Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel lernen Sie wichtige rollenbasierte access control (RBAC)-Konzepte für Microsoft Foundry kennen, einschließlich Bereiche, integrierte Rollen und allgemeine Unternehmenszuweisungsmuster.
Tipp
RBAC-Rollen gelten, wenn Sie sich mit Microsoft Entra ID authentifizieren. Wenn Sie stattdessen die schlüsselbasierte Authentifizierung verwenden, gewährt der Schlüssel vollständige access ohne Rolleneinschränkungen. Microsoft empfiehlt die Verwendung der Entra ID-Authentifizierung für verbesserte Sicherheit und granulare Zugriffskontrolle.
Weitere Informationen zur Authentifizierung und Autorisierung in Microsoft Foundry finden Sie unter Authentifizierung und Autorisierung.
Mindestrollenzuweisungen zum Einstieg
Beginnen Sie für neue Benutzer von Azure und Microsoft Foundry mit diesen Mindestzuweisungen, damit sowohl Ihr Benutzerprinzipal als auch die vom Projekt verwaltete Identität auf Foundry-Features zugreifen können.
Sie können aktuelle Zuordnungen mithilfe von Zugriff für einen Benutzer auf eine einzelne Azure-Ressource überprüfen.
- Weisen Sie Ihrem Benutzer-Prinzipal die Azure AI Benutzer-Rolle auf Ihrer Foundry-Ressource zu.
- Weisen Sie die Rolle Azure KI-Benutzer in Ihrer Foundry-Ressource der verwalteten Identität Ihres Projekts zu.
Wenn der Benutzer, der das project erstellt hat, Rollen zuweisen kann (z. B. durch die Azure Owner Rolle im Abonnement- oder Ressourcengruppenbereich), werden beide Zuordnungen automatisch hinzugefügt.
Wenn Sie diese Rollen manuell zuweisen möchten, führen Sie die folgenden schnellen Schritte aus.
Weise eine Rolle Ihrem Benutzerprinzipal zu
Öffnen Sie im Azure portal Ihre Foundry-Ressource, und wechseln Sie zu Access control (IAM). Erstellen sie eine Rollenzuweisung für Azure AI User, legen Sie Members auf Benutzer, Gruppen oder Dienstprinzipal fest, wählen Sie Ihren Benutzerprinzipal aus, und wählen Sie dann Review + assign aus.
Weisen Sie Ihrer verwalteten Projektidentität eine Rolle zu
Öffnen Sie im Azure portal Ihre Foundry-project, und wechseln Sie zu Access control (IAM). Erstellen sie eine Rollenzuweisung für Azure AI User, legen Sie Members auf Managed Identity fest, wählen Sie die verwaltete Identität Ihres project aus, und wählen Sie dann Review + assign aus.
Terminologie für rollenbasierte Zugriffskontrolle in Foundry
Um rollenbasierte access control in Microsoft Foundry zu verstehen, sollten Sie zwei Fragen für Ihr Unternehmen in Betracht ziehen.
- Welche Berechtigungen soll mein Team beim Erstellen in Microsoft Foundry haben?
- Zu welchem Bereich möchte ich meinem Team Berechtigungen zuweisen?
Um diese Fragen zu beantworten, finden Sie hier Beschreibungen einiger Terminologie, die in diesem Artikel verwendet werden.
- Berechtigungen: Zulässige oder verweigerte Aktionen, die eine Identität für eine Ressource ausführen kann, z. B. Lesen, Schreiben, Löschen oder Verwalten von Steuerungsebenen- und Datenebenenvorgängen.
- Scope: Die Gruppe der Azure Ressourcen, für die eine Rollenzuweisung gilt. Typische Bereiche sind Abonnement, Ressourcengruppe, Foundry-Ressource oder Foundry-project.
- Role: Eine benannte Sammlung von Berechtigungen, die definiert, welche Aktionen für Azure Ressourcen in einem bestimmten Bereich ausgeführt werden können.
Eine Identität erhält eine Rolle mit bestimmten Berechtigungen in einem ausgewählten Bereich basierend auf Ihren Unternehmensanforderungen.
