Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Vývojáři, kteří mají roli Uživatele Foundry v oboru zdroje Foundry nebo projektu, mohou vytvářet agenty, spouštět odvozování a používat většinu funkcí Foundry. Mnoho úloh správy ale vyžaduje zvýšenou úroveň rolí, jako je vlastník, přispěvatel, vlastník účtu Foundry nebo jiné specializované role.
Tento článek vysvětluje, které zvýšené role jsou potřeba pro každou oblast správy Foundry, proč jsou tyto role požadovány, a odkazuje na podrobné postupy. Použijte ho jako referenci, když vývojáři narazí na chyby oprávnění nebo při plánování přiřazení rolí pro nové prostředí.
Note
Funkce ve verzi Preview, hostované možnosti a konkrétní podkladové prostředky mohou vyžadovat další role nebo oprávnění k datové rovině. V odkazovaných článcích najdete přesné požadavky ve vašem scénáři.
Pozadí definic rolí Foundry najdete v tématu Řízení přístupu na základě role pro Microsoft Foundry.
Klíčové koncepty
- Řídicí rovina – operace, které spravují Azure prostředky (vytvoření, odstranění, konfigurace). Spravováno pomocí rolí Azure RBAC, jako jsou Owner a Contributor.
- Datová rovina — Operace, které využívají schopnosti prostředku za běhu (čtení objektů blob, dotazování indexů). Řídí se rolemi dat, jako je Přispěvatel dat v objektech blob služby Storage.
- Spravovaná identita – automaticky spravovaná Microsoft Entra identita, která se ověřuje v backingových prostředcích bez uložených přihlašovacích údajů. Ve Foundry je identita spravovaná projektem identita, kterou váš projekt používá za běhu. Některá nastavení také spoléhají na sdílenou identitu na úrovni účtu pro přístup k prostředkům. Použijte název identity, který odpovídá vašemu scénáři, místo toho, abyste se dvěma termíny zacházeli jako s zaměnitelnými.
-
Prostředek Foundry – prostředek Azure (typu
Microsoft.CognitiveServices/accounts), který hostuje vaše projekty Foundry. - Rozsah – úroveň, na které se vztahuje přiřazení role: předplatné, skupina prostředků, prostředek nebo projekt. Role přiřazené ve vyšším rozsahu se dědí do nižších úrovní.
Přehled nastavení prostředí
Když zřídíte nové prostředí Foundry, úlohy se řídí tímto obecným pořadím:
- Vytvoření zdroje Foundry – povinné před všemi ostatními úkoly.
- Vytvořte jeden nebo více projektů — Agenti, modely a připojení se nacházejí v rámci projektů.
- Přiřaďte vývojářům role – Vývojáři potřebují uživatele Foundry pro obecný přístup. Nasazení modelu vyžaduje samostatnou roli.
- Nasazení modelů – vyžaduje vlastníka účtu Foundry.
- Nakonfigurujte infrastrukturu agenta (v případě potřeby).
- Nakonfigurujte sítě (v případě potřeby).
- Nastavte mantinely a zásady.
- Povolte monitorování.
Tip
Malý tým (1–5 vývojářů)? Přiřaďte sobě roli Owner v rámci oboru skupiny prostředků a každému vývojáři roli Foundry User v rámci oboru prostředku Foundry. Toto přiřazení zahrnuje většinu úloh správy. Pro větší týmy používejte skupiny Microsoft Entra a nastavte rozsah rolí pro každý projekt.
Zbývající části vysvětlují požadavky na roli pro každou oblast. Souhrn všech rolí se zvýšenými oprávněními najdete v rychlém přehledu: souhrn rolí.
Vytvoření a konfigurace prostředků Foundry
Vytváření prostředků a projektů Foundry vyžaduje oprávnění roviny řízení, která vývojáři obvykle nemají. Tyto operace upravují Azure Resource Manager objekty, takže potřebují role, jako je přispěvatel nebo vlastník účtu Foundry, na úrovni předplatného nebo skupiny prostředků.
| Úkol | Minimální role | Scope | Podrobnosti |
|---|---|---|---|
| Vytvoření prostředku Foundry | Přispěvatel, Vlastník účtu FoundryneboVlastník foundry | Předplatné nebo skupina prostředků | Vytvořte svůj první prostředek |
| Vytvoření projektu Foundry | Přispěvatel, Vlastník účtu FoundryneboVlastník foundry | Zdroj platformy Foundry | Vytváření a správa projektů |
| Upgrade v rámci služby Azure OpenAI | VlastníkneboPřispěvatel | Azure OpenAI prostředek | Přechod z Azure OpenAI Service |
| Obnovení nebo vymazání odstraněných účtů | Contributor | Subscription | Obnovení nebo vymazání odstraněných prostředků |
| Vytváření prostředků pomocí Bicep | Přispěvatelnebovlastník | Skupina zdrojů | Vytvořte prostředky pomocí šablony Bicep |
Podrobné pokyny pomocí Azure CLI, Bicep nebo portálu najdete v tématu Vytvoření prvního zdroje a vytvoření a správa projektů.
