Azure OpenAI RBAC-Rollen

  • 7 Minuten

Diese RBAC-Rollen stehen Ihnen zur Verfügung, um Identitäten für Azure OpenAI-Dienst zuzuweisen:

  • Die Rolle Cognitive Services OpenAI User ermöglicht das Anzeigen von Ressourcen, Endpunkten und Modellbereitstellungen; die Nutzung von Testumgebungen; und das Durchführen von Inferenz-API-Aufrufen. Das Erstellen von Ressourcen, das Anzeigen/Kopieren/Generieren von Schlüsseln oder das Verwalten von Modellbereitstellungen ist jedoch nicht zulässig.
  • Die OpenAI-Mitwirkender Rolle von Cognitive Services umfasst alle Benutzerberechtigungen sowie die Möglichkeit, benutzerdefinierte fein abgestimmte Modelle zu erstellen, Datasets hochzuladen und Modellbereitstellungen zu verwalten. Es ist nicht zulässig, neue Ressourcen zu erstellen oder Schlüssel zu verwalten.
  • Der Cognitive Services-Mitwirkender Rolle ermöglicht das Erstellen neuer Ressourcen, das Anzeigen und Verwalten von Schlüsseln, das Erstellen und Verwalten von Modellbereitstellungen und die Verwendung von Spielplätzen. Der Zugriff auf Quoten und das Ausführen von Inferenz-API-Aufrufen sind nicht erlaubt.
  • Die Cognitive Services Usages Reader Rolle ermöglicht das Anzeigen der Kontingentnutzung in einem Abonnement. Diese Rolle bietet minimalen Zugriff und wird in der Regel mit anderen Rollen kombiniert.

Wählen Sie immer eine Rolle aus, die die niedrigste Menge an Berechtigungen bereitstellt, die für die Identität erforderlich sind, um die aufgaben auszuführen, die sie ausführen muss. Weitere Informationen zu Azure OpenAI RBAC-Rollen.

Konfigurieren von Rollenzuweisungen im Azure-Portal

Führen Sie zum Aktivieren der schlüssellosen Authentifizierung die folgenden Schritte aus, um die erforderlichen Rollenzuweisungen zu konfigurieren:

  1. Wechseln Sie im Azure-Portal zu Ihrer spezifischen Azure OpenAI-Ressource.
  2. Wählen Sie im Menü "Service" Access Control (IAM)aus.
  3. Wählen Sie Rollenzuweisung hinzufügenaus. Wählen Sie im daraufhin geöffneten Bereich die Registerkarte Rolle aus.
  4. Wählen Sie die Rolle aus, die Sie zuweisen möchten.
  5. Wählen Sie auf der Registerkarte Mitglieder einen Benutzer, eine Gruppe, einen Dienstprinzipal oder eine verwaltete Identität aus, die der Rolle zugewiesen werden soll.
  6. Bestätigen Sie Ihre Auswahl auf der Registerkarte Überblick + Zuweisen. Wählen Sie , um zu überprüfen, und zuzuweisen, um die Rollenzuweisung abzuschließen.

Innerhalb weniger Minuten wird dem ausgewählten Benutzer oder der ausgewählten Identität die zugewiesene Rolle im ausgewählten Bereich gewährt. Der Benutzer oder die Identität kann dann auf Azure OpenAI-Dienste zugreifen, ohne einen API-Schlüssel benötigen zu müssen.

Konfigurieren von Rollenzuweisungen in der Azure CLI

Führen Sie die folgenden Schritte aus, um Rollenzuweisungen mithilfe der Azure CLI zu konfigurieren:

  1. Suchen Sie die Rolle für Ihre Verwendung von Azure OpenAI. Je nachdem, wie Sie diese Rolle festlegen möchten, benötigen Sie entweder den Namen oder die ID:

    • Für die Azure CLI oder Azure PowerShell können Sie einen Rollennamen verwenden.
    • Für Bicep benötigen Sie die Rollen-ID.

    Verwenden Sie die folgende Tabelle, um einen Rollennamen oder eine Rollen-ID auszuwählen:

    Anwendungsfall Rollenname Rollen-ID
    Assistenten Cognitive Services OpenAI-Mitwirkender a001fd3d-188f-4b5d-821b-7da978bf7442
    Chat-Abschlüsse Kognitive Dienste OpenAI-Nutzer 5e0bd9bd-7b93-4f28-af87-19fc36ad61bd

  2. Wählen Sie einen zu verwendenden Identitätstyp aus:

    • Eine persönliche Identität ist an Ihre Azure-Anmeldung gebunden.
    • Eine verwaltete Identität wird von Azure verwaltet und für die Verwendung in Azure erstellt. Erstellen Sie für diese Auswahl eine vom Benutzer zugewiesene verwaltete Identität. Wenn Sie die verwaltete Identität erstellen, benötigen Sie die Client-ID (auch als App-ID bezeichnet).

  3. Suchen Sie Ihre persönliche Identität, und verwenden Sie die ID als <identity-id> Wert in diesem Schritt.

    Verwenden Sie für die lokale Entwicklung den folgenden Befehl, um Ihre eigene Identitäts-ID abzurufen. Sie müssen sich mit az login anmelden, bevor Sie diesen Befehl verwenden.

    az ad signed-in-user show \
    --query id -o tsv

  4. Weisen Sie die RBAC-Rolle der Identität für die Ressourcengruppe zu. Um Ihre Identitätsberechtigungen für Ihre Ressource über RBAC zu erteilen, weisen Sie eine Rolle mithilfe des Azure CLI-Befehls az role assignment createzu. Ersetzen Sie <identity-id>, <subscription-id>und <resource-group-name> durch Die tatsächlichen Werte.

    az role assignment create \
    --role "Cognitive Services OpenAI User" \
    --assignee "\<identity-id>" \
    --scope "/subscriptions/\<subscription-id>/resourceGroups/\<resource-group-name>"