Azure OpenAI RBAC 角色
这些 RBAC 角色可用于分配给 Azure OpenAI 服务的标识:
- 认知服务 OpenAI 用户 角色允许查看资源、终结点和模型部署,使用实验平台,进行推理 API 调用。 但是,它不允许创建资源、查看/复制/重新生成密钥或管理模型部署。
- 认知服务 OpenAI 参与者 角色包括所有用户权限,以及创建自定义微调模型、上传数据集和管理模型部署的功能。 它不允许创建新资源或管理密钥。
- 认知服务参与者 角色允许创建新资源、查看和管理密钥、创建和管理模型部署,以及使用实验环境。 它不允许访问配额或进行推理 API 调用。
- 认知服务使用情况读取者 角色允许查看订阅中的配额使用情况。 此角色提供最少的访问权限,通常与其他角色结合使用。
始终选择一个角色,该角色提供标识执行所需任务所需的最低权限。 有关 Azure OpenAI RBAC 角色的更多详细信息。
在 Azure 门户中配置角色分配
若要启用无密钥身份验证,请执行以下步骤来配置必要的角色分配:
- 在 Azure 门户中,转到特定的 Azure OpenAI 资源。
- 在服务菜单上,选择 访问控制(IAM)。
- 选择“添加角色分配”。 在打开的窗格中,选择“角色”选项卡。
- 选择要分配的角色。
- 在 成员 选项卡上,选择要分配给角色的用户、组、服务主体或托管标识。
- 在 “审阅 + 分配”选项卡上,确认选择。 选择 进行"查看",然后分配 以完成角色分配。
在几分钟内,所选用户或标识在所选范围内被授予分配的角色。 然后,用户或标识无需 API 密钥即可访问 Azure OpenAI 服务。
在 Azure CLI 中配置角色分配
若要使用 Azure CLI 配置角色分配,请执行以下步骤:
为您的 Azure OpenAI 使用找到适合的角色。 根据你打算如何设置该角色,需要名称或 ID:
- 对于 Azure CLI 或 Azure PowerShell,可以使用角色名称。
- 对于 Bicep,需要角色 ID。
使用下表选择角色名称或角色 ID:
用例 角色名称 角色 ID 助理 认知服务 OpenAI 贡献者 a001fd3d-188f-4b5d-821b-7da978bf7442 聊天完成 认知服务 OpenAI 用户 5e0bd9bd-7b93-4f28-af87-19fc36ad61bd 选择要使用的标识类型:
- 个人标识 与 Azure 登录相关联。
- 托管身份 由 Azure 管理,并为在 Azure 上的使用而创建。 对于此选项,请创建用户分配的托管标识。 创建托管标识时,需要客户端 ID(也称为应用 ID)。
查找个人标识,并使用 ID 作为此步骤中的
<identity-id>值。对于本地开发,若要获取自己的标识 ID,请使用以下命令。 在使用此命令之前,需要使用
az login登录。az ad signed-in-user show \ --query id -o tsv将 RBAC 角色分配给资源组的标识。 若要通过 RBAC 向资源授予标识权限,请使用 Azure CLI 命令
az role assignment create分配角色。 将<identity-id>、<subscription-id>和<resource-group-name>替换为实际值。az role assignment create \ --role "Cognitive Services OpenAI User" \ --assignee "\<identity-id>" \ --scope "/subscriptions/\<subscription-id>/resourceGroups/\<resource-group-name>"