Přiřazení rolí členům týmu
K přiřazení jakékoli role uživateli potřebujete roli Vlastník nebo Správce uživatelských přístupů v cílovém oboru. Role Vlastník účtu Foundry a Foundry Project Manager mohou podmíněně přiřadit pouze roli uživatele Foundry.
Note
Role přiřazená v oboru skupiny prostředků se vztahuje na všechny zdroje a projekty Foundry v této skupině. Přiřaďte co nejužší obor, který vyhovuje vašim potřebám.
| Úkol | Minimální role | Scope | Podrobnosti |
|---|---|---|---|
| Přiřaďte uživatele Foundry vývojářům | Vlastníknebosprávce uživatelských přístupů | Prostředek nebo projekt Foundry | Řízení přístupu na základě rolí |
| Přiřadit uživatele Foundry (podmíněně) | Vlastník účtu FoundryneboSprávce projektu Foundry | Nalezený zdroj nebo projekt | Řízení přístupu na základě rolí |
| Vytvořte vlastní role RBAC | Owner | Předplatné nebo skupina prostředků | Řízení přístupu na základě rolí |
| Přiřazení vlastních rolí | Správce přístupu uživatelůneboSprávce řízení přístupu na základě rolí | Cílový obor | Řízení přístupu na základě rolí |
| Správa rolí pomocí skupin Microsoft Entra | Vlastníknebosprávce uživatelských přístupů | Cílový obor | Řízení přístupu na základě rolí |
Tip
Pomocí Microsoft Entra skupin zjednodušte přiřazení rolí. Vytvořte skupinu zabezpečení, přiřaďte jí příslušnou roli a přidejte vývojáře jako členy. Návod najdete v tématu Řízení přístupu na základě role .
Úvahy o rozsahu
- Přiřaďte roli uživatele Foundry v oboru zdrojů Foundry , abyste udělili přístup ke všem projektům ve zdroji.
- Přiřaďte na úrovni projektu, aby se přístup omezil na jeden projekt.
- U organizací, které používají Microsoft Entra Privileged Identity Management (PIM), zvažte, jestli není přiřazení rolí se zvýšenými oprávněními způsobilá, a ne trvalá. Vyhovující přiřazení vyžadují aktivaci přesně na čas, což snižuje míru vystavení trvalým oprávněním.
Podrobné postupy přiřazení rolí najdete v tématu Řízení přístupu na základě role pro Microsoft Foundry a přiřazení rolí Azure.
Note
Propagace přiřazení rolí může trvat až pět minut. Pokud vývojář ihned po přiřazení oprávnění nahlásí chybu „přístup odepřen“, požádejte ho, aby chvíli počkal a zkusil to znovu. Informace o řešení běžných příčin najdete v tématu Řešení běžných chyb oprávnění .
Konfigurace infrastruktury agenta
Nastavení agenta je ve Foundry oblastí, která vyžaduje nejvíce oprávnění. Požadované role závisí na tom, kterou možnost nastavení zvolíte.
| Možnost nastavení | Zvolte, kdy | Předpoklady | Kompromis |
|---|---|---|---|
| Standard | Potřebujete plnou kontrolu nad datovou rezidencí a zřizováním zdrojů. | Zřízená služba Cosmos DB, vyhledávání AI a prostředky úložiště ve vaší skupině prostředků | Spravujete zřizování a RBAC pro Cosmos DB, Search a Storage. |
| Hostované | Chcete nejrychlejší cestu s minimálním nastavením. | Žádné – slévárství zřizuje záložní zdroje za vás | Foundry spravuje podpůrné zdroje; menší kontrola nad sítí |
| Prostředky BYO | Už máte Cosmos DB, Search nebo Storage se specifickými požadavky na shodu s předpisy. | Stávající prostředky služeb Cosmos DB, AI Search nebo Storage s nakonfigurovaným síťovým přístupem | Připojujete existující prostředky a spravujete jejich RBAC. |
Zkontrolujte pododdíl, který odpovídá vaší možnosti nastavení. Přeskočte ostatní – pokud se vaše požadavky změní, můžete se k nim později vrátit.
