Azure OpenAI RBAC ロール

Azure OpenAI サービスの ID に割り当てるには、次の RBAC ロールを使用できます。

Cognitive Services OpenAI ユーザー ロールを使用すると、リソース、エンドポイント、およびモデルのデプロイを表示でき、プレイグラウンド機能を利用し、推論 API 呼び出しを行うことができます。ただし、リソースの作成、キーの表示/コピー/再生成、モデルデプロイの管理は許可されません。
Cognitive Services OpenAI 共同作成者 ロールには、すべてのユーザーアクセス許可に加えて、カスタムの微調整されたモデルの作成、データセットのアップロード、モデルのデプロイの管理を行う機能が含まれます。新しいリソースの作成やキーの管理は許可されません。
Cognitive Services 共同作成者 ロールを使用すると、新しいリソースの作成、キーの表示と管理、モデルのデプロイの作成と管理、プレイグラウンドエクスペリエンスの使用が可能になります。クォータへのアクセスや推論 API 呼び出しは許可されません。
Cognitive Services Usages Reader ロールを使用すると、サブスクリプション全体のクォータ使用量を表示できます。このロールは最小限のアクセスを提供し、通常は他のロールと組み合わされます。

ID が実行する必要があるタスクを実行するために必要な最小限の特権を提供するロールを常に選択します。 Azure OpenAI RBAC ロールの詳細については、以下を参照してください。

Azure portal でロールの割り当てを構成する

キーレス認証を有効にするには、次の手順に従って、必要なロールの割り当てを構成します。

数分以内に、選択したユーザーまたは ID に、選択したスコープで割り当てられたロールが付与されます。ユーザーまたは ID は、API キーを必要とせずに Azure OpenAI サービスにアクセスできます。

Azure CLI を使用してロールの割り当てを構成するには、次の手順を実行します。

Azure OpenAI を使用するためのロールを見つけます。そのロールを設定する方法に応じて、名前または ID が必要です。

次の表を使用して、ロール名またはロール ID を選択します。

ユースケース	ロール名	役割ID
アシスタント	Cognitive Services OpenAI 共同作成者	a001fd3d-188f-4b5d-821b-7da978bf7442
チャットの完了	Cognitive Services OpenAI ユーザー	5e0bd9bd-7b93-4f28-af87-19fc36ad61bd

使用する ID の種類を選択します。
- の個人 ID は、Azure サインインに関連付けられています。
- マネージド ID は Azure によって管理され、Azure で使用するために作成されます。この選択では、ユーザー割り当てマネージド ID を作成します。マネージド ID を作成するときは、クライアント ID (アプリ ID とも呼ばれます) が必要です。
個人 ID を見つけ、この手順で id を <identity-id> 値として使用します。

ローカル開発では、独自の ID を取得するには、次のコマンドを使用します。このコマンドを使用する前に、az login でサインインする必要があります。
```
az ad signed-in-user show \
    --query id -o tsv
```
リソースグループの ID に RBAC ロールを割り当てます。 RBAC を使用してリソースに ID アクセス許可を付与するには、Azure CLI コマンド az role assignment createを使用してロールを割り当てます。 <identity-id>、<subscription-id>、および <resource-group-name> を実際の値に置き換えます。
```
az role assignment create \
    --role "Cognitive Services OpenAI User" \
    --assignee "\<identity-id>" \
    --scope "/subscriptions/\<subscription-id>/resourceGroups/\<resource-group-name>"
```