为 Azure OpenAI 标识配置 RBAC

通过分配 RBAC（基于角色的访问控制）角色，您可以为一个身份分配一组预配置的权限。 可以将传统标识（如 Microsoft Entra 用户和组）以及特殊标识（如托管标识）分配给 RBAC 角色。 最佳做法是创建一个 Microsoft Entra 安全组，将角色分配给该组，然后将要将这些权限分配到的任何标识添加为组成员。 这简化了角色管理，因为可以通过查看组成员身份快速确定分配给标识的权限。 对于包含大量标识和资源的订阅，它也非常有用，因为可以配置的角色分配数量是有限的。

有四个 Azure OpenAI 角色可以分配给标识：这些角色包括：认知服务 OpenAI 用户、认知服务 OpenAI 参与者、认知服务参与者和认知服务使用情况读取者。

认知服务 OpenAI 用户

分配有认知服务 OpenAI 用户角色的标识能够执行以下任务：

• 在 Azure 门户中查看 Azure OpenAI 资源
• 在“密钥和终结点”下查看 Azure OpenAI 资源终结点
• 在 Azure OpenAI Studio 中查看 Azure OpenAI 资源和相关模型部署
• 查看可在 Azure OpenAI Studio 中部署的模型
• 使用聊天、完成和 Dali 操场体验，使用已部署到此 Azure OpenAI 资源的任何模型生成文本和图像
• 拥有此角色的用户还可以使用 Microsoft Entra ID 进行推理 API 调用

认知服务 OpenAI 贡献者

分配有认知服务 OpenAI 参与者角色的标识可以执行拥有认知服务 OpenAI 用户角色的用户可执行的所有任务。 他们还能够执行以下任务，包括：

• 创建自定义微调模型
• 上传数据集进行微调
• 创建新的模型部署
• 编辑现有模型部署。

认知服务贡献者

认知服务参与者角色通常与其他角色一起在资源组级别获授予用户访问权限。 此角色本身将允许用户身份执行以下任务：

• 在分配的资源组中创建新 Azure OpenAI 资源
• 查看 Azure 门户中已分配资源组中的资源
• 在“密钥和终结点”下查看资源终结点
• 在“密钥和终结点”部分查看、复制和生成新密钥
• 使用聊天、完成和 Dali 操场体验，使用已部署到此 Azure OpenAI 资源的任何模型生成文本和图像
• 创建自定义内容筛选器
• 为“使用您的数据”功能添加数据源
• 通过 API 创建新的模型部署或编辑现有模型部署
• 创建自定义微调模型，上传数据集进行微调
• 通过 Azure OpenAI Studio 创建新的模型部署或编辑现有模型部署

认知服务使用情况查看器

认知服务使用情况读取者角色具有查看 Azure 订阅中的配额使用情况所需的最低访问权限。 如果你不希望使用此角色，订阅“读取者”角色将提供等效的访问权限，但它也会授予超出查看配额所需范围的读取访问权限。

将角色分配给身份时，请始终记住最小权限原则，而非用户便利原则。 如果一个人、应用程序或服务仅需要执行最小预配角色的任务的能力，则应该将该最小权限角色分配给该标识。 同时，请遵循最佳做法：将具有有意义名称的 Microsoft Entra 组分配给角色，然后通过向这些组中添加或从中删除用户来控制角色成员身份。

在 Azure 门户中配置角色分配

若要启用无密钥身份验证，请执行以下步骤来配置必要的角色分配：

• 选择 Azure OpenAI：在 Azure 门户中导航到特定的 Azure OpenAI 资源。
• 访问控制：从左侧导航窗格中选择“访问控制”(IAM) 选项。
• 添加角色分配：选择“添加角色分配”，然后在后续屏幕上，选择“角色”选项卡。
• 选择角色：选择要分配的所需角色，例如读取者或参与者。
• “成员”选项卡：在“成员”选项卡上，选择用户、组、服务主体或托管标识以分配角色。
• 查看并分配：在“查看 + 分配”选项卡上，确认选择并选择“查看 + 分配”以完成角色分配。

几分钟内，所选用户或标识将在选定的范围内获得分配的角色，从而无需 API 密钥即可访问 Azure OpenAI 服务。