Azure OpenAI ID에 대한 RBAC 구성
RBAC(역할 기반 액세스 제어) 역할을 할당하면 미리 구성된 일련의 권한을 ID에 할당할 수 있습니다. Microsoft Entra 사용자 및 그룹과 같은 기존 ID는 물론 관리 ID와 같은 특수 ID도 RBAC 역할에 할당할 수 있습니다. Microsoft Entra 보안 그룹을 만들고, 그룹에 역할을 할당한 다음 이러한 권한을 할당하려는 모든 ID를 그룹 멤버로 추가하는 것이 가장 좋습니다. 그룹 멤버 자격을 검토하여 어떤 권한이 ID에 할당되었는지 빠르게 확인할 수 있으므로 역할 관리가 간소화됩니다. 또한 구성할 수 있는 역할 할당 수에 제한 사항이 있으므로 많은 수의 ID와 리소스가 있는 구독에도 도움이 됩니다.
ID에 할당할 수 있는 Azure OpenAI 역할은 다음과 같습니다. 이러한 역할은 다음과 같습니다. Cognitive Services OpenAI 사용자, Cognitive Services OpenAI 기여자, Cognitive Services 기여자, Cognitive Services 사용 현황 읽기 권한자입니다.
| 권한 | Cognitive Services OpenAI 사용자 | Cognitive Services OpenAI 기여자 | Cognitive Services 기여자 | Cognitive Services 사용량 읽기 권한자 |
|---|---|---|---|---|
| Azure Portal에서 리소스 보기 | ✅ | ✅ | ✅ | ➖ |
| "키 및 엔드포인트"에서 리소스 엔드포인트 보기 | ✅ | ✅ | ✅ | ➖ |
| Azure OpenAI Studio에서 리소스 및 관련 모델 배포 보기 | ✅ | ✅ | ✅ | ➖ |
| Azure OpenAI Studio에서 배포에 사용할 수 있는 모델 보기 | ✅ | ✅ | ✅ | ➖ |
| 이 Azure OpenAI 리소스에 이미 배포된 모델에 대해 채팅, 완료 및 DALL-E(미리 보기) 플레이그라운드 환경을 사용합니다. | ✅ | ✅ | ✅ | ➖ |
| 모델 배포 만들기 또는 편집 | ❌ | ✅ | ✅ | ➖ |
| 사용자 지정 미세 조정 모델 만들기 또는 배포 | ❌ | ✅ | ✅ | ➖ |
| 미세 조정을 위한 데이터 세트 업로드 | ❌ | ✅ | ✅ | ➖ |
| 새로운 Azure OpenAI 리소스 만들기 | ❌ | ❌ | ✅ | ➖ |
| 키 및 엔드포인트에서 키 보기/복사/다시 생성 | ❌ | ❌ | ✅ | ➖ |
| 사용자 지정 콘텐츠 필터 만들기 | ❌ | ❌ | ✅ | ➖ |
| "사용자 데이터" 기능을 위한 데이터 원본 추가 | ❌ | ❌ | ✅ | ➖ |
| 액세스 할당량 | ❌ | ❌ | ❌ | ✅ |
| Microsoft Entra ID를 사용하여 유추 API 호출 | ✅ | ✅ | ❌ | ➖ |
Cognitive Services OpenAI 사용자
Cognitive Services OpenAI 사용자 역할이 할당된 ID는 다음 작업을 수행할 수 있습니다.
- Azure Portal에서 Azure OpenAI 리소스 보기
- 키 및 엔드포인트에서 Azure OpenAI 리소스 엔드포인트 보기
- Azure OpenAI Studio에서 Azure OpenAI 리소스 및 관련 모델 배포 보기
- Azure OpenAI Studio에서 배포에 사용할 수 있는 모델 보기
- 채팅, Completions 및 Dali 플레이그라운드 환경을 사용하여 이 Azure OpenAI 리소스에 이미 배포된 모든 모델로 텍스트와 이미지를 생성합니다.
