelto. L'utente o l'identità possono quindi accedere ai servizi OpenAI di Azure senza bisogno di una chiave API.
Configurare le assegnazioni di ruolo nell'interfaccia della riga di comando di Azure
Per configurare le assegnazioni di ruolo usando l'interfaccia della riga di comando di Azure, seguire questa procedura:
Trova il ruolo per il tuo utilizzo di Azure OpenAI. A seconda di come si intende impostare tale ruolo, è necessario il nome o l'ID:
- Per l'interfaccia della riga di comando di Azure o Azure PowerShell, è possibile usare un nome di ruolo.
- Per Bicep è necessario l'ID ruolo.
Usare la tabella seguente per selezionare un nome di ruolo o un ID ruolo:
Caso d'uso Nome ruolo ID ruolo Assistenti Collaboratore di Servizi cognitivi OpenAI a001fd3d-188f-4b5d-821b-7da978bf7442 Completamenti della chat Utente di Servizi Cognitivi OpenAI 5e0bd9bd-7b93-4f28-af87-19fc36ad61bd Selezionare un tipo di identità da usare:
- Un'identità personale è associata all'accesso di Azure.
- Un'identità gestita viene gestita da Azure e creata per l'uso in Azure. Per questa scelta, creare un'identità gestita assegnata dall'utente. Quando si crea l'identità gestita, è necessario l'ID client (detto anche ID app).
Trova la tua identità personale e usa l'ID come valore
<identity-id>in questo passaggio.Per lo sviluppo locale, per ottenere il proprio ID, utilizzare il comando seguente. È necessario accedere con
az loginprima di usare questo comando.az ad signed-in-user show \ --query id -o tsvAssegnare il ruolo di controllo degli accessi in base al ruolo all'identità per il gruppo di risorse. Per concedere le autorizzazioni di identità alla risorsa tramite il controllo degli accessi in base al ruolo (RBAC), assegnare un ruolo usando il comando della CLI di Azure
az role assignment create. Sostituire<identity-id>,<subscription-id>e<resource-group-name>con i valori effettivi.az role assignment create \ --role "Cognitive Services OpenAI User" \ --assignee "\<identity-id>" \ --scope "/subscriptions/\<subscription-id>/resourceGroups/\<resource-group-name>"