Funções do Azure OpenAI RBAC
Essas funções RBAC estão disponíveis para você atribuir a identidades para o Serviço OpenAI do Azure:
- A função Usuário do Serviços Cognitivos do OpenAI do Azure permite visualizar recursos, pontos de extremidade e implantações de modelos; usar experiências de playground; e fazer chamadas de API de inferência. No entanto, ele não permite criar recursos, exibir/copiar/regenerar chaves ou gerenciar implantações de modelo.
- A função Colaborador do Serviços Cognitivos OpenAI inclui todas as permissões de usuário, além da capacidade de criar modelos personalizados e ajustados, carregar conjuntos de dados e gerenciar implantações de modelos. Ele não permite a criação de novos recursos nem o gerenciamento de chaves.
- A função Colaborador de Serviços Cognitivos permite criar novos recursos, visualizar e gerenciar chaves, criar e gerenciar implantações de modelos e usar experiências de playground. Ele não permite o acesso a cotas nem faz chamadas à API de inferência.
- A função Leitor de usos de Serviços Cognitivos do Azure permite visualizar o uso de cotas em uma assinatura. Essa função fornece acesso mínimo e normalmente é combinada com outras funções.
Sempre escolha uma função que forneça a menor quantidade de privilégios necessária para que a identidade execute as tarefas necessárias. Para obter mais detalhes sobre as funções RBAC do Azure OpenAI.
Configurar atribuições de função no portal do Azure
Para habilitar a autenticação sem chave, siga estas etapas para configurar as atribuições de função necessárias:
- No portal do Azure, acesse seu recurso específico do Azure OpenAI.
- No menu de serviço, selecione Controle de Acesso (IAM).
- Selecione Adicionar atribuição de função. No painel que é aberto, selecione a guia Função.
- Selecione a função que você deseja atribuir.
- Na guia Membros, selecione um usuário, grupo, entidade de serviço ou identidade gerenciada para atribuir à função.
- Na aba Revisar + atribuir, confirme suas seleções. Selecione Examinar e atribuir para finalizar a atribuição de função.
Em poucos minutos, o usuário ou identidade selecionado recebe a função atribuída no escopo escolhido. O usuário ou identidade pode acessar os serviços do Azure OpenAI sem precisar de uma chave de API.
Configurar atribuições de função na CLI do Azure
Para configurar atribuições de função usando a CLI do Azure, execute estas etapas:
Localize a função para seu uso do Serviço OpenAI do Azure. Dependendo de como você pretende definir essa função, você precisará do nome ou da ID:
- Para a CLI do Azure ou o Azure PowerShell, você pode usar um nome de função.
- Para o Bicep, você precisa da ID da função.
Use a tabela a seguir para selecionar um nome de função ou uma ID de função:
Caso de uso Nome da função ID da função Assistentes Colaborador dos Serviços Cognitivos OpenAI a001fd3d-188f-4b5d-821b-7da978bf7442 Finalizações de chat Usuário do OpenAI de Serviços Cognitivos 5e0bd9bd-7b93-4f28-af87-19fc36ad61bd Selecione um tipo de identidade a ser usado:
- Uma identidade pessoal está vinculada à sua entrada no Azure.
- A identidade gerenciada é gerenciada pelo Azure e criada para uso no Azure. Para essa opção, crie uma identidade gerenciada atribuída pelo usuário. Ao criar a identidade gerenciada, você precisa da ID do cliente (também chamada de ID do aplicativo).
Localize sua identidade pessoal e use a ID como o valor
<identity-id>nesta etapa.Para desenvolvimento local, para obter sua própria ID de identidade, use o comando a seguir. Você precisa entrar com
az loginantes de usar esse comando.az ad signed-in-user show \ --query id -o tsvAtribua a função RBAC à identidade do grupo de recursos. Para conceder permissões de identidade ao recurso por meio do RBAC, atribua uma função usando o comando da CLI do Azure
az role assignment create. Substitua<identity-id>,<subscription-id>e<resource-group-name>pelos valores reais.az role assignment create \ --role "Cognitive Services OpenAI User" \ --assignee "\<identity-id>" \ --scope "/subscriptions/\<subscription-id>/resourceGroups/\<resource-group-name>"