Konfigurera RBAC för Azure OpenAI-identiteter
När du tilldelar en ROLLBASERAD åtkomstkontroll-roll kan du tilldela en uppsättning förkonfigurerade behörigheter till en identitet. Du kan tilldela traditionella identiteter som Microsoft Entra-användare och -grupper till en RBAC-roll samt särskilda identiteter som hanterad identitet. Bästa praxis är att skapa en Microsoft Entra-säkerhetsgrupp, tilldela rollen till gruppen och sedan lägga till eventuella identiteter som du vill tilldela dessa rättigheter till som medlemmar i gruppen. Detta förenklar rollhanteringen eftersom du snabbt kan avgöra vilka behörigheter en identitet har tilldelats genom att granska gruppmedlemskap. Det hjälper även i prenumerationer med ett stort antal identiteter och resurser eftersom det finns begränsningar för antalet rolltilldelningar som du kan konfigurera.
Det finns fyra Azure OpenAI-roller som du kan tilldela till identiteter: Dessa roller är: Cognitive Services OpenAI-användare, Cognitive Services OpenAI-deltagare, Cognitive Services-deltagare och Cognitive Services Usages Reader.
| Behörigheter | Cognitive Services OpenAI-användare | Cognitive Services OpenAI-deltagare | Cognitive Services-bidragsgivare | Läsare för användningar av Cognitive Services |
|---|---|---|---|---|
| Visa resursen i Azure Portal | ✅ | ✅ | ✅ | ➖ |
| Visa resursslutpunkten under "Nycklar och slutpunkt" | ✅ | ✅ | ✅ | ➖ |
| Visa resursen och tillhörande modelldistributioner i Azure OpenAI Studio | ✅ | ✅ | ✅ | ➖ |
| Visa vilka modeller som är tillgängliga för distribution i Azure OpenAI Studio | ✅ | ✅ | ✅ | ➖ |
| Använd lekupplevelserna Chat, Completions och DALL-E (förhandsversion) med alla modeller som redan har distribuerats till den här Azure OpenAI-resursen. | ✅ | ✅ | ✅ | ➖ |
| Skapa eller redigera modellutplaceringar | ❌ | ✅ | ✅ | ➖ |
| Skapa eller distribuera anpassade finjusterade modeller | ❌ | ✅ | ✅ | ➖ |
| Ladda upp datauppsättningar för finjustering | ❌ | ✅ | ✅ | ➖ |
| Skapa nya Azure OpenAI-resurser | ❌ | ❌ | ✅ | ➖ |
| Visa/kopiera/återskapa nycklar under "Nycklar och slutpunkt" | ❌ | ❌ | ✅ | ➖ |
| Skapa anpassade innehållsfilter | ❌ | ❌ | ✅ | ➖ |
| Lägg till en datakälla för funktionen "på dina uppgifter" | ❌ | ❌ | ✅ | ➖ |
| Åtkomstkvot | ❌ | ❌ | ❌ | ✅ |
| Göra slutsatsdragnings-API-anrop med Microsoft Entra-ID | ✅ | ✅ | ❌ | ➖ |
Cognitive Services OpenAI-användare
Identiteter som tilldelats rollen Cognitive Services OpenAI-användare kan utföra följande uppgifter:
- Visa Azure OpenAI-resursen i Azure Portal
- Visa Azure OpenAI-resursslutpunkten under Nycklar och slutpunkt
- Visa Azure OpenAI-resursen och tillhörande modelldistributioner i Azure OpenAI Studio
- Visa vilka modeller som är tillgängliga för distribution i Azure OpenAI Studio
- Använd funktionerna Chat, Completions och Dali playground för att generera text och bilder med modeller som redan har distribuerats till den här Azure OpenAI-resursen
- Användare som har den här rollen kan också göra inferens-API-anrop med Microsoft Entra-ID
Cognitive Services OpenAI-deltagare
Identiteter som tilldelats rollen Cognitive Services OpenAI-deltagare kan utföra alla uppgifter som är tillgängliga för en användare som har rollen Cognitive Services OpenAI-användare. De kan också utföra uppgifter som:
- Skapa anpassade finjusterade modeller
- Ladda upp datauppsättningar för finjustering
- Skapa nya modellimplementeringar
- Redigera befintliga modelldistributioner.
Cognitive Services-bidragsgivare
Rollen Cognitive Services-bidragsgivare tilldelas vanligtvis åtkomst på resursgruppsnivå för en användare, i kombination med ytterligare roller. Den här rollen gör det möjligt för en identitet att utföra följande uppgifter:
- Skapa nya Azure OpenAI-resurser i den tilldelade resursgruppen
- Visa resurser i den tilldelade resursgruppen i Azure Portal
- Visa resursslutpunkten under Nycklar och slutpunkt
- Visa, kopiera och återskapa nycklar under Nycklar och slutpunkt
- Använd funktionerna Chat, Completions och Dali playground för att generera text och bilder med modeller som redan har distribuerats till den här Azure OpenAI-resursen
- Skapa anpassade innehållsfilter
- Lägga till en datakälla för att använda din datafunktion
- Skapa nya modelldistributioner eller redigera befintliga modelldistributioner via API
- Skapa anpassade finjusterade modeller, Ladda upp datauppsättningar för finjustering
- Skapa nya modelldistributioner eller redigera befintliga modelldistributioner via Azure OpenAI Studio
Läsare för användningar av Cognitive Services
Rollen Cognitive Services Usages Reader har den minimala åtkomst som krävs för att visa kvotanvändning i en Azure-prenumeration. Om du inte vill använda den här rollen ger prenumerationsrollen Läsare motsvarande åtkomst, men den ger även läsåtkomst utöver det som behövs för att visa kvoten.
När du tilldelar roller till identiteter kommer du alltid ihåg principen om minsta behörighet snarare än principen om användar bekvämlighet. Om en person, ett program eller en tjänst endast kräver möjligheten att utföra uppgifter för en minimalt etablerad roll är det den roll som du bör tilldela den identiteten. Kom också ihåg bästa praxis att tilldela Microsoft Entra-grupper med meningsfulla namn till en roll och sedan kontrollera rollmedlemskap genom att lägga till och ta bort användare från dessa grupper.
Konfigurera rolltilldelningar i Azure Portal
Om du vill aktivera nyckellös autentisering följer du dessa steg för att konfigurera nödvändiga rolltilldelningar:
- Välj Azure OpenAI: Navigera till din specifika Azure OpenAI-resurs inom Azure Portal.
- Åtkomstkontroll: Välj alternativet Åtkomstkontroll (IAM) i det vänstra navigeringsfönstret.
- Lägg till rolltilldelning: Välj Lägg till rolltilldelning och välj fliken Roll på efterföljande skärm.
- Välj Roll: Välj önskad roll som du vill tilldela, till exempel Läsare eller Deltagare.
- Fliken Medlemmar: På fliken Medlemmar väljer du en användare, grupp, tjänstens huvudnamn eller hanterade identitet för att tilldela rollen.
- Granska och tilldela: På fliken Granska + tilldela bekräftar du dina val och väljer Granska + tilldela för att slutföra rolltilldelningen.
Inom några minuter beviljas den valda användaren eller identiteten den tilldelade rollen i det valda omfånget, vilket gör det möjligt för dem att komma åt Azure OpenAI-tjänster utan att behöva en API-nyckel.