Azure OpenAI RBAC 角色
這些 RBAC 角色可供您指派給 Azure OpenAI 服務的身分識別:
- 認知服務 OpenAI 使用者 角色可讓您檢視資源、端點和模型部署;使用遊樂場體驗;進行推斷 API 呼叫。 不過,它不允許建立資源、檢視/複製/重新產生密鑰,或管理模型部署。
- 認知服務 OpenAI 參與者 角色包含所有用戶許可權,以及建立自定義微調模型、上傳數據集及管理模型部署的能力。 它不允許建立新的資源或管理金鑰。
- 認知服務參與者 角色可讓您建立新的資源、檢視和管理密鑰、建立和管理模型部署,以及使用遊樂場體驗。 它不允許存取配額或進行推斷 API 呼叫。
- 認知服務使用量讀取者 角色可讓您檢視訂用帳戶的配額使用量。 此角色提供最少的存取權,且通常會與其他角色結合。
請務必選擇能提供該身分識別執行所需工作最低權限的角色。 有關 Azure OpenAI RBAC 角色的詳細資訊。
在 Azure 入口網站中設定角色指派
若要啟用無金鑰驗證,請遵循下列步驟來設定必要的角色指派:
- 在 Azure 入口網站中,移至您的特定 Azure OpenAI 資源。
- 在服務選單上,選取 [存取控制 (IAM)]。
- 選取 [新增角色指派]。 在開啟的窗格中,選取 [角色] 索引標籤。
- 選取您要指派的角色。
- 在 [成員] 索引標籤上,選取要指派給角色的使用者、群組、服務主體或受控識別。
- 在 [檢閱 + 指派] 索引標籤上,確認您的選取項目。 選取 [檢閱 + 指派] 以完成角色指派。
在幾分鐘內,選取的使用者或身分識別會獲授與所選範圍中指派的角色。 然後,使用者或身分識別即可存取 Azure OpenAI 服務,而不需要 API 金鑰。
在 Azure CLI 中設定角色指派
若要使用 Azure CLI 設定角色指派,請執行下列步驟:
尋找適合您使用 Azure OpenAI 的角色。 視您想要設定該角色的方式而定,您需要名稱或識別碼:
- 針對 Azure CLI 或 Azure PowerShell,您可以使用角色名稱。
- 針對 Bicep,您需要角色識別碼。
使用下表來選取角色名稱或角色識別碼:
用例 角色名稱 角色標識碼 助理 認知服務 OpenAI 參與者 a001fd3d-188f-4b5d-821b-7da978bf7442 聊天完成 認知服務 OpenAI 使用者 5e0bd9bd-7b93-4f28-af87-19fc36ad61bd 選取要使用的身分識別類型:
- 個人身分識別會繫結至您的 Azure 登入。
- 受控識別 是由 Azure 管理,並建立以在 Azure 上使用。 針對此選項,請建立使用者指派的受控識別。 當您建立受控識別時,您需要用戶端識別碼(也稱為應用程式識別符)。
尋找您的個人身分識別,並使用標識碼作為此步驟中的
<identity-id>值。針對本機開發,若要取得您自己的身分識別 ID,請使用下列命令。 使用此命令之前,您必須使用
az login登入。az ad signed-in-user show \ --query id -o tsv將 RBAC 角色指派給資源群組的身分識別。 若要透過 RBAC 將身分識別許可權授與資源,請使用 Azure CLI 命令
az role assignment create指派角色。 將<identity-id>、<subscription-id>和<resource-group-name>取代為您的實際值。az role assignment create \ --role "Cognitive Services OpenAI User" \ --assignee "\<identity-id>" \ --scope "/subscriptions/\<subscription-id>/resourceGroups/\<resource-group-name>"