Berücksichtigen Sie in Microsoft Foundry zwei Bereiche beim Durchführen von Rollenzuweisungen.
- Foundry-Ressource: Der Bereich der obersten Ebene, der die Administrative, Sicherheit und Überwachungsgrenze für eine Microsoft Foundry-Umgebung definiert.
- Foundry project: Ein Unterbereich innerhalb einer Foundry-Ressource zum Organisieren von Arbeit und Erzwingen von access control für Foundry-APIs, Tools und Entwicklerworkflows.
Festgelegte Rollen
Eine integrierte Rolle in Foundry ist eine von Microsoft erstellte Rolle, die allgemeine Zugriffszenarien abdeckt, die Sie Ihren Teammitgliedern zuweisen können. Wichtige integrierte Rollen, die in Azure verwendet werden, umfassen Besitzer, Mitwirkender und Leser. Diese Rollen sind nicht spezifisch für Foundry-Ressourcenberechtigungen.
Verwenden Sie für Foundry-Ressourcen zusätzliche integrierte Rollen, um den Prinzipien des geringstmöglichen Zugriffs zu folgen. In der folgenden Tabelle sind wichtige integrierte Rollen für Foundry und Links zu den genauen Rollendefinitionen in AI + Machine Learning integrierten Rollen aufgeführt.
| Rolle | Description |
|---|---|
| Azure AI-Benutzer | Gewährt Lesezugriff auf das Foundry-Projekt, die Foundry-Ressource und die Datenaktionen für Ihr Foundry-Projekt. Wenn Sie Rollen zuweisen können, wird ihnen diese Rolle automatisch zugewiesen. Andernfalls gewährt Ihr Abonnementbesitzer oder ein Benutzer mit Rollenzuweisungsberechtigungen sie. Rolle mit minimalem Zugriffsrecht in Foundry. |
| Azure AI-Projektmanager | Hiermit können Sie Verwaltungsaktionen für Foundry-Projekte ausführen, projekte erstellen und entwickeln und die Azure KI-Benutzerrolle bedingt anderen Benutzerprinzipalen zuweisen. |
| Azure AI-Kontobesitzer | Gewährt vollständigen Zugriff zum Verwalten von Projekten und Ressourcen und ermöglicht die bedingte Zuweisung der Azure KI-Benutzerrolle zu anderen Benutzerprinzipalen. |
| Azure AI-Besitzer | Gewährt vollständigen Zugriff auf verwaltete Projekte und Ressourcen und baut und entwickelt mit Projekten. Hoch privilegierte Selbstverwaltungsrolle, die speziell für digitale Natives entwickelt wurde. |
Berechtigungen für jede integrierte Rolle
Verwenden Sie die folgende Tabelle, um die für jede integrierte Rolle in Microsoft Foundry zulässigen Berechtigungen anzuzeigen.
| Integrierte Rolle | Erstellen von Foundry-Projekten | Erstellen von Foundry-Konten | Erstellen und Entwickeln in einem Projekt (Datenaktionen) | Vollständige Rollenzuweisungen | Lesezugriff für Projekte und Konten | Verwalten von Modellen |
|---|---|---|---|---|---|---|
| Azure AI-Benutzer | ✔ | ✔ | ||||
| Azure AI-Projektmanager | ✔ | ✔ (nur Azure AI-Benutzerrolle zuweisen) | ✔ | |||
| Azure AI-Kontobesitzer | ✔ | ✔ | ✔ (nur Azure AI-Benutzerrolle zuweisen) | ✔ | ✔ | |
| Azure AI-Besitzer | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
Verwenden Sie die folgende Tabelle, um die Berechtigungen anzuzeigen, die für die einzelnen integrierten Azure-Schlüsselrollen zulässig sind (Besitzer, Mitwirkender, Leser).