Nastavení standardního agenta
Standardní nastavení agenta vyžaduje, abyste zřídili a spravlili vlastní Azure Cosmos DB, Azure AI Vyhledávač a Azure Storage prostředky. Tento přístup vám poskytuje plnou kontrolu nad rezidencí dat, ale vyžaduje přiřazení rolí datové roviny ke spravované identitě projektu u každého podkladového prostředku.
| Úkol | Minimální role | Scope | Podrobnosti |
|---|---|---|---|
| Přiřazení rolí mezi službami (Cosmos DB, vyhledávání, úložiště) | Vlastníknebosprávce řízení přístupu na základě rolí | Skupina zdrojů | Nastavení standardního agenta |
| Zřízení prostředků pro agenta | Vlastník účtu Foundrynebovlastník | Subscription | Nastavte prostředky agenta |
Přiřaďte spravované identitě projektu Foundry u podkladových prostředků následující role roviny dat:
| Resource | Úloha |
|---|---|
| Azure Cosmos DB | Integrovaný přispěvatel dat ve službě Cosmos DB |
| Azure AI Vyhledávač | Přispěvatel dat indexu vyhledávání, Přispěvatel vyhledávací služby |
Azure Storage (azureml-blobstore) |
Přispěvatel dat Storage Blobu |
Azure Storage (agents-blobstore) |
Vlastník dat služby Storage Blob |
Note
Integrovaný přispěvatel dat služby Cosmos DB je role v rovině dat služby Cosmos DB. Přiřaďte ho prostřednictvím Azure CLI (az cosmosdb sql role assignment create) nebo pomocí Bicepu – nikoli prostřednictvím standardního panelu Řízení přístupu (IAM). Podrobnosti najdete v tématu Konfigurace řízení přístupu na základě role pro Azure Cosmos DB.
Úplný postup zřizování a šablony Bicep najdete v tématu Nastavení standardního agenta.
Nastavení hostovaného agenta
Nastavení hostovaného agenta je stále nejrychlejší cestou k infrastruktuře pro běhové prostředí agenta, ale má konkrétní předpoklady z hlediska prostředků a RBAC. Kromě účtu Foundry a projektu počítejte také se službami Azure Container Registry (ACR), Application Insights a propojeným pracovním prostorem služby Log Analytics.
| Oblast úkolu | Minimální role | Scope | Poznámky |
|---|---|---|---|
| Vytvořte prostředky ACR, Application Insights a Log Analytics | Přispěvatelnebovlastník | Skupina zdrojů | Je vyžadováno, když váš hostovaný proces nasazení vytvoří tyto prostředky. |
| Vytvoření hostovaných agentů a verzí agentů (rovina dat) | Uživatel Foundry, Projektový manažer FoundryneboVlastník Foundry | Projekt slévárny | Vlastník/Přispěvatel samy o sobě nejsou dostačující pro operace vytvoření nebo aktualizace agenta v datové rovině. |
| Vytvořte připojení projektů | Projektový manažer Foundry, Vlastník účtu Foundry, Vlastník Foundry, Přispěvatel, neboVlastník | Projekt slévárny | Vyžaduje se pro připojení k ACR a monitorování. |
| Přiřaďte spravované identitě projektu roli ACR pull/read | Vlastníknebosprávce řízení přístupu na základě rolí | Prostředek ACR | Přiřaďte Container Registry Repository Reader (nebo AcrPull). |
| Nahrajte image do ACR pro nasazení | Zapisovatel repozitáře Container Registry (nebo AcrPush) | Prostředek ACR | Je vyžadováno pro uživatele nebo bezpečnostní subjekt, který nahrává image agenta. |
| Číst telemetrii agenta pro účely vyhodnocení | Log Analytics Čtenář dat | pracovní prostor služby Log Analytics | Vyžadováno spravovanou identitou projektu pro vyhodnocení, která čtou data z pracovního prostoru. |
Note
Foundry Project Manager a Foundry Account Owner můžou přiřadit pouze roli uživatele Foundry v oboru omezeného přiřazení role. Použijte Vlastník nebo správce řízení přístupu na základě role, pokud potřebujete přiřazení rolí na externích prostředcích, jako jsou ACR nebo Log Analytics.
Podrobné pokyny k oprávněním hostovaného agenta najdete v referenčních informacích k oprávněním hostovaného agenta.
Podrobné pokyny najdete v tématu Nasazení hostovaného agenta.
Používání vlastních prostředků
Tuto možnost použijte, pokud už máte Azure Cosmos DB, vyhledávání AI nebo prostředky úložiště s konkrétními požadavky na dodržování předpisů. Existující prostředky připojíte k projektu Foundry a přiřadíte požadované role roviny dat ke spravované identitě projektu.
| Úkol | Minimální role | Scope | Podrobnosti |
|---|---|---|---|
| Připojte vlastní zdroje | Vlastník účtu Foundrynebovlastník | Subscription | Použití vlastních prostředků Azure |
| Přiřazení rolí ke spravované identitě | Vlastníknebosprávce uživatelských přístupů | Cílový prostředek | Použití vlastních prostředků Azure |
Podrobné pokyny najdete v tématu Použití vlastních prostředků Azure.
Nástroje agenta se zvýšenými požadavky
Několik nástrojů agenta vyžaduje oprávnění Contributor nebo vyšší ke zřízení nebo konfiguraci svých podkladových prostředků.
