RBAC configureren voor Azure OpenAI-identiteiten
Als u een RBAC-rol (op rollen gebaseerd toegangsbeheer) toewijst, kunt u een set vooraf geconfigureerde machtigingen toewijzen aan een identiteit. U kunt traditionele identiteiten, zoals Microsoft Entra-gebruikers en -groepen, toewijzen aan een RBAC-rol en speciale identiteiten, zoals een beheerde identiteit. Het is raadzaam om een Microsoft Entra-beveiligingsgroep te maken, de rol toe te wijzen aan de groep en vervolgens identiteiten toe te voegen waaraan u deze rechten wilt toewijzen als leden van de groep. Dit vereenvoudigt het rolbeheer, omdat u snel kunt bepalen welke machtigingen aan een identiteit zijn toegewezen door het groepslidmaatschap te controleren. Het helpt ook bij abonnementen met grote aantallen identiteiten en resources, omdat er beperkingen gelden voor het aantal roltoewijzingen dat u kunt configureren.
Er zijn vier Azure OpenAI-rollen waaraan u identiteiten kunt toewijzen: Deze rollen zijn: Cognitive Services OpenAI-gebruiker, Cognitive Services OpenAI-inzender, Cognitive Services-inzender en Lezer voor Cognitive Services-gebruik.
| Machtigingen | Cognitive Services OpenAI-gebruiker | Cognitive Services OpenAI-bijdrager | Cognitive Services-bijdrager | Lezer voor Cognitive Services-gebruik |
|---|---|---|---|---|
| De resource weergeven in Azure Portal | ✅ | ✅ | ✅ | ➖ |
| Het resource-eindpunt weergeven onder Sleutels en eindpunt | ✅ | ✅ | ✅ | ➖ |
| De resource en de bijbehorende modelimplementaties bekijken in Azure OpenAI Studio | ✅ | ✅ | ✅ | ➖ |
| Bekijken welke modellen beschikbaar zijn voor implementatie in Azure OpenAI Studio | ✅ | ✅ | ✅ | ➖ |
| Gebruik de Chat-, Voltooiingen- en DALL-E (preview) playground-ervaringen met alle modellen die al in deze Azure OpenAI-bron zijn geïmplementeerd. | ✅ | ✅ | ✅ | ➖ |
| Modelimplementaties maken of bewerken | ❌ | ✅ | ✅ | ➖ |
| Aangepaste fijn afgestelde modellen maken of implementeren | ❌ | ✅ | ✅ | ➖ |
| Gegevenssets uploaden voor het afstemmen | ❌ | ✅ | ✅ | ➖ |
| Nieuwe Azure OpenAI-resources maken | ❌ | ❌ | ✅ | ➖ |
| Sleutels weergeven/kopiëren/opnieuw genereren onder Sleutels en eindpunt | ❌ | ❌ | ✅ | ➖ |
| Aangepaste inhoudsfilters maken | ❌ | ❌ | ✅ | ➖ |
| Een gegevensbron toevoegen voor de functie 'van uw gegevens' | ❌ | ❌ | ✅ | ➖ |
| Toegangsquotum | ❌ | ❌ | ❌ | ✅ |
| Inferentie-API-aanroepen maken met Microsoft Entra ID | ✅ | ✅ | ❌ | ➖ |
Cognitive Services OpenAI-gebruiker
Identiteiten waaraan de Gebruikersrol Cognitive Services OpenAI is toegewezen, kunnen de volgende taken uitvoeren:
- De Azure OpenAI-resource weergeven in Azure Portal
- Het Azure OpenAI-resource-eindpunt weergeven onder Sleutels en eindpunt
- De Azure OpenAI-resource en de bijbehorende modelimplementaties weergeven in Azure OpenAI Studio
- Bekijken welke modellen beschikbaar zijn voor implementatie in Azure OpenAI Studio
- Gebruik de chat-, invullings- en Dali-sandbox ervaringen om tekst en afbeeldingen te genereren met alle modellen die al zijn geïmplementeerd in deze Azure OpenAI-resource.
