Настройка RBAC для идентификаторов Azure OpenAI
Назначение роли RBAC (контроль доступа на основе ролей) позволяет назначить набор предварительно настроенных разрешений для идентичности. Можно назначать традиционные удостоверения, такие как пользователи и группы Microsoft Entra, а также специальные удостоверения, например управляемые удостоверения, на роль RBAC. Рекомендуется создать группу безопасности Microsoft Entra, назначить роль этой группе, а затем добавить любые удостоверения, которым вы хотите предоставить эти права, в качестве членов группы. Это упрощает управление ролями, так как вы можете быстро определить, какие разрешения назначены удостоверению, проверяя членство в группах. Она также помогает в подписках с большим количеством идентификаторов и ресурсов, так как существуют ограничения в отношении количества назначений ролей, которые можно настроить.
Существует четыре роли Azure OpenAI, которые можно назначить удостоверениям: это Cognitive Services OpenAI User, Cognitive Services OpenAI Contributor, Cognitive Services Contributor и Cognitive Services Usages Reader.
| Разрешения | Пользователь службы OpenAI в Cognitive Services | Участник Cognitive Services OpenAI | Участник служб Cognitive Services | Просмотр использования сервисов ИИ |
|---|---|---|---|---|
| Просмотр ресурса в портале Azure | ✅ | ✅ | ✅ | ➖ |
| Просмотр конечной точки ресурса в разделе "Ключи и конечная точка" | ✅ | ✅ | ✅ | ➖ |
| Просмотр развертываний ресурсов и связанных моделей в Azure OpenAI Studio | ✅ | ✅ | ✅ | ➖ |
| Просмотр моделей, доступных для развертывания в Azure OpenAI Studio | ✅ | ✅ | ✅ | ➖ |
| Используйте инструменты чата, завершений и DALL-E (предварительный просмотр) с любыми моделями, которые уже развернуты в этом ресурсе Azure OpenAI. | ✅ | ✅ | ✅ | ➖ |
| Создание или изменение развертываний моделей | ❌ | ✅ | ✅ | ➖ |
| Создание или развертывание кастомных моделей | ❌ | ✅ | ✅ | ➖ |
| Отправка наборов данных для точной настройки | ❌ | ✅ | ✅ | ➖ |
| Создание новых ресурсов Azure OpenAI | ❌ | ❌ | ✅ | ➖ |
| Просмотр и копирование и повторное создание ключей в разделе "Ключи и конечная точка" | ❌ | ❌ | ✅ | ➖ |
| Создание настраиваемых фильтров содержимого | ❌ | ❌ | ✅ | ➖ |
| Добавьте источник данных для функциональности "на ваших данных" | ❌ | ❌ | ✅ | ➖ |
| Квота доступа | ❌ | ❌ | ❌ | ✅ |
| Выполняйте вызовы API выводов с помощью Microsoft Entra ID | ✅ | ✅ | ❌ | ➖ |
Пользователь службы OpenAI в Cognitive Services
Удостоверения, назначенные роли пользователя OpenAI Cognitive Services, могут выполнять следующие задачи:
- Посмотрите ресурс Azure OpenAI в портале Azure
- Просмотр конечной точки ресурса Azure OpenAI в разделе "Ключи и конечная точка"
- Просмотр ресурсов Azure OpenAI и связанных с ними развертываний моделей в Azure OpenAI Studio
- Просмотр моделей, доступных для развертывания в Azure OpenAI Studio
- Используйте интерфейс чата, функции завершения и песочницу Dali для создания текста и изображений, используя любые модели, которые уже развернуты в этом ресурсе Azure OpenAI.
- Пользователи, имеющие эту роль, также могут вызывать API для выполнения выводов с помощью Microsoft Entra ID.
Участник Cognitive Services OpenAI
Удостоверения, назначенные на роль вкладчика OpenAI в Cognitive Services, могут выполнять все задачи, доступные пользователю, имеющему роль пользователя OpenAI в Cognitive Services. Они также могут выполнять задачи, включая:
- Создавайте пользовательские модели с точной настройкой
- Отправка наборов данных для точной настройки
- Создание новых развертываний моделей
- Изменение существующих развертываний модели.
Участник служб Cognitive Services
Роль участника Cognitive Services обычно предоставляется на уровне группы ресурсов для пользователя в сочетании с дополнительными ролями. Эта роль позволяет удостоверению выполнять следующие задачи:
- Создание новых ресурсов Azure OpenAI в назначенной группе ресурсов
- Просмотр ресурсов в назначенной группе ресурсов в портале Azure
- Просмотр конечной точки ресурса в разделе "Ключи и конечная точка"
- Просмотр, копирование и повторное создание ключей в разделе "Ключи" и "Конечная точка"
- Используйте интерфейс чата, функции завершения и песочницу Dali для создания текста и изображений, используя любые модели, которые уже развернуты в этом ресурсе Azure OpenAI.
- Создание настраиваемых фильтров содержимого
- Добавьте источник данных для функции "Использование ваших данных"
- Создание новых развертываний моделей или изменение существующих развертываний моделей с помощью API
- Создание индивидуальных настроенных моделей, загрузите наборы данных для настройки
- Создание новых развертываний моделей или изменение существующих развертываний моделей с помощью Azure OpenAI Studio
Просмотр использования сервисов ИИ
Роль читателя использования Cognitive Services имеет минимальный доступ, необходимый для просмотра использования квот в подписке Azure. Если вы не хотите использовать эту роль, роль читателя подписки предоставляет эквивалентный доступ, но также предоставляет доступ для чтения за пределы области, необходимой для просмотра квоты.
При назначении ролей удостоверениям всегда помните принцип наименьшей привилегии, а не принцип удобства пользователя. Если пользователю, приложению или службе требуется только возможность выполнять задачи минимально обеспеченной роли, то это роль, которую следует назначить для этой сущности. Кроме того, помните лучшую практику — назначать группы Microsoft Entra с значимыми именами на роли и затем управлять членством в этих ролях, добавляя и удаляя пользователей из этих групп.
Настройка назначений ролей на портале Azure
Чтобы включить проверку подлинности без ключа, выполните следующие действия, чтобы настроить необходимые назначения ролей:
- Выберите Azure OpenAI: перейдите к определенному ресурсу Azure OpenAI в портал Azure.
- контроль доступа. Выберите параметр контроль доступа (IAM) в области навигации слева.
- Добавление назначения ролей: выберите "Добавить назначение ролей" и на следующем экране выберите вкладку "Роль".
- Выберите роль: выберите нужную роль, которую вы хотите назначить, например читатель или участник.
- Вкладка "Участники": на вкладке "Участники" выберите пользователя, группу, служебный субъект или управляемое удостоверение, чтобы назначить роль.
- Проверка и назначение: на вкладке "Рецензирование и назначение" подтвердите выбранные варианты и выберите "Проверить и назначить", чтобы завершить назначение роли.
Через несколько минут выбранному пользователю или удостоверению будет предоставлена назначенная роль в выбранной области, что позволит им получить доступ к службам Azure OpenAI без необходимости использования ключа API.