Azure OpenAI kimlikleri için RBAC'yi yapılandırma
RBAC (Rol Tabanlı Erişim Denetimi) rolü atamak, bir kimliğe önceden yapılandırılmış bir dizi izin atamanızı sağlar. Microsoft Entra kullanıcıları ve grupları gibi geleneksel kimlikleri bir RBAC rolüne ve yönetilen kimlik gibi özel kimliklere atayabilirsiniz. En iyi yöntem bir Microsoft Entra güvenlik grubu oluşturmak, rolü gruba atamak ve ardından bu hakları gruba üye olarak atamak istediğiniz tüm kimlikleri eklemektir. Bu, grup üyeliğini gözden geçirerek bir kimliğin hangi izinlere atandığını hızla belirleyebildiğiniz için rol yönetimini basitleştirir. Yapılandırabileceğiniz rol atamalarının sayısıyla ilgili sınırlamalar olduğundan, çok sayıda kimlik ve kaynak içeren aboneliklerde de yardımcı olur.
Kimliklere atayabileceğiniz dört Azure OpenAI rolü vardır: Bu roller şunlardır: Bilişsel Hizmetler OpenAI Kullanıcısı, Bilişsel Hizmetler OpenAI Katkıda Bulunanı, Bilişsel Hizmetler Katkıda Bulunanı ve Bilişsel Hizmetler Kullanımları Okuyucusu.
| İzinler | Bilişsel Hizmetler OpenAI Kullanıcısı | Bilişsel Hizmetler Katkıda Bulunanı | Bilişsel Hizmetler Katkıda Bulunanı | Bilişsel Hizmetler Kullanımları Okuyucusu |
|---|---|---|---|---|
| Azure portalında kaynağı görüntüleme | ✅ | ✅ | ✅ | ➖ |
| "Anahtarlar ve Uç Nokta" altında kaynak uç noktasını görüntüleme | ✅ | ✅ | ✅ | ➖ |
| Azure OpenAI Studio'da kaynak ve ilişkili model dağıtımlarını görüntüleme | ✅ | ✅ | ✅ | ➖ |
| Azure OpenAI Studio'da hangi modellerin dağıtım için kullanılabilir olduğunu görüntüleme | ✅ | ✅ | ✅ | ➖ |
| Bu Azure OpenAI kaynağına dağıtılmış olan tüm modellerle Sohbet, Tamamlamalar ve DALL-E (önizleme) oyun alanı deneyimlerini kullanın. | ✅ | ✅ | ✅ | ➖ |
| Model dağıtımlarını oluşturma veya düzenleme | ❌ | ✅ | ✅ | ➖ |
| Özel ince ayarlı modeller oluşturma veya dağıtma | ❌ | ✅ | ✅ | ➖ |
| hassas ayarlama için veri kümelerini karşıya yükleme | ❌ | ✅ | ✅ | ➖ |
| Yeni Azure OpenAI kaynakları oluşturma | ❌ | ❌ | ✅ | ➖ |
| "Anahtarlar ve Uç Nokta" altında anahtarları görüntüleme/kopyalama/yeniden oluşturma | ❌ | ❌ | ✅ | ➖ |
| Özelleştirilmiş içerik filtreleri oluşturma | ❌ | ❌ | ✅ | ➖ |
| "Verilerinizde" özelliği için veri kaynağı ekleme | ❌ | ❌ | ✅ | ➖ |
| Erişim kotası | ❌ | ❌ | ❌ | ✅ |
| Microsoft Entra Id ile çıkarım API'si çağrıları yapma | ✅ | ✅ | ❌ | ➖ |
Bilişsel Hizmetler OpenAI Kullanıcısı
Bilişsel Hizmetler OpenAI Kullanıcı rolüne atanan kimlikler aşağıdaki görevleri gerçekleştirebilir:
- Azure portalda Azure OpenAI kaynağını görüntüleme
- Anahtarlar ve Uç Nokta altında Azure OpenAI kaynak uç noktasını görüntüleme
- Azure OpenAI Studio'da Azure OpenAI kaynağını ve ilişkili model dağıtımlarını görüntüleme
- Azure OpenAI Studio'da hangi modellerin dağıtım için kullanılabilir olduğunu görüntüleme
- Bu Azure OpenAI kaynağına dağıtılmış olan tüm modellerle metin ve görüntü oluşturmak için Sohbet, Tamamlamalar ve Dali oyun alanı deneyimlerini kullanın
- Bu rolü barındıran kullanıcılar, Microsoft Entra Id ile çıkarım API'si çağrıları da yapabilir
Bilişsel Hizmetler Katkıda Bulunanı
Bilişsel Hizmetler OpenAI Katkıda Bulunanı rolüne atanan kimlikler, Bilişsel Hizmetler OpenAI Kullanıcı rolünü barındıran bir kullanıcının kullanabileceği tüm görevleri gerçekleştirebilir. Ayrıca şunları da içeren görevleri gerçekleştirebilir:
- Özel ince ayarlı modeller oluşturma
- hassas ayarlama için veri kümelerini karşıya yükleme
- Yeni model dağıtımları oluşturma
- Mevcut model dağıtımlarını düzenleyin.