Nástroje infrastruktury
| nástroj | Minimální role | Scope | Podrobnosti |
|---|---|---|---|
| Zemnění Bingu | Přispěvatelnebovlastník | Předplatné nebo skupina prostředků | Nástroje Bing |
| Automatizace prohlížeče (náhled) | Přispěvatelnebovlastník | Skupina zdrojů | Automatizace prohlížeče |
| Vyhledávání AI | Přispěvatel dat indexu vyhledávání, Přispěvatel vyhledávací služby | Prostředek AI Search | Nástroj AI Search |
| Hledání souborů | Přispěvatel dat Storage Blobu | Účet úložiště projektu | Hledání souborů |
| Interpretér vlastního kódu (předběžná verze) | Přispěvatel pro spravovaná prostředí služby Container Apps + Vlastník Foundry | Předplatné nebo skupina prostředků | Vlastní interpret kódu |
Integrační nástroje
| nástroj | Minimální role | Scope | Podrobnosti |
|---|---|---|---|
| Nástroj OpenAPI | Přispěvatelnebovlastník | Projekt slévárny | Nástroj OpenAPI |
| Nástroj MCP | Přispěvatelnebovlastník | Projekt slévárny | Nástroj Model Context Protocol |
| Agent-to-agent (Preview) | Přispěvatelnebovlastník | Zdroj platformy Foundry | Agent k agentovi |
| Azure Speech (služba pro rozpoznávání řeči) | Přispěvatel dat Storage Blobu | úložišťový účet | nástroj Azure Speech |
Agenti pro publikování
Publikováním se agent z vývojového prostředku v projektu Foundry povýší na spravovaný prostředek aplikace Agent Application se stabilním koncovým bodem. Abyste mohli publikovat agenta, musíte mít roli Foundry Project Manager v oboru prostředku Foundry.
| Úkol | Minimální role | Scope | Podrobnosti |
|---|---|---|---|
| Publikujte agenta jako aplikaci Agent Application | Správce projektů Foundry | Zdroj platformy Foundry | Publikujte a sdílejte agenty |
| Vyvolání publikované aplikace agenta | Uživatel Foundry | Zdroj pro aplikaci agenta | Vyvolání aplikací agenta |
| Publikování agenta do Microsoft 365 a Teams | Správce projektů Foundry | Projekt slévárny | Publikování agentů do Microsoft 365 a Teams |
| Znovu přiřaďte RBAC k publikované identitě agenta | Vlastníknebosprávce uživatelských přístupů | Cílový prostředek | Koncepty identit agenta |
Important
Když publikujete agenta, obdrží novou jedinečnou identitu agenta Entra. Oprávnění přiřazená sdílené identitě projektu se nepřenesou. Znovu přiřaďte role RBAC u všech podřízených prostředků, ke které agent přistupuje (úložiště, vyhledávání, Key Vault) k nové identitě agenta. Podrobnosti najdete v tématu Koncepty identit agenta.
Nasazení a správa modelů
K nasazení modelu potřebujete na prostředku Foundry roli Vlastník účtu Foundry. Některé scénáře, jako jsou modely marketplace nebo zřízená propustnost, vyžadují vyšší role. V následující tabulce jsou uvedeny všechny úlohy související s modelem a požadavky na jejich roli.
| Úkol | Minimální role | Scope | Podrobnosti |
|---|---|---|---|
| Nasazení modelu z katalogu | Vlastník účtu Foundry | Zdroj platformy Foundry | Vytvořte nasazení modelů |
| Nasazení modelů Foundry | Vlastník účtu Foundry | Zdroj platformy Foundry | Nasazení modelů Foundry |
| Nasadit zřízenou propustnost | Vlastník účtu Foundry | Zdroj platformy Foundry | Zřízená propustnost |
| Nasazení modelů Marketplace | Contributor | Subscription | Nasazení modelů Foundry |
| Nasazení modelů Ohňostroje | Vlastník Foundry (projekt) + Předplatné Přispěvatel | Předplatné a projekt | Povolení modelů Ohňostroje |
| Vyladění modelu | Vlastník Foundry (nebouživatel Foundry + vlastník účtu Foundry) | Zdroj platformy Foundry | Řízení přístupu na základě rolí |
| Nasazení jemně vyladěného modelu mezi tenanty | Správce projektů Foundry | Zdrojové a cílové prostředky | Doladění nasazení |
| Zobrazení kvót | Vlastník účtu Foundry | Subscription | Správa kvót |
| Žádost o navýšení kvóty | Contributor | Subscription | Správa kvót |
| Úprava kvót | Vlastník účtu Foundry | Prostředek a předplatné služby Foundry | Správa kvót |
| Vytváření seznamů blokovaných obsahu | Vlastník účtu Foundry | Azure OpenAI prostředek | Použití seznamů blokovaných položek |
Nasazení modelu Marketplace vyžadují přístup na úrovni předplatného, protože vytvářejí fakturační smlouvy. Vyladění vyžaduje vlastníka Foundry, protože vytváří trénovací úlohy, které spotřebovávají výpočetní prostředky a úložiště. Před nasazením libovolného modelu ověřte, že vaše předplatné má dostatečnou kvótu pro cílový model a oblast – viz Správa kvót.
