Configurazione di Controllo degli accessi in base al ruolo per le identità di Azure OpenAI
L'assegnazione di un ruolo di Controllo degli accessi in base al ruolo consente di assegnare un set di autorizzazioni preconfigurate a un'identità. È possibile assegnare identità tradizionali, ad esempio utenti e gruppi di Microsoft Entra, a un ruolo di Controllo degli accessi in base al ruolo, nonché identità speciali, ad esempio un’identità gestita. La procedura consigliata consiste nel creare un gruppo di sicurezza di Microsoft Entra, assegnare il ruolo al gruppo e quindi aggiungere eventuali identità a cui si desidera assegnare questi diritti come membri del gruppo. Ciò semplifica la gestione dei ruoli in quanto è possibile determinare rapidamente le autorizzazioni assegnate a un'identità esaminando l'appartenenza al gruppo. È utile anche nelle sottoscrizioni con un numero elevato di identità e risorse poiché esistono limitazioni per il numero di assegnazioni di ruolo che è possibile configurare.
Esistono quattro ruoli Azure OpenAI a cui è possibile assegnare le identità: Questi ruoli includono: Utente OpenAI di Servizi cognitivi, Collaboratore OpenAI di Servizi cognitivi, Collaboratore di Servizi cognitivi e Lettore degli utilizzi di Servizi cognitivi.
| Autorizzazioni | Utente Servizi cognitivi OpenAI | Collaboratore Servizi cognitivi OpenAI | Collaboratore Servizi cognitivi | Lettore utilizzi di Servizi cognitivi |
|---|---|---|---|---|
| Visualizzare la risorsa nel portale di Azure | ✅ | ✅ | ✅ | ➖ |
| Visualizzare l'endpoint della risorsa in "Chiavi ed endpoint" | ✅ | ✅ | ✅ | ➖ |
| Visualizzare la risorsa e le distribuzioni di modelli associate in Azure OpenAI Studio | ✅ | ✅ | ✅ | ➖ |
| Visualizzare i modelli disponibili per la distribuzione in Azure OpenAI Studio | ✅ | ✅ | ✅ | ➖ |
| Usare le esperienze del playground Chat, Completamenti e DALL-E (anteprima) con tutti i modelli già distribuiti in questa risorsa del servizio OpenAI di Azure. | ✅ | ✅ | ✅ | ➖ |
| Creare o modificare distribuzioni di modelli | ❌ | ✅ | ✅ | ➖ |
| Creare o distribuire modelli personalizzati ottimizzati | ❌ | ✅ | ✅ | ➖ |
| Caricare set di dati per l'ottimizzazione | ❌ | ✅ | ✅ | ➖ |
| Creare nuove risorse del servizio OpenAI di Azure | ❌ | ❌ | ✅ | ➖ |
| Visualizzare/copiare/rigenerare le chiavi in "Chiavi ed endpoint" | ❌ | ❌ | ✅ | ➖ |
| Creare filtri di contenuto personalizzati | ❌ | ❌ | ✅ | ➖ |
| Aggiungere un'origine dati per la funzionalità "sui dati personali" | ❌ | ❌ | ✅ | ➖ |
| Accedere alla quota | ❌ | ❌ | ❌ | ✅ |
| Effettuare chiamate API di inferenza con Microsoft Entra ID | ✅ | ✅ | ❌ | ➖ |
Utente Servizi cognitivi OpenAI
Le identità assegnate al ruolo Utente OpenAI di Servizi cognitivi sono in grado di eseguire le attività seguenti:
- Creare una risorsa di Azure OpenAI nel portale di Azure
- Visualizzare l'endpoint della risorsa di Azure OpenAI in Chiavi ed endpoint
- Visualizzare la risorsa e le distribuzioni di modelli associate di Azure OpenAI in studio di Azure OpenAI
- Visualizzare i modelli disponibili per la distribuzione in Azure OpenAI Studio
- Usare le esperienze del playground Chat, Completamenti e Dali per generare testo e immagini con tutti i modelli già distribuiti in questa risorsa di Azure OpenAI
- Gli utenti con questo ruolo sono anche in grado di effettuare chiamate API di inferenza con Microsoft Entra ID
Collaboratore Servizi cognitivi OpenAI
Le identità assegnate al ruolo Collaboratore OpenAI di Servizi cognitivi possono eseguire tutte le attività disponibili a un utente con il ruolo Utente OpenAI di Servizi cognitivi. Sono anche in grado di eseguire attività, tra cui:
- Creare modelli personalizzati ottimizzati
- Caricare set di dati per l'ottimizzazione
- Creare nuove distribuzione di modelli
- Modificare le distribuzioni dei modelli esistenti.
