Konfigurowanie kontroli dostępu opartej na rolach dla tożsamości Azure OpenAI
Przypisanie roli kontroli dostępu opartej na rolach umożliwia przypisanie zestawu wstępnie skonfigurowanych uprawnień do tożsamości. Do roli RBAC można przypisać tradycyjne tożsamości, takie jak użytkownicy i grupy firmy Microsoft Entra, a także specjalne tożsamości, takie jak tożsamość zarządzana. Najlepszym rozwiązaniem jest utworzenie grupy zabezpieczeń Entra firmy Microsoft, przypisanie roli do grupy, a następnie dodanie wszelkich tożsamości, do których chcesz przypisać te prawa jako członkowie grupy. Upraszcza to zarządzanie rolami, ponieważ można szybko określić, jakie uprawnienia przypisano tożsamości, przeglądając członkostwo w grupie. Pomaga również w subskrypcjach zawierających dużą liczbę tożsamości i zasobów z uwagi na ograniczenia dotyczące liczby przypisań ról, które można skonfigurować.
Istnieją cztery role Azure OpenAI, do których można przypisywać tożsamości: Użytkownik usług Cognitive Services OpenAI, Współautor usług Cognitive Services OpenAI, Współautor usług Cognitive Services i Czytelnik wykorzystania usług Cognitive Services.
| Uprawnienia | Użytkownik usług OpenAI Cognitive Services | Udziałowiec OpenAI w usługach Cognitive Services | Współautor usług Kognitywnych | Przegląd użycia Cognitive Services |
|---|---|---|---|---|
| Wyświetlanie zasobu w witrynie Azure Portal | ✅ | ✅ | ✅ | ➖ |
| Wyświetl punkt końcowy zasobu w obszarze "Klucze i punkt końcowy" | ✅ | ✅ | ✅ | ➖ |
| Wyświetlanie zasobów i skojarzonych wdrożeń modelu w usłudze Azure OpenAI Studio | ✅ | ✅ | ✅ | ➖ |
| Wyświetlanie modeli dostępnych do wdrożenia w usłudze Azure OpenAI Studio | ✅ | ✅ | ✅ | ➖ |
| Użyj interfejsów testowych czatu, uzupełniania i DALL-E (wersja zapoznawcza) z dowolnymi modelami, które zostały wdrożone w tym zasobie Azure OpenAI. | ✅ | ✅ | ✅ | ➖ |
| Tworzenie lub edytowanie wdrożeń modelu | ❌ | ✅ | ✅ | ➖ |
| Tworzenie lub wdrażanie dostosowanych modeli | ❌ | ✅ | ✅ | ➖ |
| Przekazywanie zestawów danych na potrzeby dostrajania | ❌ | ✅ | ✅ | ➖ |
| Tworzenie nowych zasobów usługi Azure OpenAI | ❌ | ❌ | ✅ | ➖ |
| Wyświetlanie/kopiowanie/ponowne generowanie kluczy w obszarze "Klucze i punkt końcowy" | ❌ | ❌ | ✅ | ➖ |
| Tworzenie dostosowanych filtrów zawartości | ❌ | ❌ | ✅ | ➖ |
| Dodaj źródło danych dla funkcji «na twoich danych» | ❌ | ❌ | ✅ | ➖ |
| Limit przydziału dostępu | ❌ | ❌ | ❌ | ✅ |
| Wywoływanie API inferencji z użyciem Microsoft Entra ID | ✅ | ✅ | ❌ | ➖ |
Użytkownik usług OpenAI Cognitive Services
Tożsamości przypisane do roli użytkownika OpenAI w usługach Cognitive Services mogą wykonywać następujące zadania:
- Wyświetlanie zasobu usługi Azure OpenAI w witrynie Azure Portal
- Wyświetlanie punktu końcowego zasobu usługi Azure OpenAI w obszarze Klucze i punkt końcowy
- Wyświetlanie zasobu usługi Azure OpenAI i skojarzonych wdrożeń modelu w usłudze Azure OpenAI Studio
- Wyświetlanie modeli dostępnych do wdrożenia w usłudze Azure OpenAI Studio
- Korzystaj z funkcji czatu, uzupełniania i środowisk Dali do generowania tekstu i obrazów z dowolnym modelem, który został już wdrożony w tym zasobie usługi Azure OpenAI.