Pokyny krok za krokem pro nasazení najdete v článku Vytvoření nasazení modelu.
Konfigurace zabezpečení a sítě
Konfigurace sítě a šifrování vyžadují u více prostředků zvýšenou úroveň rolí. Tyto konfigurace zahrnují prostředek Foundry, virtuální sítě, zóny DNS a Key Vault, takže obvykle potřebujete více rolí.
Privátní koncové body
Privátní koncové body omezují přístup k vašemu prostředku Foundry pouze na provoz z konkrétních virtuálních sítí. Konfigurace privátního koncového bodu vyžaduje role na třech různých prostředcích.
| Úkol | Minimální role | Scope | Podrobnosti |
|---|---|---|---|
| Vytvoření privátního koncového bodu | Přispěvatelnebovlastník | Zdroj platformy Foundry | Konfigurace privátního propojení |
| Konfigurace virtuální sítě | Přispěvatel sítě | Virtuální síť | Konfigurace privátního propojení |
| Konfigurace privátní zóny DNS | Přispěvatel pro privátní DNS zónu | zóna DNS | Konfigurace privátního propojení |
Podrobné pokyny najdete v tématu Konfigurace privátního propojení.
Spravované virtuální sítě
Spravovaná virtuální síť izoluje prostředky Foundry v síti spravované službou Foundry. Toto nastavení zjednodušuje konfiguraci sítě v porovnání s přenesením vlastní virtuální sítě.
| Úkol | Minimální role | Scope | Podrobnosti |
|---|---|---|---|
| Konfigurace spravované virtuální sítě | VlastníkneboPřispěvatel | Zdroj platformy Foundry | Spravovaná virtuální síť |
| Přiřaďte RBAC k prostředkům ve spravované virtuální síti | Vlastníknebosprávce řízení přístupu na základě rolí | Cílové prostředky | Spravovaná virtuální síť |
Perimetr zabezpečení sítě
Perimetr zabezpečení sítě poskytuje centralizovaný způsob správy síťového přístupu napříč několika prostředky Azure. Přidejte prostředek Foundry do existujícího perimetru a zajistěte konzistentní síťová pravidla.
| Úkol | Minimální role | Scope | Podrobnosti |
|---|---|---|---|
| Přidat Foundry do obvodu zabezpečení sítě (verze Preview) | Vlastník, PřispěvatelneboPřispěvatel sítě | Zdroj platformy Foundry | Bezpečnostní hraniční síť |
Klíče spravované zákazníkem
Pomocí klíčů spravovaných zákazníkem (CMK) můžete data Foundry zašifrovat pomocí klíčů, které řídíte v Azure Key Vault. CmK vyžaduje role v Key Vault i v prostředku Foundry, protože spravované identitě udělíte přístup ke svému klíči a pak prostředek nakonfigurujete tak, aby ho používal.
| Úkol | Minimální role | Scope | Podrobnosti |
|---|---|---|---|
| Přiřazení RBAC pro Key Vault | Vlastníknebosprávce uživatelských přístupů | Key Vault | Konfigurace klíčů spravovaných zákazníkem |
| Přiřazení Key Vault Crypto User ke spravované identitě | Vlastníknebosprávce uživatelských přístupů | Key Vault | Konfigurace klíčů spravovaných zákazníkem |
| Konfigurace šifrování pro prostředek Foundry | Přispěvatelnebovlastník | Zdroj platformy Foundry | Konfigurace klíčů spravovaných zákazníkem |
Úplný postup najdete v tématu Konfigurace klíčů spravovaných zákazníkem.
Připojení ke službě Key Vault
Připojení Key Vault umožňuje projektům Foundry přistupovat k tajným kódům, certifikátům a klíčům uloženým v Azure Key Vault bez vložení přihlašovacích údajů do kódu. Vytvořte připojení, když agenti nebo nasazené modely potřebují načíst klíče rozhraní API nebo certifikáty za běhu.
| Úkol | Minimální role | Scope | Podrobnosti |
|---|---|---|---|
| Vytvoření připojení ke službě Key Vault | Key Vault Přispěvatel + Key Vault Správce | Key Vault | Ukládání tajných kódů do Azure Key Vault |
Nastavte mantinely a zásady
Nastavte ochranná omezení a přiřazení zásad Azure Policy, abyste omezili, které modely, nástroje a konfigurace budou v prostředí Foundry k dispozici. K dokončení těchto úloh potřebujete role s oprávněními správce, protože vynucují hranice správy pro všechny vývojáře v rámci předplatného nebo skupiny prostředků.