- Gebruikers die deze rol hebben, kunnen ook deductie-API-aanroepen uitvoeren met Microsoft Entra-id
Cognitive Services OpenAI-bijdrager
Identiteiten waaraan de rol Inzender voor Cognitive Services OpenAI is toegewezen, kunnen alle taken uitvoeren die beschikbaar zijn voor een gebruiker met de Gebruikersrol Cognitive Services OpenAI. Ze kunnen ook taken uitvoeren, waaronder:
- Aangepaste modellen maken
- Gegevenssets uploaden voor het afstemmen
- Nieuwe modelimplementaties maken
- Bestaande modelimplementaties bewerken.
Cognitive Services-bijdrager
De rol Cognitive Services-inzender krijgt doorgaans toegang op het niveau van de resourcegroep voor een gebruiker in combinatie met extra rollen. Met deze rol kan een identiteit de volgende taken uitvoeren:
- Nieuwe Azure OpenAI-resources maken binnen de toegewezen resourcegroep
- Resources weergeven in de toegewezen resourcegroep in Azure Portal
- Het resource-eindpunt weergeven onder Sleutels en Eindpunt
- Sleutels onder Sleutels en eindpunt weergeven, kopiëren en opnieuw genereren
- Gebruik de chat-, invullings- en Dali-sandbox ervaringen om tekst en afbeeldingen te genereren met alle modellen die al zijn geïmplementeerd in deze Azure OpenAI-resource.
- Aangepaste inhoudsfilters maken
- Een gegevensbron toevoegen voor het gebruik van uw gegevensfunctie
- Nieuwe modelimplementaties maken of bestaande modelimplementaties bewerken via API
- Aangepaste, afgestemde modellen maken, gegevenssets uploaden voor afstemming
- Nieuwe modelimplementaties maken of bestaande modelimplementaties bewerken via Azure OpenAI Studio
Lezer voor Cognitive Services-gebruik
De rol Cognitive Services Usages Reader heeft de minimaal benodigde toegang om het quotumgebruik voor een Azure-abonnement weer te geven. Als u deze rol niet wilt gebruiken, biedt de rol Abonnement-lezer vergelijkbare toegang, maar geeft hij ook leesrechten die verder gaan dan wat nodig is voor het bekijken van quota.
Wanneer u rollen toewijst aan identiteiten, onthoudt u altijd het principe van minimale bevoegdheden in plaats van het principe van het gemak van de gebruiker. Als een persoon, toepassing of service alleen de mogelijkheid nodig heeft om de taken van een minimaal ingerichte rol uit te voeren, is dat de rol die u aan die identiteit moet toewijzen. Onthoud ook de aanbevolen procedure voor het toewijzen van Microsoft Entra-groepen met betekenisvolle namen aan een rol en beheer vervolgens het rollidmaatschap door gebruikers aan deze groepen toe te voegen of te verwijderen.
Roltoewijzingen configureren in Azure Portal
Volg deze stappen om de benodigde roltoewijzingen te configureren om sleutelloze verificatie in te schakelen:
- Selecteer Azure OpenAI: navigeer naar uw specifieke Azure OpenAI-resource in Azure Portal.
- Toegangsbeheer: Selecteer de optie Toegangsbeheer (IAM) in het linkernavigatiedeelvenster.
- Roltoewijzing toevoegen: selecteer Roltoewijzing toevoegen en kies in het volgende scherm het tabblad Rol.
- Selecteer Rol: Kies de gewenste rol die u wilt toewijzen, zoals Lezer of Inzender.
- Tabblad Leden: Selecteer op het tabblad Leden een gebruiker, groep, service-principal of beheerde identiteit om de rol toe te wijzen.
- Controleren en toewijzen: bevestig uw selecties op het tabblad Beoordelen en toewijzen en selecteer Beoordelen + toewijzen om de roltoewijzing te voltooien.
Binnen enkele minuten krijgt de geselecteerde gebruiker of identiteit de toegewezen rol in het gekozen bereik, zodat deze toegang heeft tot Azure OpenAI-services zonder dat hiervoor een API-sleutel nodig is.