Bilişsel Hizmetler Katkıda Bulunanı
Bilişsel Hizmetler Katkıda Bulunanı rolüne genellikle ek rollerle birlikte bir kullanıcı için kaynak grubu düzeyinde erişim verilir. Bu rol tek başına bir kimliğin aşağıdaki görevleri gerçekleştirmesine izin verir:
- Atanan kaynak grubunda yeni Azure OpenAI kaynakları oluşturma
- Azure portalında atanan kaynak grubundaki kaynakları görüntüleme
- Anahtarlar ve Uç Nokta altında kaynak uç noktasını görüntüleme
- Anahtarlar ve Uç Nokta altında anahtarları görüntüleme, kopyalama ve yeniden oluşturma
- Bu Azure OpenAI kaynağına dağıtılmış olan tüm modellerle metin ve görüntü oluşturmak için Sohbet, Tamamlamalar ve Dali oyun alanı deneyimlerini kullanın
- Özelleştirilmiş içerik filtreleri oluşturma
- Verilerinizi kullanma özelliği için veri kaynağı ekleme
- API aracılığıyla yeni model dağıtımları oluşturma veya mevcut model dağıtımlarını düzenleme
- Özel ince ayarlı modeller oluşturma, hassas ayarlama için veri kümelerini karşıya yükleme
- Azure OpenAI Studio aracılığıyla yeni model dağıtımları oluşturma veya mevcut model dağıtımlarını düzenleme
Bilişsel Hizmetler Kullanımları Okuyucusu
Bilişsel Hizmetler Kullanımları Okuyucusu rolü, Azure aboneliği genelinde kota kullanımını görüntülemek için gereken en düşük erişime sahiptir. Bu rolü kullanmak istemiyorsanız, abonelik Okuyucusu rolü eşdeğer erişim sağlar, ancak kotayı görüntülemek için gerekenlerin kapsamının ötesinde okuma erişimi de verir.
Kimliklere rol atarken her zaman kullanıcı kolaylığı ilkesi yerine en az ayrıcalık ilkesini anımsayın. Bir kişi, uygulama veya hizmet yalnızca minimum düzeyde sağlanan bir rolün görevlerini gerçekleştirme olanağı gerektiriyorsa, bu kimliğe atamanız gereken roldür. Ayrıca, bir role anlamlı adlara sahip Microsoft Entra grupları atamanın ve ardından kullanıcıları bu gruplardan ekleyerek ve kaldırarak rol üyeliğini denetlemenin en iyi uygulamasını unutmayın.
Azure portalında rol atamalarını yapılandırma
Anahtarsız kimlik doğrulamasını etkinleştirmek için aşağıdaki adımları izleyerek gerekli rol atamalarını yapılandırın:
- Azure OpenAI'yi seçin: Azure portalındaki belirli Azure OpenAI kaynağınıza gidin.
- Erişim Denetimi: Sol gezinti bölmesinden Erişim Denetimi (IAM) seçeneğini belirleyin.
- Rol Ataması Ekle: Rol ataması ekle'yi seçin ve sonraki ekranda Rol sekmesini seçin.
- Rol: Okuyucu veya Katkıda Bulunan gibi atamak istediğiniz rolü seçin.
- Üyeler Sekmesi: Üyeler sekmesinde, rolü atamak için bir kullanıcı, grup, hizmet sorumlusu veya yönetilen kimlik seçin.
- Gözden Geçir ve Ata: Gözden Geçir ve ata sekmesinde, seçimlerinizi onaylayın ve rol atamasını sonlandırmak için Gözden Geçir ve ata'yı seçin.
Birkaç dakika içinde seçilen kullanıcı veya kimliğe seçilen kapsamda atanan rol verilir ve bu rol, api anahtarına gerek kalmadan Azure OpenAI hizmetlerine erişmesine olanak tanır.