Роли Azure OpenAI RBAC

  • 7 мин

Эти роли RBAC доступны для назначения удостоверений для службы Azure OpenAI:

  • Роль пользователя OpenAI в Cognitive Services позволяет просматривать ресурсы, конечные точки и развертывания моделей, пользоваться интерфейсом интерактивных инструментов и делать вызовы API для вывода. Однако это не позволяет создавать ресурсы, просматривать и копировать и повторно создавать ключи или управлять развертываниями моделей.
  • Роль участника OpenAI в Cognitive Services включает все разрешения пользователей, а также возможность создавать пользовательские точно настроенные модели, отправлять наборы данных и управлять развертываниями моделей. Это не позволяет создавать новые ресурсы или управлять ключами.
  • Роль участника Cognitive Services позволяет создавать новые ресурсы, просматривать и управлять ключами, создавать и управлять развертываниями моделей, а также использовать интерфейс игровой площадки. Он не разрешает доступ к квотам или вызовы API вывода.
  • Роль читателя использования Cognitive Services позволяет просматривать использование квот в подписке. Эта роль обеспечивает минимальный доступ и обычно объединяется с другими ролями.

Всегда выбирайте роль, которая обеспечивает наименьший объем привилегий, необходимых для удостоверения, чтобы выполнять задачи, которые необходимо выполнить. Дополнительные сведения о ролях Azure OpenAI RBAC.

Настройка назначений ролей в портал Azure

Чтобы включить проверку подлинности без ключа, выполните следующие действия, чтобы настроить необходимые назначения ролей:

  1. В портал Azure перейдите к конкретному ресурсу Azure OpenAI.
  2. В меню службы выберите "Управление доступом" (IAM).
  3. Выберите "Добавить назначение ролей". На открывающейся панели выберите вкладку "Роль ".
  4. Выберите роль, которую вы хотите назначить.
  5. На вкладке "Участники" выберите пользователя, группу, служебный принципал или управляемое удостоверение для назначения роли.
  6. На вкладке "Рецензирование и назначение " подтвердите выбранные варианты. Нажмите кнопку "Рецензирование" и "Назначить" , чтобы завершить назначение роли.

Через несколько минут выбранный пользователь или удостоверение предоставляет назначенную роль в выбранной области. После этого пользователь или удостоверение может получить доступ к службам Azure OpenAI без необходимости ключа API.

Настройка назначений ролей в Azure CLI

Чтобы настроить назначения ролей с помощью Azure CLI, выполните следующие действия.

  1. Найдите роль для использования Azure OpenAI. В зависимости от того, как вы планируете задать эту роль, вам потребуется имя или идентификатор:

    • Для Azure CLI или Azure PowerShell можно использовать имя роли.
    • Для Bicep требуется идентификатор роли.

    Используйте следующую таблицу, чтобы выбрать имя роли или идентификатор роли:

    Сценарий использования Имя роли Идентификатор роли
    Помощники Вкладчик Cognitive Services OpenAI a001fd3d-188f-4b5d-821b-7da978bf7442
    Завершение чата Пользователь когнитивных сервисов OpenAI 5e0bd9bd-7b93-4f28-af87-19fc36ad61bd

  2. Выберите тип удостоверения для использования:

    • Личное удостоверение привязано к вашему входу в Azure.
    • Управляемое удостоверение управляется Azure и создается для использования в Azure. Для этого создайте управляемое удостоверение, назначаемое пользователем. При создании управляемого удостоверения вам потребуется идентификатор клиента (также называемый идентификатором приложения).

  3. Найдите свое личное удостоверение и используйте идентификатор в качестве значения на этом шаге <identity-id> .

    Чтобы получить собственный идентификатор удостоверения, используйте следующую команду для локальной разработки. Перед использованием этой команды необходимо войти в az login систему.

    az ad signed-in-user show \
    --query id -o tsv

  4. Назначьте роль RBAC идентификатору группы ресурсов. Чтобы предоставить удостоверению разрешения для ресурса через RBAC, назначьте роль с помощью команды az role assignment createAzure CLI. Замените <identity-id>, <subscription-id>а <resource-group-name> также фактическими значениями.

    az role assignment create \
    --role "Cognitive Services OpenAI User" \
    --assignee "\<identity-id>" \
    --scope "/subscriptions/\<subscription-id>/resourceGroups/\<resource-group-name>"