Funções do Azure OpenAI RBAC
Estas funções RBAC estão disponíveis para você atribuir identidades para o Serviço Azure OpenAI:
- A função Cognitive Services OpenAI User permite visualizar recursos, endpoints e implementações de modelos; utilizar experiências de teste; e fazer chamadas de API de inferência. No entanto, ele não permite criar recursos, exibir/copiar/regenerar chaves ou gerenciar implantações de modelos.
- A função de Contribuidor OpenAI dos Serviços Cognitivos inclui todas as permissões de utilizador, além da capacidade de criar modelos personalizados com ajuste fino, carregar conjuntos de dados e gerir implementações de modelos. Ele não permite criar novos recursos ou gerenciar chaves.
- A função de Colaborador de Serviços Cognitivos permite criar novos recursos, visualizar e gerir chaves, criar e gerir implantações de modelos e utilizar experiências de teste. Ele não permite acesso a cotas ou fazer chamadas de API de inferência.
- A função Cognitive Services Usages Reader permite que se visualize o uso do limite em uma assinatura. Essa função fornece acesso mínimo e normalmente é combinada com outras funções.
Escolha sempre uma função que forneça a menor quantidade de privilégio necessária para que a identidade execute as tarefas que precisa executar. Para obter mais detalhes sobre as funções RBAC do Azure OpenAI.
Configurar atribuições de função no portal do Azure
Para habilitar a autenticação sem chave, siga estas etapas para configurar as atribuições de função necessárias:
- No portal do Azure, vá para seu recurso específico do Azure OpenAI.
- No menu de serviço, selecione Controle de Acesso (IAM).
- Selecione Adicionar atribuição de função. No painel que se abre, selecione o separador Função.
- Selecione a função que deseja atribuir.
- Na guia Membros, selecione um usuário, grupo, entidade de serviço ou identidade gerenciada para atribuir à função.
- No separador Revisão + atribuir, confirme as suas seleções. Selecione Rever + atribuir para finalizar a atribuição de função.
Dentro de alguns minutos, o usuário ou identidade selecionado recebe a função atribuída no escopo escolhido. O usuário ou identidade pode acessar os serviços do Azure OpenAI sem precisar de uma chave de API.
Configurar atribuições de função na CLI do Azure
Para configurar atribuições de função usando a CLI do Azure, execute estas etapas:
Encontre a função para seu uso do Azure OpenAI. Dependendo de como você pretende definir essa função, você precisa do nome ou da ID:
- Para a CLI do Azure ou o Azure PowerShell, você pode usar um nome de função.
- Para o Bicep, você precisa do ID da função.
Use a tabela a seguir para selecionar um nome de função ou ID de função:
Caso de uso Nome da função ID da função Assistentes Colaborador de Serviços Cognitivos OpenAI A001FD3D-188F-4B5D-821B-7DA978BF7442 Finalizações de chat Utilizador OpenAI de Serviços Cognitivos 5e0bd9bd-7b93-4f28-af87-19fc36ad61bd Selecione um tipo de identidade para usar:
- Um de identidade pessoal está vinculado ao seu logon do Azure.
- Uma de identidade gerenciada é gerenciada pelo Azure e criada para uso no Azure. Para essa escolha, crie uma identidade gerenciada atribuída pelo usuário. Ao criar a identidade gerenciada, você precisa da ID do cliente (também chamada de ID do aplicativo).
Encontre sua identidade pessoal e use o ID como o valor
<identity-id>nesta etapa.Para o desenvolvimento local, para obter seu próprio ID de identidade, use o seguinte comando. Tem de iniciar sessão com
az loginantes de utilizar este comando.az ad signed-in-user show \ --query id -o tsvAtribua a função RBAC à identidade do grupo de recursos. Para conceder suas permissões de identidade ao seu recurso por meio do RBAC, atribua uma função usando o comando da CLI do Azure
az role assignment create. Substitua<identity-id>,<subscription-id>e<resource-group-name>pelos seus valores reais.az role assignment create \ --role "Cognitive Services OpenAI User" \ --assignee "\<identity-id>" \ --scope "/subscriptions/\<subscription-id>/resourceGroups/\<resource-group-name>"