Azure OpenAI RBAC-ansvarsområden

  • 7 minuter

Dessa RBAC-roller är tillgängliga för dig att tilldela identiteter för Azure OpenAI Service:

  • Rollen Cognitive Services OpenAI-användare tillåter visning av resurser, slutpunkter och modelldistributioner; använda försöksmiljöer; och göra API-anrop för slutsatsdragning. Det tillåter dock inte att du skapar resurser, visar/kopierar/återskapar nycklar eller hanterar modelldistributioner.
  • Cognitive Services OpenAI Contributor rollen inkluderar alla användarbehörigheter plus möjligheten att skapa anpassade fintrimmade modeller, ladda upp datauppsättningar och hantera distributioner av modeller. Det tillåter inte att du skapar nya resurser eller hanterar nycklar.
  • Rollen Cognitive Services-deltagare gör det möjligt att skapa nya resurser, visa och hantera nycklar, skapa och hantera modelldistributioner och använda lekplatsupplevelser. Det tillåter inte åtkomst till kvoter eller att göra api-anrop för slutsatsdragning.
  • Med Cognitive Services Usages Reader roll kan du visa kvotanvändning i en prenumeration. Den här rollen ger minimal åtkomst och kombineras vanligtvis med andra roller.

Välj alltid en roll som ger den lägsta behörighet som krävs för identiteten för att utföra de uppgifter som den behöver utföra. Mer information om RBAC-roller i Azure OpenAI.

Konfigurera rolltilldelningar i Azure-portalen

Om du vill aktivera nyckellös autentisering följer du dessa steg för att konfigurera nödvändiga rolltilldelningar:

  1. Gå till din specifika Azure OpenAI-resurs i Azure-portalen.
  2. På tjänstmenyn väljer du Åtkomstkontroll (IAM).
  3. Välj Lägg till rolltilldelning. I fönstret som öppnas väljer du fliken Roll.
  4. Välj den roll som du vill tilldela.
  5. På fliken Medlemmar väljer du en användare, grupp, tjänstens huvudnamn eller hanterade identitet som ska tilldelas rollen.
  6. Bekräfta dina val på fliken Granska + tilldela. Välj Granska + tilldela för att slutföra rolltilldelningen.

Inom några minuter beviljas den valda användaren eller identiteten den tilldelade rollen i det valda omfånget. Användaren eller identiteten kan sedan komma åt Azure OpenAI-tjänster utan att behöva en API-nyckel.

Konfigurera rolltilldelningar i Azure CLI

Utför följande steg för att konfigurera rolltilldelningar med hjälp av Azure CLI:

  1. Hitta rollen för din användning av Azure OpenAI. Beroende på hur du tänker ange den rollen behöver du antingen namnet eller ID:t:

    • För Azure CLI eller Azure PowerShell kan du använda ett rollnamn.
    • För Bicep behöver du roll-ID:t.

    Använd följande tabell för att välja ett rollnamn eller roll-ID:

    Användningsfall Rollnamn Rollens ID
    Assistenter Cognitive Services OpenAI-deltagare a001fd3d-188f-4b5d-821b-7da978bf7442
    Chatten har slutförts Cognitive Services OpenAI-användare 5e0bd9bd-7b93-4f28-af87-19fc36ad61bd

  2. Välj en identitetstyp som ska användas:

    • En personlig identitet är kopplad till din Azure-inloggning.
    • En hanterad identitet hanteras av Azure och skapas för användning i Azure. För det här valet skapar du en användartilldelad hanterad identitet. När du skapar den hanterade identiteten behöver du klient-ID :t (kallas även app-ID).

  3. Hitta din personliga identitet och använd ID:t som värdet <identity-id> i detta steg.

    Använd följande kommando för lokal utveckling för att hämta ditt eget identitets-ID. Du måste logga in med az login innan du använder det här kommandot.

    az ad signed-in-user show \
    --query id -o tsv

  4. Tilldela RBAC-rollen till identiteten för resursgruppen. Om du vill bevilja din identitet behörighet till resursen via RBAC tilldelar du en roll med hjälp av Azure CLI-kommandot az role assignment create. Ersätt <identity-id>, <subscription-id>och <resource-group-name> med dina faktiska värden.

    az role assignment create \
    --role "Cognitive Services OpenAI User" \
    --assignee "\<identity-id>" \
    --scope "/subscriptions/\<subscription-id>/resourceGroups/\<resource-group-name>"