Configuración de RBAC para identidades de Azure OpenAI
Asignar un rol RBAC (Control de acceso basado en roles) le permite asignar un conjunto de permisos preconfigurados a una identidad. Puede asignar identidades tradicionales, como usuarios y grupos de Microsoft Entra a un rol de RBAC, así como identidades especiales, como identidades administradas. El procedimiento recomendado consiste en crear un grupo de seguridad de Microsoft Entra, asignar el rol al grupo y, a continuación, agregar cualquier identidad a la que quiera asignar estos derechos como miembros del grupo. Esto simplifica la administración de roles, ya que puede determinar rápidamente qué permisos se ha asignado una identidad mediante la revisión de la pertenencia a grupos. También ayuda en las suscripciones con un gran número de identidades y recursos, ya que hay limitaciones en cuanto al número de asignaciones de roles que puede configurar.
Hay cuatro roles de Azure OpenAI a los que puede asignarse a identidades: Estos roles son: Usuario de OpenAI de Cognitive Services, Colaborador de OpenAI de Cognitive Services, Colaborador de Cognitive Services y Lector de usos de Cognitive Services.
| Permisos | Usuario de OpenAI de Cognitive Services | Colaborador en Cognitive Services OpenAI | Colaborador de Cognitive Services | Lector de usos de Cognitive Services |
|---|---|---|---|---|
| Visualización del recurso en Azure Portal | ✅ | ✅ | ✅ | ➖ |
| Visualización del punto de conexión del recurso en "Claves y punto de conexión" | ✅ | ✅ | ✅ | ➖ |
| Ver los recursos y las implementaciones de modelos asociadas en Azure OpenAI Studio | ✅ | ✅ | ✅ | ➖ |
| Posibilidad de ver qué modelos están disponibles para la implementación en Azure OpenAI Studio | ✅ | ✅ | ✅ | ➖ |
| Usar las experiencias de área de juegos de Chat, Finalizaciones y DALL-E (versión preliminar) con los modelos que ya se han implementado en este recurso de Azure OpenAI. | ✅ | ✅ | ✅ | ➖ |
| Creación o edición de implementaciones de modelos | ❌ | ✅ | ✅ | ➖ |
| Crear e implementar modelos personalizados con ajuste preciso | ❌ | ✅ | ✅ | ➖ |
| Cargar conjuntos de datos para el ajuste preciso | ❌ | ✅ | ✅ | ➖ |
| Crear nuevos recursos de Azure OpenAI | ❌ | ❌ | ✅ | ➖ |
| Ver, copiar o regenerar claves en “Claves y punto de conexión” | ❌ | ❌ | ✅ | ➖ |
| Crear filtros de contenido personalizados | ❌ | ❌ | ✅ | ➖ |
| Agregar un origen de datos para la característica "en los datos" | ❌ | ❌ | ✅ | ➖ |
| Cuota de acceso | ❌ | ❌ | ❌ | ✅ |
| Realizar llamadas API de inferencia con Microsoft Entra ID | ✅ | ✅ | ❌ | ➖ |
Usuario de OpenAI de Cognitive Services
Las identidades asignadas al rol de usuario OpenAI de Cognitive Services pueden realizar las siguientes tareas:
- Visualización del recurso de Azure OpenAI en Azure Portal
- Visualice el punto de conexión del recurso de Azure OpenAI bajo Claves y punto de conexión
- Visualización del recurso de Azure OpenAI y las implementaciones de modelos asociadas en Azure OpenAI Studio
- Posibilidad de ver qué modelos están disponibles para la implementación en Azure OpenAI Studio
- Use las experiencias de juegos chat, finalizaciones y Dali para generar texto e imágenes con cualquier modelo que ya se haya implementado en este recurso de Azure OpenAI
- Los usuarios que tienen este rol también pueden realizar llamadas API de inferencia con el Microsoft Entra ID.
Colaborador en Cognitive Services OpenAI
Las identidades asignadas al rol Colaborador de OpenAI de Cognitive Services pueden realizar todas las tareas disponibles para un usuario que contenga el rol de usuario OpenAI de Cognitive Services. También pueden realizar tareas, entre las que se incluyen:
- Crear modelos afinados personalizados
- Cargar conjuntos de datos para el ajuste preciso
- Crea nuevas implementaciones de modelos
- Edite las implementaciones de modelos existentes.
Colaborador de Cognitive Services
Por lo general, se le concede acceso al rol Colaborador de Cognitive Services en el nivel de grupo de recursos para un usuario junto con roles adicionales. Por sí mismo, este rol permitiría a una identidad realizar las siguientes tareas:
- Creación de nuevos recursos de Azure OpenAI en el grupo de recursos asignado
- Visualización de recursos en el grupo de recursos asignado en Azure Portal
- Visualización del punto de conexión del recurso en Claves y punto de conexión
- Ver, copiar y regenerar claves en Claves y Punto de conexión
- Use las experiencias de juegos chat, finalizaciones y Dali para generar texto e imágenes con cualquier modelo que ya se haya implementado en este recurso de Azure OpenAI
- Crear filtros de contenido personalizados
- Agregar un origen de datos para el uso de la característica de datos
- Creación de implementaciones de modelos o edición de implementaciones de modelos existentes a través de API
- Creación de modelos personalizados optimizados, carga de conjuntos de datos para el ajuste preciso
- Creación de implementaciones de modelos o edición de implementaciones de modelos existentes a través de Azure OpenAI Studio
Lector de usos de Cognitive Services
El rol Lector de usos de Cognitive Services tiene el acceso mínimo necesario para ver el uso de cuota en una suscripción de Azure. Si no desea usar este rol, el rol Lector de la suscripción proporciona acceso equivalente, pero también concede acceso de lectura más allá del ámbito de lo que se necesita para ver la cuota.
Al asignar roles a identidades, recuerde siempre el principio de privilegios mínimos en lugar del principio de comodidad del usuario. Si una persona, aplicación o servicio solo requiere la capacidad de realizar las tareas de un rol mínimamente aprovisionado, ese es el rol que debe asignarse a esa identidad. Recuerde también el procedimiento recomendado para asignar grupos de Microsoft Entra con nombres significativos a un rol y, a continuación, controlar la pertenencia a roles agregando y quitando usuarios de esos grupos.
Configuración de asignaciones de roles en Azure Portal
Para habilitar la autenticación sin claves, siga estos pasos para configurar las asignaciones de roles necesarias:
- Seleccione Azure OpenAI: Navegue al recurso específico de Azure OpenAI en Azure Portal.
- Control de acceso: Seleccione la opción Control de acceso (IAM) en el panel de navegación izquierdo.
- Agregar asignación de roles: Seleccione Agregar asignación de roles y, en la pantalla posterior, elija la pestaña Rol.
- Seleccione Rol: Elija el rol deseado que quiera asignar, como Lector o Colaborador.
- Pestaña Miembros: En la pestaña Miembros, seleccione un usuario, grupo, entidad de servicio o identidad administrada para asignar el rol.
- Revisar y asignar: En la pestaña Revisar y asignar, confirme las selecciones y seleccione Revisar y asignar para finalizar la asignación de roles.
En unos minutos, al usuario o la identidad seleccionados se les concederá el rol asignado en el ámbito elegido, lo que les permitirá acceder a los servicios de Azure OpenAI sin necesidad de una clave de la API.