| Integrierte Rolle | Erstellen von Foundry-Projekten | Erstellen von Foundry-Konten | Erstellen und Entwickeln in einem Projekt (Datenaktionen) | Vollständige Rollenzuweisungen | Lesezugriff für Projekte und Konten | Verwalten von Modellen |
|---|---|---|---|---|---|---|
| Owner | ✔ | ✔ | ✔ (Jedem Benutzer eine beliebige Rolle zuweisen) | ✔ | ✔ | |
| Mitwirkender | ✔ | ✔ | ✔ | ✔ | ||
| Reader | ✔ |
Weitere Informationen zu integrierten Rollen in Azure und Foundry finden Sie unter Azure integrierten Rollen. Weitere Informationen zur bedingten Delegierung, die in der Rolle des Azure AI-Kontobesitzers und der Azure AI-Projektmanagerrolle verwendet wird, finden Sie unter Delegate Azure Rollenzuweisungsverwaltung für andere Benutzer mit Bedingungen.
Beispiel für Enterprise RBAC-Zuordnungen für Projekte
Nachfolgend finden Sie ein Beispiel für die Implementierung rollenbasierter access control (RBAC) für eine Enterprise Foundry-Ressource.
| Persona | Rolle und Bereich | Zweck |
|---|---|---|
| IT-Administrator | Besitzer im Bereich des Abonnements | Der IT-Administrator stellt sicher, dass die Foundry-Ressource Enterprise-Standards erfüllt. Weise Managern die vordefinierte Rolle Azure AI-Kontobesitzer auf der Ressource zu, damit sie neue Foundry-Konten erstellen können. Weisen Sie Managern die Azure KI-Project-Manager Rolle für die Ressource zu, damit sie Projekte in einem Konto erstellen können. |
| Managers | Azure AI-Kontoeigentümer im Ressourcenbereich „Foundry“ | Manager verwalten die Foundry-Ressource, stellen Modelle bereit, überwachen Computeressourcen, überwachen Verbindungen und erstellen freigegebene Verbindungen. Sie können keine Projekte erstellen, aber sie können sich selbst und anderen die Rolle „Azure AI User“ zuweisen, um mit dem Erstellen anzufangen. |
| Teamleiter oder leitende Entwickler | Azure AI-Projektmanager im Ressourcenbereich Foundry | Leitende Entwickler erstellen Projekte für ihr Team und beginnen mit der Erstellung in diesen Projekten. Nachdem Sie ein Projekt erstellt haben, laden die Projektbesitzer andere Mitglieder ein und weisen die Rolle Azure AI User zu. |
| Teammitglieder oder Entwickler | Azure KI-Benutzer im Foundry-Projektbereich und Reader im Ressource-Bereich der Foundry | Entwickler erstellen Agents in einem Projekt mit vorinstallierten Foundry-Modellen und vordefinierten Verbindungen. |
Verwalten von Rollenzuweisungen
Um Rollen in Foundry zu verwalten, müssen Sie über die Berechtigung zum Zuweisen und Entfernen von Rollen in Azure verfügen. Die integrierte Azure Owner Rolle enthält diese Berechtigung. Sie können Rollen über das Foundry-Portal (Administratorseite), Azure portal IAM oder Azure CLI zuweisen. Sie können Rollen mithilfe von Azure portal IAM oder Azure CLI entfernen.
Verwalten Sie im Gießereiportal Die Berechtigungen wie folgt:
- Öffnen Sie die Seite Admin in Foundry, und wählen Sie dann Operate>Admin aus.
- Wählen Sie Ihren Projektnamen aus.
- Wählen Sie Benutzer hinzufügen aus, um den Projektzugriff zu verwalten. Diese Aktion ist nur verfügbar, wenn Sie über Rollenzuweisungsberechtigungen verfügen.
- Wenden Sie denselben Vorgang für den Foundry-Ressourcenebenenzugriff an.
Sie können Berechtigungen im Azure portal unter Access Control (IAM) oder mithilfe von Azure CLI verwalten.