| Úkol | Minimální role | Scope | Podrobnosti |
|---|---|---|---|
| Vytváření mantinelí | Vlastník účtu Foundry nebo vyšší | Zdroj platformy Foundry | Vytváření mantinelí |
| Vytvořit zásady ochranných opatření | VlastníkneboPřispěvatel zásad prostředků | Předplatné nebo skupina prostředků | Vytvoření zásad ochranné mantinely |
| Vytvoření zásad nasazení modelu | VlastníkneboPřispěvatel zásad prostředků | Předplatné nebo skupina prostředků | Zásady nasazení modelu |
| Vytváření vlastních definic zásad | Přispěvatel zásad prostředků (nejnižší oprávnění) nebovlastník | Cílový obor | Vytváření vlastních definic zásad |
| Nakonfigurujte ochranná opatření třetích stran | Vlastník (předplatné) + Správce Key Vault | Předplatné a Key Vault | Integrace třetích stran |
| Vynucení omezení tokenů přes AI Gateway | Přispěvatel nebovlastníkslužby API Management | Prostředek APIM | Vynucení omezení tokenů |
| Řízení nástrojů agenta přes AI Gateway | Přispěvatel nebovlastníkslužby API Management | Instance APIM | Nástroje agenta řízení |
Návod k vytvoření prvního mantinely najdete v tématu Vytvoření mantinely. Zásady nasazení modelu najdete v tématu Zásady nasazení modelu.
Správa dodržování předpisů a monitorování
Úlohy týkající se souladu s předpisy a monitorování pokrývají role Azure RBAC a adresářové role Microsoft Entra. Pochopení rozdílu je důležité – role adresáře přiřazujete v Centrum pro správu Microsoft Entra, ne v okně Řízení přístupu (IAM) na portálu Azure.
| Úkol | Minimální role | Scope | Podrobnosti |
|---|---|---|---|
| Povolení Microsoft Defenderu pro cloud | Správce zabezpečenínebovlastník | Subscription | Správa dodržování předpisů a zabezpečení |
| Konfigurace Microsoft Purview | Vlastník účtu Foundry | Zdroj platformy Foundry | Správa dodržování předpisů a zabezpečení |
| Konfigurace nastavení diagnostiky | Přispěvatel monitoringu | Zdroj platformy Foundry | Monitorování modelů |
| Nakonfigurujte trasování Application Insights | Přispěvatel nebo vyšší | Prostředek Application Insights | Architektura agenta trasování |
| Spravovat infrastrukturu agentů (správce Entra) | Globální správcenebosprávce AI pro Microsoft Entra | Tenant služby Microsoft Entra | Spravujte infrastrukturu agenta jako správce Entra |
| Konfigurace zásad podmíněného přístupu | Správce podmíněného přístupu | Microsoft Entra ID | Osvědčené postupy zabezpečení MCP |
Important
Oprávnění globálního správce uděluje správci uživatelských přístupů v kořenovém oboru (/) napříč všemi předplatnými. Po dokončení požadovaných úkolů zrušte toto zvýšení oprávnění. Podrobnosti najdete v tématu Řízení infrastruktury agenta jako správce Entra.
Podrobné nastavení monitorování najdete v tématu Monitorování modelů a architektury agenta Trace.
Nakonfigurujte přístup k úložišti a datové rovině
Agenti Foundry, hodnocení a několik nástrojů vyžadují role v datové rovině u prostředků úložiště a vyhledávání. Přiřaďte tyto role spravované identitě projektu Foundry , ne lidským uživatelům, aby služba za běhu přistupovala k backingovým prostředkům.
Následující tabulka obsahuje sloupec Přiřazeno , protože tyto role se týkají spravovaných identit, nikoli pro lidské uživatele.
| Úkol | Minimální role k přiřazení | Přiřazeno komu | Cílový prostředek | Podrobnosti |
|---|---|---|---|---|
| Úložiště BYO pro Foundry | Přispěvatel dat Storage Blobu | spravovaná identita projektu | úložišťový účet | Připojení k vlastnímu úložišti |
| Úložiště BYO pro Speech/Language | Přispěvatel dat Storage Blobu | Spravovaná identita služby Foundry | úložišťový účet | Připojte vlastní úložiště pro řeč/jazyk |
| Spouštějte vyhodnocení pomocí úložiště Entra ID | Vlastník dat služby Storage Blob | Uživatelský a projektový prostředek | úložišťový účet | Oblasti a limity vyhodnocení |
| Indexace Foundry IQ (verze Preview) | Přispěvatel dat indexu vyhledávání | spravovaná identita projektu | Prostředek AI Search | Připojení k Foundry IQ |
Note
Přiřazení rolí roviny dat, jako je Storage Blob Data Contributor, spravované identitě vyžaduje roli Owner nebo User Access Administrator pro cílový prostředek.