Collaboratore Servizi cognitivi
Al ruolo di Collaboratore di Servizi cognitivi viene in genere concesso l'accesso a livello di gruppo di risorse per un utente in combinazione con ruoli aggiuntivi. Da solo, questo ruolo garantisce un’identità per eseguire le attività seguenti:
- Creare nuove risorse di Azure OpenAI all'interno del gruppo di risorse assegnato
- Visualizzare le risorse nel gruppo di risorse assegnato nel portale di Azure
- Visualizzare l'endpoint della risorsa in Chiavi ed Endpoint
- Visualizzare, copiare e rigenerare le chiavi in Chiavi ed endpoint
- Usare le esperienze del playground Chat, Completamenti e Dali per generare testo e immagini con tutti i modelli già distribuiti in questa risorsa di Azure OpenAI
- Creare filtri di contenuto personalizzati
- Aggiungere un'origine dati per l'uso della funzionalità dati
- Creare nuove distribuzioni di modelli o modificare le distribuzioni di modelli esistenti tramite l’API
- Creare modelli personalizzati ottimizzati, caricare set di dati per l’otimizzazione
- Creare nuove distribuzioni di modelli o modificare le distribuzioni di modelli esistenti tramite studio di Azure OpenAI
Lettore utilizzi di Servizi cognitivi
Il ruolo Lettore di utilizzi di Servizi cognitivi ha l'accesso minimo necessario per visualizzare l'utilizzo della quota in una sottoscrizione di Azure. Se non si vuole usare questo ruolo, il ruolo Lettore della sottoscrizione fornisce accesso equivalente, ma concede anche l'accesso in lettura oltre l'ambito di ciò che è necessario per la visualizzazione della quota.
Quando si assegnano ruoli alle identità, ricordare sempre il principio dei privilegi minimi anziché il principio di praticità dell'utente. Se una persona, un'applicazione o un servizio richiede solo la possibilità di eseguire le attività di un ruolo con provisioning minimo, questo è il ruolo che è necessario assegnare a tale identità. Ricordare anche la procedura consigliata consiste nell’assegnare nomi significativi a in ruolo dei gruppi di Microsoft Entra e quindi controllare l'appartenenza ai ruoli aggiungendo e rimuovendo gli utenti da tali gruppi.
Configurare assegnazioni di ruolo nel portale di Azure
Per abilitare l'autenticazione senza chiave, seguire questa procedura per configurare le assegnazioni di ruolo necessarie:
- Selezionare Azure OpenAI: Passare alla risorsa di Azure OpenAI specifica all'interno del portale di Azure.
- Controllo di accesso: Selezionare l'opzione Controllo di accesso (IAM) nel riquadro di spostamento a sinistra.
- Aggiungi un'assegnazione di ruolo: Selezionare Aggiungi assegnazione di ruolo e nella schermata successiva scegliere la scheda Ruolo.
- Selezionare Ruolo: Scegliere il ruolo desiderato da assegnare, ad esempio Lettore o Collaboratore.
- Scheda Membri: Nella scheda Membri selezionare un utente, gruppo, entità servizio o identità gestita a cui assegnare il ruolo.
- Rivedere e assegnare: Nella scheda Rivedi e assegna confermare le selezioni e selezionare Rivedi e assegna per finalizzare l'assegnazione di ruolo.
Entro pochi minuti, all'utente o all'identità selezionato verrà concesso il ruolo assegnato nell'ambito scelto, consentendo loro di accedere ai servizi di Azure OpenAI senza bisogno di una chiave API.