- Użytkownicy, którzy posiadają tę rolę, mogą również wykonywać wywołania interfejsu API wnioskowania za pomocą Microsoft Entra ID
Udziałowiec OpenAI w usługach Cognitive Services
Tożsamości przypisane do roli Contributor OpenAI usług Cognitive Services mogą wykonywać wszystkie zadania dostępne dla użytkownika, który posiada rolę User OpenAI usług Cognitive Services. Są one również w stanie wykonywać zadania, w tym:
- Tworzenie dostosowanych modeli
- Przekazywanie zestawów danych na potrzeby dostrajania
- Tworzenie nowych wdrożeń modelu
- Edytuj istniejące wdrożenia modelu.
Współautor usług Kognitywnych
Rola Współautora usług Cognitive Services jest zazwyczaj nadawana użytkownikowi na poziomie grupy zasobów, wraz z dodatkowymi rolami. Sama ta rola pozwala tożsamości na wykonywanie następujących zadań:
- Tworzenie nowych zasobów usługi Azure OpenAI w przypisanej grupie zasobów
- Wyświetlanie zasobów w przypisanej grupie zasobów w witrynie Azure Portal
- Wyświetl punkt końcowy zasobu w sekcji Klucze i punkt końcowy
- Wyświetlanie, kopiowanie i ponowne generowanie kluczy w obszarze Klucze i punkt końcowy
- Korzystaj z funkcji czatu, uzupełniania i środowisk Dali do generowania tekstu i obrazów z dowolnym modelem, który został już wdrożony w tym zasobie usługi Azure OpenAI.
- Tworzenie dostosowanych filtrów zawartości
- Dodaj źródło danych dla funkcji 'Użyj swoich danych'
- Tworzenie nowych wdrożeń modelu lub edytowanie istniejących wdrożeń modelu za pomocą interfejsu API
- Tworzenie niestandardowych dostrajanych modeli, przekazywanie zestawów danych w celu precyzyjnego dostrajania
- Tworzenie nowych wdrożeń modelu lub edytowanie istniejących wdrożeń modelu za pośrednictwem programu Azure OpenAI Studio
Przegląd użycia Cognitive Services
Rola nadawcy dostępu do przeglądania użycia usług Cognitive Services ma minimalny dostęp wymagany do przeglądania zużycia przydziału subskrypcji platformy Azure. Jeśli nie chcesz używać tej roli, rola Czytelnik subskrypcji zapewnia równoważny dostęp, ale także udziela dostępu do odczytu poza zakresem tego, co jest potrzebne do wyświetlania limitu przydziału.
Podczas przypisywania ról do tożsamości zawsze należy pamiętać zasadę najniższych uprawnień, a nie zasadę wygody użytkownika. Jeśli osoba, aplikacja lub usługa wymaga tylko możliwości wykonywania zadań z minimalnie aprowizowaną rolą, jest to rola, którą należy przypisać do tej tożsamości. Pamiętaj również najlepsze rozwiązanie dotyczące przypisywania grup firmy Microsoft Entra z znaczącymi nazwami do roli, a następnie kontrolowania członkostwa w rolach przez dodawanie i usuwanie użytkowników z tych grup.
Konfigurowanie przypisań ról w witrynie Azure Portal
Aby włączyć uwierzytelnianie bez klucza, wykonaj następujące kroki, aby skonfigurować niezbędne przypisania ról:
- Wybierz pozycję Azure OpenAI: przejdź do swojego określonego zasobu Azure OpenAI w portalu Azure.
- Kontrola dostępu: wybierz opcję Kontrola dostępu (IAM) w okienku nawigacji po lewej stronie.
- Dodaj przypisanie roli: wybierz pozycję Dodaj przypisanie roli, a następnie na kolejnym ekranie wybierz kartę Rola.
- Wybierz rolę: wybierz odpowiednią rolę, którą chcesz przypisać, na przykład Czytelnik lub Współautor.
- Karta Członkowie: na karcie Członkowie wybierz użytkownika, grupę, jednostkę usługi lub tożsamość zarządzaną, aby przypisać rolę.
- Przejrzyj i przypisz: na karcie Przejrzyj i przypisz potwierdź wybrane opcje i kliknij Przejrzyj i przypisz, aby sfinalizować przypisanie roli.
W ciągu kilku minut wybrany użytkownik lub tożsamość otrzymają przypisaną rolę w wybranym zakresie, umożliwiając im dostęp do usług Azure OpenAI bez konieczności używania klucza interfejsu API.