Nastavení zotavení po havárii
Obnova po havárii pro Foundry zahrnuje dva scénáře: převzetí služeb při selhání samotného prostředku Foundry (vysoká dostupnost) a převzetí služeb při selhání podpůrných prostředků agenta. Obnovení po havárii služby Agent je obzvlášť náročné z hlediska rolí, protože kromě prostředku Foundry vyžaduje přístup ke službám Cosmos DB, AI Search a Storage.
| Úkol | Minimální role | Scope | Podrobnosti |
|---|---|---|---|
| Nakonfigurujte vysokou dostupnost | VlastníkneboPřispěvatel + Správce uživatelských přístupů | Skupina zdrojů | Vysoká dostupnost a odolnost proti chybám |
| DR služby agenta (operátor) | VlastníkneboPřispěvatel + Přispěvatel k účtu DocumentDB + Přispěvatel služby Search + Přispěvatel k datům objektů blob v úložišti | Skupina prostředků a podkladové prostředky | Zotavení po havárii služby agenta |
| Zotavení po havárii služby agenta (platforma) | Přispěvatelnebovlastník + účtu úložiště | Zdroje a úložiště Foundry | Zotavení po havárii z výpadku platformy |
Podrobné postupy pro zotavení po havárii najdete v tématech Vysoká dostupnost a odolnost a Zotavení po havárii služby Agent.
Konfigurace připojení a integrací
Foundry se integruje se službou API Management, servery MCP a externími službami. Většina úloh integrace vyžaduje alespoň přispěvatele, protože vytvářejí nebo upravují Azure prostředky. Propojení Foundry s AI Gateway vyžaduje roli Vlastník účtu Foundry , protože mění konfiguraci účtu.
| Úkol | Minimální role | Scope | Podrobnosti |
|---|---|---|---|
| Přidejte připojení k Foundry | Uživatel Foundry, vlastník Foundry, nebopřispěvatel | Projekt slévárny | Vytvoření připojení |
| Povolit bránu AI (APIM) | Přispěvatelnebovlastník | Skupina prostředků nebo předplatné | Povolte bránu služby AI API Management |
| Propojit Link Foundry s AI Gateway | Vlastník účtu FoundryneboVlastník služby Foundry | Zdroj platformy Foundry | Povolte bránu služby API Management pro AI |
| Konfigurace přístupu k serveru MCP | Přispěvatel nebo vyšší | Projekt slévárny | Začínáme s MCP |
| Vytvoření vlastního serveru MCP | Contributor | Skupina zdrojů | Vytvoření vlastního serveru MCP |
| Správa přístupu MCP (přiřazení role) | Vlastníknebosprávce uživatelských přístupů | Cílový prostředek | Osvědčené postupy zabezpečení MCP |
| Nakonfigurujte Claude Code | Přispěvatelnebovlastník | Skupina zdrojů | Nakonfigurujte Claude Code |
| Správa značek u prostředků | PřispěvatelneboPřispěvatel štítků | Cílový obor | Zakázání funkcí ve verzi Preview |
Stručný přehled: souhrn rolí
Následující tabulka shrnuje primární role se zvýšenými oprávněními a v případě, že je správci potřebují. Použijte ji k rychlé identifikaci role, kterou chcete přiřadit pro danou kategorii úkolu.
| Úloha | Když je to potřeba |
|---|---|
| Owner | Přiřazení rolí, vlastní role RBAC, vytváření zásad, operace na úrovni předplatného |
| Contributor | Zřizování prostředků, nasazení modelu z marketplace, operace zápisu MCP, privátní koncové body |
| Vlastník účtu Foundry | Vytváření prostředků a projektů Foundry, nasazení modelu, správa kvót, seznamy blokování obsahu, mantinely, integrace Purview, podmíněné přiřazení rolí |
| Správce projektů Foundry | Publikování agentů, podmíněné přiřazení role Foundry User |
| Vlastník foundry | Dolaďování, nasazení hostovaného agenta, kombinované operace datové a řídicí roviny |
| Správce uživatelského přístupu | Přiřaďte role, pokud nemáte vlastníka; CMK Key Vault RBAC; přístup k registru kontejneru |
| Přispěvatel dat objektu blob služby Storage nebo vlastník | úložiště podpory agenta, vyhodnocování, vlastní úložiště (BYO), nástroj pro vyhledávání v souborech |
| Přispěvatel dat indexu vyhledávání | Nástroje pro agenty využívající AI Search, indexování Foundry IQ |
| Správce služby Key Vault | Připojení ke službě Key Vault, ochranné mechanismy třetích stran |
| Přispěvatel k politice prostředků | Přiřazení služby Azure Policy pro nasazení modelu a vlastní zásady |
| Globální správce | Správa agentů na úrovni tenanta, zvýšení oprávnění |
| Správce zabezpečení | Microsoft Defender for Cloud |
| Přispěvatel monitoringu | Nastavení diagnostiky |
| Přispěvatel sítě | Konfigurace sítě VNet, perimetr zabezpečení sítě |
Řešení běžných chyb oprávnění
Když vývojáři narazí na chyby oprávnění, identifikujte požadovanou roli pomocí tabulek úkolů v tomto článku. Následující tabulka mapuje běžné chybové zprávy na pravděpodobné příčiny a jejich řešení.
