設定 Azure OpenAI 身分識別的 RBAC
指派 RBAC (角色型存取控制) 角色可讓您將一組預先設定的權限指派給身分識別。 您可以將傳統身分識別,例如 Microsoft Entra 使用者和群組指派給 RBAC 角色,以及此類受控識別的特殊身分識別。 最佳做法是建立 Microsoft Entra 安全性群組、將角色指派給群組,然後新增您想要將這些權限指派為群組成員的任何身分識別。 這可簡化角色管理,因為您可以檢閱群組成員資格,以快速判斷為身分識別指派的權限。 它也有助於具有大量身分識別和資源的訂用帳戶,因為您可以設定的角色指派數目有所限制。
您有四個 Azure OpenAI 角色可以指派給身分識別:認知服務 OpenAI 使用者、認知服務 OpenAI 參與者、認知服務參與者和認知服務使用方式讀取者。
| 權限 | 認知服務 OpenAI 使用者 | 認知服務 OpenAI 參與者 | 認知服務參與者 | 認知服務使用方式讀取器 |
|---|---|---|---|---|
| 在 Azure 入口網站中檢視資源 | ✅ | ✅ | ✅ | ➖ |
| 檢視 [金鑰和端點] 下的資源端點 | ✅ | ✅ | ✅ | ➖ |
| 在 Azure OpenAI Studio 中檢視資源和相關聯的模型部署 | ✅ | ✅ | ✅ | ➖ |
| 在 Azure OpenAI Studio 中檢視可供部署的模型 | ✅ | ✅ | ✅ | ➖ |
| 將聊天、完成和 DALL-E (預覽) 遊樂場體驗搭配用於任何已部署至此 Azure OpenAI 資源的模型。 | ✅ | ✅ | ✅ | ➖ |
| 建立或編輯模型部署 | ❌ | ✅ | ✅ | ➖ |
| 建立或部署自訂微調模型 | ❌ | ✅ | ✅ | ➖ |
| 上傳資料集以進行微調 | ❌ | ✅ | ✅ | ➖ |
| 建立新的 Azure OpenAI 資源 | ❌ | ❌ | ✅ | ➖ |
| 在 [金鑰和端點] 底下檢視/複製/重新產生金鑰 | ❌ | ❌ | ✅ | ➖ |
| 建立自訂的內容篩選 | ❌ | ❌ | ✅ | ➖ |
| 新增「使用您的資料」功能的資料來源 | ❌ | ❌ | ✅ | ➖ |
| 存取配額 | ❌ | ❌ | ❌ | ✅ |
| 使用 Microsoft Entra ID 進行推斷 API 呼叫 | ✅ | ✅ | ❌ | ➖ |
認知服務 OpenAI 使用者
指派認知服務 OpenAI 使用者角色的身分識別能夠執行下列工作:
- 在 Azure 入口網站中檢視 Azure OpenAI 資源
- 在 [金鑰和端點] 底下檢視 Azure OpenAI 資源端點
- 在 Azure OpenAI Studio 中檢視 Azure OpenAI 資源和相關聯的模型部署
- 在 Azure OpenAI Studio 中檢視可供部署的模型
- 使用聊天、完成和 Dali 遊樂場體驗,以使用已部署至此 Azure OpenAI 資源的任何模型來產生文字和影像
- 持有此角色的使用者也能夠使用 Microsoft Entra ID 發出推斷 API 呼叫
認知服務 OpenAI 參與者
指派認知服務 OpenAI 參與者角色的身分識別,可以執行保留認知服務 OpenAI 使用者角色之使用者可用的所有工作。 他們也可以執行各種工作,包括:
- 建立自訂微調模型
- 上傳資料集以進行微調
- 建立新的模型部署
- 編輯現有的模型部署。
認知服務參與者
認知服務參與者角色通常會在資源群組層級針對使用者獲授與存取權以與其他角色搭配使用。 此角色本身會允許身分識別執行下列工作:
- 在指派的資源群組內建立新的 Azure OpenAI 資源
- 在 Azure 入口網站中檢視指派資源群組中的資源
- 在 [金鑰和端點] 底下檢視資源端點
- 在 [金鑰和端點] 底下檢視、複製和重新產生金鑰
- 使用聊天、完成和 Dali 遊樂場體驗,以使用已部署至此 Azure OpenAI 資源的任何模型來產生文字和影像
- 建立自訂的內容篩選
- 新增資料來源以使用您的資料功能
- 透過 API 建立新的模型部署或編輯現有的模型部署
- 建立自訂微調模型、上傳資料集以進行微調
- 透過 Azure OpenAI Studio 建立新的模型部署或編輯現有的模型部署
認知服務使用方式讀取器
認知服務使用方式讀取者角色具有所需的最低存取權,以檢視 Azure 訂用帳戶的配額使用方式。 如果您不想使用此角色,訂用帳戶讀者角色提供了對等的存取權,但同時也會授與檢視配額所需範圍以外的讀取權限。
將角色指派給身分識別時,一律記住最低權限原則,而不是使用者便利性的原則。 如果人員、應用程式或服務只需要能夠執行最低佈建角色的工作,也就是您應該指派給該身分識別的角色。 此外,請記得將具有有意義名稱的 Microsoft Entra 群組指派給角色,然後藉由新增和移除這些群組中的使用者,來控制角色成員資格的最佳做法。
在 Azure 入口網站中設定角色指派
若要啟用無金鑰驗證,請遵循下列步驟來設定必要的角色指派:
- 選取 Azure OpenAI:在 Azure 入口網站內瀏覽至您的特定 Azure OpenAI 資源。
- 存取控制:從左側瀏覽窗格中選取 [存取控制 (IAM)] 選項。
- 新增角色指派:選取 [新增角色指派],然後在後續畫面上,選擇 [角色] 索引標籤。
- 選取角色:選擇您想要指派的角色,例如讀取者或參與者。
- 成員索引標籤:在 [成員] 索引標籤上,選取要指派角色的使用者、群組、服務主體或受控識別。
- 檢閱並指派:在 [檢閱 + 指派] 索引標籤上,確認您的選取項目,然後選取 [檢閱 + 指派] 以完成角色指派。
在幾分鐘內,選取的使用者或身分識別將會在所選範圍獲授與指派的角色,讓他們不需要 API 金鑰即可存取 Azure OpenAI 服務。