- 이 역할을 보유한 사용자는 Microsoft Entra ID를 사용하여 유추 API 호출을 수행할 수도 있습니다.
Cognitive Services OpenAI 기여자
Cognitive Services OpenAI Contributor 역할이 할당된 ID는 Cognitive Services OpenAI User 역할을 보유한 사용자가 수행할 수 있는 모든 작업을 수행할 수 있습니다. 다음과 같은 작업도 수행할 수 있습니다.
- 사용자 지정 미세 조정 모델 만들기
- 미세 조정을 위한 데이터 세트 업로드
- 새 모델 배포 만들기
- 기존 모델 배포를 편집합니다.
Cognitive Services 기여자
Cognitive Services 기여자 역할은 일반적으로 추가 역할과 함께 사용자의 리소스 그룹 수준에서 액세스 권한이 부여됩니다. 이 역할 자체만으로도 ID는 다음 작업을 수행할 수 있습니다.
- 할당된 리소스 그룹 내에 새 Azure OpenAI 리소스 만들기
- Azure Portal에서 할당된 리소스 그룹의 리소스 보기
- 키 및 엔드포인트에서 리소스 엔드포인트 보기
- 키 및 엔드포인트에서 키 보기, 복사 및 다시 생성
- 채팅, Completions 및 Dali 플레이그라운드 환경을 사용하여 이 Azure OpenAI 리소스에 이미 배포된 모든 모델로 텍스트와 이미지를 생성합니다.
- 사용자 지정 콘텐츠 필터 만들기
- 데이터 기능을 사용하기 위해 데이터 원본 추가
- 새 모델 배포 만들기 또는 기존 모델 배포 편집(API를 통해)
- 사용자 지정 미세 조정 모델 만들기, 미세 조정을 위한 데이터 세트 업로드
- 새 모델 배포 만들기 또는 기존 모델 배포 편집(Azure OpenAI Studio를 통해)
Cognitive Services 사용량 읽기 권한자
Cognitive Services 사용 읽기 권한자 역할은 Azure 구독 전체에서 할당량 사용 현황을 확인하는 데 필요한 최소 액세스 권한을 갖습니다. 이 역할을 사용하지 않으려면 구독 읽기 권한자 역할이 동등한 액세스 권한을 제공하지만 할당량을 보는 데 필요한 범위를 넘어서는 읽기 액세스 권한도 부여합니다.
ID에 역할을 할당할 때는 사용자 편의성의 원칙보다는 최소 권한 원칙을 항상 유념해야 합니다. 개인, 애플리케이션 또는 서비스에 최소한으로 프로비전된 역할의 작업을 수행하는 기능만 필요한 경우 해당 ID에 해당 역할을 할당해야 합니다. 또한 의미 있는 이름으로 Microsoft Entra 그룹을 역할에 할당한 다음 해당 그룹에 사용자를 추가 및 제거하여 역할 멤버 자격을 제어하는 모범 사례를 유념해야 합니다.
Azure Portal에서 역할 할당 구성
키 없는 인증을 사용하도록 설정하려면 다음 단계에 따라 필요한 역할 할당을 구성합니다.
- Azure OpenAI 선택: Azure Portal 내에서 특정 Azure OpenAI 리소스로 이동합니다.
- 액세스 제어: 왼쪽 탐색 창에서 액세스 제어(IAM) 옵션을 선택합니다.
- 역할 할당 추가: 역할 할당 추가를 선택한 후 다음 화면에서 역할 탭을 선택합니다.
- 역할 선택: 읽기 권한자 또는 기여자 등 할당하려는 역할을 선택합니다.
- 구성원 탭에서 사용자, 그룹, 서비스 주체 또는 관리 ID를 선택합니다.
- 검토 및 할당: 검토 + 할당 탭에서 선택 사항을 확인하고 검토 + 할당을 선택하여 역할 할당을 마무리합니다.
몇 분 내에 선택된 사용자 또는 ID에 선택된 범위에서 할당된 역할이 부여되어 API 키 없이도 Azure OpenAI 서비스에 액세스할 수 있습니다.