Rollen voor Azure OpenAI RBAC

  • 7 minuten

Deze RBAC-rollen zijn beschikbaar om toe te wijzen aan identiteiten voor De Azure OpenAI-service:

  • Met de Gebruikersrol Cognitive Services OpenAI kunnen resources, eindpunten en modelimplementaties worden bekeken; kan gebruik worden gemaakt van playground-functionaliteiten; en kunnen inferentie-API-aanroepen worden gedaan. Het maakt echter niet mogelijk om resources te maken, sleutels te bekijken/te kopiĆ«ren/opnieuw te genereren of modelimplementaties te beheren.
  • De rol Inzender voor Cognitive Services OpenAI bevat alle gebruikersmachtigingen plus de mogelijkheid om aangepaste, afgestemde modellen te maken, gegevenssets te uploaden en modelimplementaties te beheren. Het is niet toegestaan om nieuwe resources te maken of sleutels te beheren.
  • Met de rol Inzender voor Cognitive Services kunt u nieuwe resources maken, sleutels weergeven en beheren, modelimplementaties maken en beheren, en speeltuinervaringen gebruiken. Het biedt geen toegang tot quota of het maken van deductie-API-aanroepen.
  • Met de rol Lezer voor Cognitive Services-gebruik kunt u het quotumgebruik voor een abonnement weergeven. Deze rol biedt minimale toegang en wordt meestal gecombineerd met andere rollen.

Kies altijd een rol die de laagste hoeveelheid bevoegdheden biedt die vereist is voor de identiteit om de taken uit te voeren die moeten worden uitgevoerd. Voor meer informatie over Azure OpenAI RBAC-rollen.

Roltoewijzingen configureren in Azure Portal

Volg deze stappen om de benodigde roltoewijzingen te configureren om sleutelloze verificatie in te schakelen:

  1. Ga in Azure Portal naar uw specifieke Azure OpenAI-resource.
  2. Selecteer Toegangsbeheer (IAM) in het servicemenu.
  3. Selecteer Roltoewijzing toevoegen. Selecteer in het deelvenster dat wordt geopend het tabblad Rol .
  4. Selecteer de rol die u wilt toewijzen.
  5. Selecteer op het tabblad Leden een gebruiker, groep, service-principal of beheerde identiteit die u wilt toewijzen aan de rol.
  6. Bevestig uw selecties op het tabblad Controleren en toewijzen . Selecteer Beoordelen en toewijzen om de roltoewijzing te voltooien.

Binnen enkele minuten krijgt de geselecteerde gebruiker of identiteit de toegewezen rol in het gekozen bereik. De gebruiker of identiteit heeft vervolgens toegang tot Azure OpenAI-services zonder dat hiervoor een API-sleutel nodig is.

Roltoewijzingen configureren in de Azure CLI

Voer de volgende stappen uit om roltoewijzingen te configureren met behulp van de Azure CLI:

  1. Zoek de rol voor uw gebruik van Azure OpenAI. Afhankelijk van hoe u die rol wilt instellen, hebt u de naam of de id nodig:

    • Voor de Azure CLI of Azure PowerShell kunt u een rolnaam gebruiken.
    • Voor Bicep hebt u de rol-id nodig.

    Gebruik de volgende tabel om een rolnaam of rol-id te selecteren:

    Gebruiksituatie Rolnaam Rol-ID
    Assistenten Cognitive Services OpenAI-bijdrager a001fd3d-188f-4b5d-821b-7da978bf7442
    Chatresultaten Cognitive Services OpenAI-gebruiker 5e0bd9bd-7b93-4f28-af87-19fc36ad61bd

  2. Selecteer een identiteitstype dat u wilt gebruiken:

    • Een persoonlijke identiteit is gekoppeld aan uw Azure-aanmelding.
    • Een beheerde identiteit wordt beheerd door Azure en gemaakt voor gebruik in Azure. Maak voor deze keuze een door de gebruiker toegewezen beheerde identiteit. Wanneer u de beheerde identiteit maakt, hebt u de client-id (ook wel de app-id genoemd) nodig.

  3. Zoek uw persoonlijke identiteit en gebruik de id als de <identity-id> waarde in deze stap.

    Gebruik de volgende opdracht om uw eigen identiteits-id op te halen voor lokale ontwikkeling. U moet zich aanmelden voordat az login u deze opdracht gebruikt.

    az ad signed-in-user show \
    --query id -o tsv

  4. Wijs de RBAC-rol toe aan de identiteit voor de resourcegroep. Als u uw identiteitsmachtigingen wilt verlenen aan uw resource via RBAC, wijst u een rol toe met behulp van de Azure CLI-opdracht az role assignment create. Vervang , <identity-id>en <subscription-id> door <resource-group-name>uw werkelijke waarden.

    az role assignment create \
    --role "Cognitive Services OpenAI User" \
    --assignee "\<identity-id>" \
    --scope "/subscriptions/\<subscription-id>/resourceGroups/\<resource-group-name>"