Azure OpenAI ID の RBAC の構成
RBAC (ロールベースのアクセス制御) ロールを割り当てることで、事前に構成された一連のアクセス許可を ID に割り当てることができます。 Microsoft Entra ユーザーやグループなどの従来の ID だけでなく、マネージド ID などの特殊な ID を RBAC の役割に割り当てることができます。 ベスト プラクティスは、Microsoft Entra セキュリティ グループを作成し、そのグループにロールを割り当ててから、これらの権限を割り当てる ID をグループのメンバーとして追加することです。 こうすると、グループ メンバーシップを確認して ID に割り当てられているアクセス許可をすぐに判断できるため、ロール管理が簡単になります。 また、構成できるロールの割り当て数には制限があるため、多数の ID とリソースがあるサブスクリプションにも役立ちます。
ID に割り当てることができる Azure OpenAI ロールには、Cognitive Services OpenAI ユーザー、Cognitive Services OpenAI 共同作成者、Cognitive Services 共同作成者、Cognitive Services 使用状況閲覧者の 4 つがあります。
| アクセス許可 | Cognitive Services OpenAI ユーザー | Cognitive Services OpenAI 共同作成者 | Cognitive Services 共同作成者 | Cognitive Services 使用状況閲覧者 |
|---|---|---|---|---|
| Azure portal でリソースを表示する | ✅ | ✅ | ✅ | ➖ |
| [キーとエンドポイント] でリソース エンドポイントを表示する | ✅ | ✅ | ✅ | ➖ |
| Azure OpenAI Studio でリソースおよび関連するモデル デプロイを表示する | ✅ | ✅ | ✅ | ➖ |
| Azure OpenAI Studio でデプロイに使用できるモデルを表示する | ✅ | ✅ | ✅ | ➖ |
| チャット、入力候補、DALL-E (プレビュー) プレイグラウンド エクスペリエンスと共に、この Azure OpenAI リソースに既にデプロイされているモデルを使用します。 | ✅ | ✅ | ✅ | ➖ |
| モデル デプロイを作成または管理する | ❌ | ✅ | ✅ | ➖ |
| カスタムの微調整モデルを作成またはデプロイする | ❌ | ✅ | ✅ | ➖ |
| 微調整するためにデータセットをアップロードする | ❌ | ✅ | ✅ | ➖ |
| 新しい Azure OpenAI リソースを作成する | ❌ | ❌ | ✅ | ➖ |
| "キーとエンドポイント" でキーを表示/コピー/再生成する | ❌ | ❌ | ✅ | ➖ |
| カスタマイズされたコンテンツ フィルターを作成する | ❌ | ❌ | ✅ | ➖ |
| "On Your Data" 機能のデータ ソースを追加する | ❌ | ❌ | ✅ | ➖ |
| クォータにアクセスする | ❌ | ❌ | ❌ | ✅ |
| Microsoft Entra ID を使用して推論 API 呼び出しを行う | ✅ | ✅ | ❌ | ➖ |
Cognitive Services OpenAI ユーザー
Cognitive Services OpenAI ユーザー ロールが割り当てられた ID は、次のタスクを実行できます。
- Azure portal で Azure OpenAI リソースを表示する
- [キーとエンドポイント] で Azure OpenAI リソース エンドポイントを表示する
- Azure OpenAI Studio で Azure OpenAI リソースと関連するモデル デプロイを表示する
- Azure OpenAI Studio でデプロイに使用できるモデルを表示する
- チャット、補完、Dali プレイグラウンド エクスペリエンスを使用し、この Azure OpenAI リソースに既にデプロイされているモデルを使用してテキストと画像を生成する
- このロールを持つユーザーは、Microsoft Entra ID を使用して推論 API 呼び出しを行うこともできます
Cognitive Services OpenAI 共同作成者
Cognitive Services OpenAI 共同作成者ロールが割り当てられた ID は、Cognitive Services OpenAI ユーザー ロールを保持するユーザーが使用できるすべてのタスクを実行できます。 また、次のようなタスクを実行することもできます。
- カスタムの微調整モデルを作成する
- 微調整するためにデータセットをアップロードする
- 新しいモデル デプロイを作成する
- 既存のモデルデプロイを編集する。
Cognitive Services 共同作成者
通常、この Cognitive Services 共同作成者ロールには、追加のロールと組み合わせてユーザーのリソース グループ レベルでアクセス権が付与されます。 このロールだけで、ID は次のタスクを実行できるようになります。
- 割り当てられたリソース グループ内に新しい Azure OpenAI リソースを作成する
- Azure portal で、割り当てられたリソース グループ内のリソースを表示する
- [キーとエンドポイント] でリソース エンドポイントを表示する
- [キーとエンドポイント] でキーを表示、コピー、再生成する
- チャット、補完、Dali プレイグラウンド エクスペリエンスを使用し、この Azure OpenAI リソースに既にデプロイされているモデルを使用してテキストと画像を生成する
- カスタマイズされたコンテンツ フィルターを作成する
- データ機能を使用するためにデータ ソースを追加する
- API を使用して新しいモデル デプロイを作成する、または既存のモデル デプロイを編集する
- カスタムの微調整モデルを作成する、微調整のためにデータセットをアップロードする
- Azure OpenAI Studio を使用して新しいモデル デプロイを作成する、または既存のモデル デプロイを編集する
Cognitive Services 使用状況閲覧者
Cognitive Services 使用状況閲覧者ロールには、Azure サブスクリプション全体のクォータ使用状況を表示するために必要な最小限のアクセス権が付与されます。 このロールを使用しない場合、サブスクリプションの閲覧者 ロールで同等のアクセス権が提供されますが、クォータの表示に必要な範囲を超える読み取りアクセスも付与されます。
ID にロールを割り当てるときは、ユーザーの利便性の原則ではなく、最小限の特権の原則を常に念頭に置いてください。 個人、アプリケーション、またはサービスが、最小限のプロビジョニングされたロールのタスクを実行する機能のみを必要とする場合、そのロールをその ID に割り当てる必要があります。 また、わかりやすい名前を付けた Microsoft Entra グループをロールに割り当て、それらのグループにユーザーを追加および削除することでロールのメンバーシップを制御する、というベスト プラクティスも覚えておいてください。
Azure portal でのロールの割り当ての構成
キーレス認証を有効にするには、次の手順に従って必要なロールの割り当てを構成します。
- Azure OpenAI の選択: Azure portal 内で特定の Azure OpenAI リソースに移動します。
- アクセス制御: 左側のナビゲーション ウィンドウから [アクセス制御 (IAM)] オプションを選択します。
- ロールの割り当ての追加: [ロールの割り当ての追加] を選択し、次の画面で [ロール] タブを選択します。
- ロールの選択: 閲覧者や共同作成者など、割り当てるロールを選択します。
- [メンバー] タブ: [メンバー] タブで、ロールを割り当てるユーザー、グループ、サービス プリンシパル、またはマネージド ID を選択します。
- レビューと割り当て: [レビューと割り当て] タブで選択内容を確認し、[レビューと割り当て] を選択してロールの割り当てを完了します。
数分以内に、選択したスコープで割り当てられたロールが選択したユーザーまたは ID に付与され、API キーを必要とせずに Azure OpenAI Service にアクセスできるようになります。