Role RBAC usługi Azure OpenAI

  • 7 min

Role RBAC są dostępne do przypisania tożsamościom dla usługi Azure OpenAI Service.

  • Rola użytkownika OpenAI w ramach usług Cognitive Services umożliwia wyświetlanie zasobów, punktów końcowych i wdrożeń modelu; korzystanie z doświadczeń w środowisku testowym; oraz wykonywanie wywołań interfejsu API wnioskowania. Nie zezwala jednak na tworzenie zasobów, wyświetlanie/kopiowanie/ponowne generowanie kluczy ani zarządzanie wdrożeniami modelu.
  • Rola współautora OpenAI usług Cognitive Services obejmuje wszystkie uprawnienia użytkownika oraz możliwość tworzenia niestandardowych modeli, przekazywania zestawów danych i zarządzania wdrożeniami modeli. Nie zezwala na tworzenie nowych zasobów ani zarządzanie kluczami.
  • Rola współautora usługi Cognitive Services umożliwia tworzenie nowych zasobów, wyświetlanie kluczy i zarządzanie nimi, tworzenie wdrożeń modeli i zarządzanie nimi oraz korzystanie z środowisk zabaw. Nie zezwala na dostęp do limitów przydziału ani na przeprowadzanie wywołań API dotyczących wnioskowania.
  • Rola przeglądu użycia usług Cognitive Services umożliwia wyświetlanie wykorzystania przydziału w ramach subskrypcji. Ta rola zapewnia minimalny dostęp i jest zwykle łączona z innymi rolami.

Zawsze wybieraj rolę, która zapewnia najniższą ilość uprawnień wymaganą dla tożsamości do wykonywania zadań, które musi wykonać. Aby uzyskać więcej informacji na temat ról RBAC Azure OpenAI.

Konfigurowanie przypisań ról w witrynie Azure Portal

Aby włączyć uwierzytelnianie bez klucza, wykonaj następujące kroki, aby skonfigurować niezbędne przypisania ról:

  1. W witrynie Azure Portal przejdź do określonego zasobu usługi Azure OpenAI.
  2. W menu usługi wybierz opcję Access Control (IAM).
  3. Wybierz pozycję , Dodaj przypisanie roli. W otwartym okienku wybierz zakładkę Rola.
  4. Wybierz rolę, którą chcesz przypisać.
  5. Na karcie Członkowie wybierz użytkownika, grupę, jednostkę usługi lub tożsamość zarządzaną, aby przypisać tę rolę.
  6. Na karcie Przeglądanie i przypisywanie potwierdź wybrane opcje. Wybierz pozycję Przejrzyj i przypisz, aby sfinalizować przypisanie roli.

W ciągu kilku minut wybrany użytkownik lub tożsamość otrzymuje przypisaną rolę w wybranym zakresie. Użytkownik lub tożsamość mogą następnie uzyskiwać dostęp do usług Azure OpenAI bez konieczności używania klucza API.

Konfigurowanie przypisań ról w interfejsie wiersza polecenia platformy Azure

Aby skonfigurować przypisania ról przy użyciu interfejsu wiersza polecenia platformy Azure, wykonaj następujące kroki:

  1. Znajdź rolę użycia usługi Azure OpenAI. W zależności od tego, jak zamierzasz ustawić tę rolę, potrzebujesz nazwy lub identyfikatora:

    • W przypadku interfejsu wiersza polecenia platformy Azure lub programu Azure PowerShell możesz użyć nazwy roli.
    • W przypadku aplikacji Bicep potrzebny jest identyfikator roli.

    W poniższej tabeli wybierz nazwę roli lub identyfikator roli:

    Przypadek użycia Nazwa roli Identyfikator roli
    Asystenci Współautor usług OpenAI Cognitive Services a001fd3d-188f-4b5d-821b-7da978bf7442
    Ukończenie czatu Użytkownik openAI usług Cognitive Services 5e0bd9bd-7b93-4f28-af87-19fc36ad61bd

  2. Wybierz typ tożsamości do użycia:

    • Tożsamość osobista jest powiązana z logowaniem na platformie Azure.
    • tożsamość zarządzana jest zarządzana przez platformę Azure i tworzona do użytku w Azure. W tym celu utwórz tożsamość zarządzaną przypisaną przez użytkownika. Podczas tworzenia tożsamości zarządzanej potrzebny jest identyfikator klienta (nazywany również identyfikatorem aplikacji).

  3. Znajdź swoją tożsamość osobistą i użyj identyfikatora jako wartości <identity-id> w tym kroku.

    W przypadku programowania lokalnego, aby uzyskać własny identyfikator tożsamości, użyj następującego polecenia. Przed użyciem tego polecenia musisz zalogować się przy użyciu az login.

    az ad signed-in-user show \
    --query id -o tsv

  4. Przypisz rolę RBAC do tożsamości grupy zasobów. Aby udzielić uprawnień tożsamości do zasobu za pomocą kontroli dostępu opartej na rolach, przypisz rolę przy użyciu polecenia interfejsu wiersza polecenia platformy Azure az role assignment create. Zastąp <identity-id>, <subscription-id>i <resource-group-name> rzeczywistymi wartościami.

    az role assignment create \
    --role "Cognitive Services OpenAI User" \
    --assignee "\<identity-id>" \
    --scope "/subscriptions/\<subscription-id>/resourceGroups/\<resource-group-name>"