Configurar o RBAC para identidades do OpenAI do Azure
Atribuir uma função RBAC (Controle de Acesso Baseado em Função) permite atribuir um conjunto de permissões pré-configuradas a uma identidade. Você pode atribuir identidades tradicionais, como usuários e grupos do Microsoft Entra, a uma função RBAC, bem como identidades especiais, como identidade gerenciada. A melhor prática é criar um grupo de segurança do Microsoft Entra, atribuir a função ao grupo e, em seguida, adicionar todas as identidades às quais você deseja atribuir esses direitos como membros do grupo. Isso simplifica o gerenciamento de função, pois você pode determinar rapidamente quais permissões foram atribuídas a uma identidade examinando a associação ao grupo. Também auxilia em assinaturas que possuem um grande número de identidades e recursos, pois existem limitações quanto ao número de designações de função que você pode configurar.
Há quatro funções do OpenAI do Azure às quais você pode atribuir a identidades: Essas funções são: Usuário do OpenAI dos Serviços Cognitivos, Colaborador do OpenAI dos Serviços Cognitivos, Colaborador dos Serviços Cognitivos e Leitor de Usos dos Serviços Cognitivos.
| Permissões | Usuário de Serviços Cognitivos da OpenAI | Colaborador dos Serviços Cognitivos da OpenAI | Colaborador dos Serviços Cognitivos | Leitor de Usos de Serviços Cognitivos |
|---|---|---|---|---|
| Exibir o recurso no portal do Azure | ✅ | ✅ | ✅ | ➖ |
| Exibir o ponto de extremidade do recurso em "Chaves e Ponto de Extremidade" | ✅ | ✅ | ✅ | ➖ |
| Exibir o recurso e as implantações de modelo associadas no Estúdio OpenAI do Azure | ✅ | ✅ | ✅ | ➖ |
| Exibir quais modelos estão disponíveis para implantação no Estúdio OpenAI do Azure | ✅ | ✅ | ✅ | ➖ |
| Use as experiências de playground Chat, Completions e DALL-E (visualização) com quaisquer modelos que já tenham sido implantados nesse recurso do Azure OpenAI. | ✅ | ✅ | ✅ | ➖ |
| Criar ou editar implantações de modelos | ❌ | ✅ | ✅ | ➖ |
| Criar ou implantar modelos ajustados personalizados | ❌ | ✅ | ✅ | ➖ |
| Carregar conjuntos de dados para ajuste fino | ❌ | ✅ | ✅ | ➖ |
| Criar novos recursos do OpenAI do Azure | ❌ | ❌ | ✅ | ➖ |
| Exibir/Copiar/Regenerar chaves em “Chaves e Endpoint” | ❌ | ❌ | ✅ | ➖ |
| Criar filtros de conteúdo personalizados | ❌ | ❌ | ✅ | ➖ |
| Adicione uma fonte de dados para o recurso “em seus dados” | ❌ | ❌ | ✅ | ➖ |
| Quota de acesso | ❌ | ❌ | ❌ | ✅ |
| Fazer chamadas à API de inferência com o Microsoft Entra ID | ✅ | ✅ | ❌ | ➖ |
Usuário de Serviços Cognitivos da OpenAI
As identidades atribuídas à função de Usuário do OpenAI de Serviços Cognitivos são capazes de executar as seguintes tarefas:
- Exibir o recurso do OpenAI do Azure no portal do Azure
- Exibir o ponto de extremidade do recurso Azure OpenAI em Chaves e Ponto de Extremidade
- Exibir o recurso do OpenAI do Azure e as implantações de modelo associadas no Estúdio do OpenAI do Azure
- Exibir quais modelos estão disponíveis para implantação no Estúdio OpenAI do Azure
- Use as experiências de Chat, Conclusões e Dali para gerar texto e imagens com quaisquer modelos que já tenham sido implantados nesse recurso do Azure OpenAI.
- Os usuários que têm essa função também podem fazer chamadas de API de inferência com o Microsoft Entra ID
Colaborador dos Serviços Cognitivos da OpenAI
As identidades atribuídas à função Colaborador do OpenAI dos Serviços Cognitivos podem executar todas as tarefas disponíveis para um usuário que tenha a função Usuário do OpenAI dos Serviços Cognitivos. Também são capazes de executar tarefas, incluindo:
- Criar modelos personalizados afinados
- Carregar conjuntos de dados para ajuste fino
- Criar novas implantações de modelo
- Editar implantações de modelo existentes.
Colaborador dos Serviços Cognitivos
O papel de Colaborador dos Serviços Cognitivos normalmente garante acesso no nível do grupo de recursos para um usuário, juntamente com outras funções adicionais. Por si só, essa função permitiria que uma identidade executasse as seguintes tarefas:
- Criar novos recursos do OpenAI do Azure no grupo de recursos atribuído
- Exibir recursos no grupo de recursos atribuído no portal do Azure
- Visualize o ponto de extremidade do recurso em Chaves e Ponto de Extremidade
- Exibir, Copiar e Regenerar chaves em Chaves e Endpoint
- Use as experiências de Chat, Conclusões e Dali para gerar texto e imagens com quaisquer modelos que já tenham sido implantados nesse recurso do Azure OpenAI.
- Criar filtros de conteúdo personalizados
- Adicione uma fonte de dados para o recurso de uso de dados
- Criar novas implantações de modelo ou editar implantações de modelo existentes por meio da API
- Criar modelos personalizados ajustados, carregar conjuntos de dados para ajuste fino
- Criar novas implantações de modelo ou editar implantações de modelo existentes por meio do Estúdio do OpenAI do Azure
Leitor de Usos de Serviços Cognitivos
A função Leitor de Usos de Serviços Cognitivos tem o acesso mínimo necessário para visualizar o uso de cota em uma assinatura do Azure. Se você não quiser usar essa função, a função Leitor de assinatura fornece acesso equivalente, mas também concede acesso de leitura além do escopo necessário para a cota de visualização.
Ao atribuir funções a identidades, lembre-se sempre do princípio do privilégio mínimo em vez do princípio da conveniência do usuário. Se uma pessoa, aplicativo ou serviço exigir apenas a capacidade de executar as tarefas de uma função minimamente provisionada, essa é a função que você deve atribuir a essa identidade. Lembre-se também da melhor prática de atribuir grupos do Microsoft Entra com nomes significativos para uma função e, em seguida, controlar a afiliação de função adicionando e removendo usuários desses grupos.
Configurar atribuições de função no portal do Azure
Para habilitar a autenticação sem chave, siga estas etapas para configurar as atribuições de função necessárias:
- Selecionar o OpenAI do Azure: Navegue até seu recurso específico do OpenAI do Azure no portal do Azure.
- Controle de Acesso: Selecione a opção Controle de Acesso (IAM) no painel de navegação esquerdo.
- Adicionar Atribuição de Função: Selecione Adicionar atribuição de função e, na tela subsequente, escolha a guia Função.
- Selecionar Função: Escolha a função desejada que você deseja atribuir, como Leitor ou Colaborador.
- Guia Membros: Na guia Membros, selecione um usuário, um grupo, uma entidade de serviço ou uma identidade gerenciada para atribuição de função.
- Revisar e Atribuir: Na guia Revisar + atribuir, confirme suas seleções e selecione Revisar + atribuir para finalizar a atribuição de função.
Em poucos minutos, o usuário ou identidade selecionado receberá a função atribuída no escopo escolhido, permitindo que acessem os serviços do OpenAI do Azure sem precisar de uma chave de API.