| Zpráva o chybě | Pravděpodobná příčina | Resolution |
|---|---|---|
AuthorizationFailed nebo The client does not have authorization to perform action |
Chybí role roviny řízení (role vlastníka, přispěvatele nebo role specifické pro prostředky) | Identifikujte úlohu v tomto článku, poznamenejte si minimální roli a obor a pak roli přiřaďte. |
| Vytvoření nebo aktualizace agenta selže i s rolí Vlastník/Přispěvatel | Chybějící role roviny dat Foundry v projektu | Přiřaďte na úrovni projektu roli uživatel Foundry, správce projektu Foundry nebo vlastník Foundry. Viz Nastavení hostovaného agenta. |
Creating that role assignment requires Microsoft.Authorization/roleAssignments/write (nebo ekvivalentní) |
Volající má roli správce projektu Foundry nebo vlastníka účtu Foundry, ale potřebuje přiřadit role mimo povolené omezení role uživatel Foundry. | Použijte Vlastník nebo Správce řízení přístupu na základě role v oboru cílového prostředku (například ACR nebo Log Analytics). |
ForbiddenError při nasazení modelu |
V prostředku služby Foundry chybí vlastník účtu služby Foundry | Viz Nasazení a správa modelů. |
LinkedAuthorizationFailed během vytváření prostředků |
Chybějící oprávnění k propojenému prostředku (úložiště, Key Vault nebo hledání) | Zkontrolujte konfiguraci infrastruktury agenta pro požadavky na role mezi službami. |
Agent vrátí 403 za běhu. |
Chybějící role roviny dat v záložním prostředku | Ověřte přiřazení rolí spravované identity v tabulce Nastavení agenta Standard. |
Je přiřazena starší role Azure AI Developer, ale úlohy ve Foundry stále selhávají |
Starší přiřazení role projektu hubu neodpovídá aktuálním požadavkům na role ve Foundry | Použijte mapování rolí v tomto článku a přiřaďte požadovanou roli ve správném oboru pro neúspěšnou úlohu. |
| Tlačítko Publikovat agenta je neaktivní. | Chybí Správce projektu Foundry v rozsahu prostředků Foundry | Přiřaďte roli Foundry Project Manager na úrovni prostředku Foundry (účtu), nejen na úrovni projektu. Viz Publikovat agenty. |
RoleAssignmentExists |
Role již přiřazená ve stejném oboru | Není potřeba žádná akce. |
Chyba názvu modelu nebo oblasti (například InvalidModelName) |
Model není ve vybrané oblasti k dispozici. | Zkontrolujte dostupnost oblasti modelu a znovu nasaďte v podporované oblasti. |
Chyba kvóty (například InsufficientQuota) |
Nasazení překračuje kvótu TPM předplatného pro model nebo oblast. | Viz Správa kvót pro zobrazení aktuálního využití a zvýšení požadavků. |
Cosmos DB Built-in Data Contributor nenalezena v IAM |
Role roviny dat služby Cosmos DB se nezobrazují v okně Řízení přístupu (IAM) portálu | Tuto roli přiřaďte prostřednictvím Azure CLI (az cosmosdb sql role assignment create) nebo Bicep. Podrobnosti najdete v poznámce k nastavení standardního agenta . |
Could not resolve host nebo selhání překladu DNS po nastavení privátního koncového bodu |
Privátní zóna DNS není propojena s virtuální sítí nebo záznamy DNS nejsou propagovány | Ověřte, že je privátní zóna DNS propojená se správnou virtuální sítí. Viz Konfigurace privátního propojení. |
Authorization_RequestDenied z Microsoft Graph nebo Entra ID |
Chybějící adresářová role Microsoft Entra (například Globální správce nebo Správce AI pro Microsoft Entra) | Role adresáře Entra se přiřazují v Centrum pro správu Microsoft Entra, ne v Azure RBAC. Viz Správa dodržování předpisů a monitorování. |
Tip
Propagace přiřazení rolí může trvat až pět minut. Požádejte vývojáře, aby se po přiřazení role odhlasil a znovu se přihlásil. Obecné Azure řešení potíží s RBAC najdete v tématu Řešení potíží Azure RBAC.
Související obsah
- Řízení přístupu založené na rolích pro Microsoft Foundry
- Ověřování a autorizace
- Plánování zavedení
- Přiřazení rolí Azure
- Správa dodržování předpisů a zabezpečení
- Spravujte infrastrukturu agenta jako správce Entra
- Správa kvót
- Monitorování modelů
- Nastavte prostředky agenta
- Konfigurace privátního propojení
- Řešení potíží s Azure RBAC