Mit dem folgenden Befehl wird beispielsweise die Azure KI-Benutzerrolle joe@contoso.com für Ressourcengruppe this-rg im Abonnement 00000000-0000-0000-0000-000000000000 zugewiesen:
az role assignment create --role "Azure AI User" --assignee "joe@contoso.com" --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/this-rg
Erstellen benutzerdefinierter Rollen für Projekte
Wenn die integrierten Rollen ihre Unternehmensanforderungen nicht erfüllen, erstellen Sie eine benutzerdefinierte Rolle, die eine präzise Kontrolle über zulässige Aktionen und Bereiche ermöglicht. Hier ist ein Beispiel für eine benutzerdefinierte Rollendefinition auf Abonnementebene:
{
"properties": {
"roleName": "My Enterprise Foundry User",
"description": "Custom role for Foundry at my enterprise to only allow building Agents. Assign at subscription level.",
"assignableScopes": ["/subscriptions/<your-subscription-id>"],
"permissions": [ {
"actions": ["Microsoft.CognitiveServices/*/read", "Microsoft.Authorization/*/read", "Microsoft.CognitiveServices/accounts/listkeys/action","Microsoft.Resources/deployments/*"],
"notActions": [],
"dataActions": ["Microsoft.CognitiveServices/accounts/AIServices/agents/*"],
"notDataActions": []
} ]
}
}
Weitere Informationen zum Erstellen einer benutzerdefinierten Rolle finden Sie in den folgenden Artikeln.
- Azure-Portal
- Azure CLI
- Azure PowerShell
- Deaktivieren Sie Die Vorschaufeatures in Microsoft Foundry. Dieser Artikel enthält weitere Details zu spezifischen Berechtigungen in Foundry über steuerungs- und Datenebene hinweg, die Sie beim Erstellen benutzerdefinierter Rollen verwenden können.
Hinweise und Einschränkungen
- Um gelöschte Foundry-Konten anzuzeigen und zu bereinigen, muss Ihnen im Bereich des Abonnements die Rolle Mitwirkender zugewiesen sein.
- Benutzer mit der Rolle "Mitwirkender" können Modelle in Foundry bereitstellen.
- Sie benötigen die Rolle "Besitzer" im Bereich einer Ressource, um benutzerdefinierte Rollen in der Ressource zu erstellen.
- Wenn du in Azure die Berechtigung hast, deinem Benutzerprinzipal Rollen zuzuweisen (z. B. die Rolle „Besitzer“ im Kontobereich) und du eine Foundry-Ressource über das Azure-Portal oder die Foundry-Portal-Benutzeroberfläche bereitstellst, wird deinem Benutzerprinzipal automatisch die Rolle „Azure AI-Benutzer“ zugewiesen. Diese Zuweisung gilt nicht bei der Bereitstellung von Foundry aus SDK oder CLI.
- Wenn Sie eine Foundry-Ressource erstellen, geben Ihnen die integrierten rollenbasierten Berechtigungen zur Zugriffskontrolle (RBAC) Zugriff auf die Ressource. Um Ressourcen zu verwenden, die außerhalb von Foundry erstellt wurden, stellen Sie sicher, dass die Ressource über Berechtigungen verfügt, mit denen Sie sie access können. Im Folgenden finden Sie einige Beispiele:
- Um ein neues Azure Blob Storage-Konto zu verwenden, fügen Sie die verwaltete Identität der Ressource des Foundry-Kontos der Rolle Storage Blob Data-Leser auf diesem Storage-Konto hinzu.
- Wenn Sie eine neue Azure AI Search Quelle verwenden möchten, fügen Sie "Foundry" zu den Azure AI Search Rollenzuweisungen hinzu.
- Um ein Modell in Foundry zu optimieren, benötigen Sie Sowohl Datenebenen- als auch Steuerungsebenenberechtigungen. Der Einsatz eines fein abgestimmten Modells ist eine Berechtigung auf der Steuerungsebene. Daher ist die einzige integrierte Rolle mit Berechtigungen für Datenebenen und Steuerungsebene die Rolle Azure AI Owner. Wenn Sie es vorziehen, können Sie auch die Rolle Azure AI User für Berechtigungen der Datenebene und die Rolle Azure AI-Kontobesitzer für Berechtigungen der Steuerungsebene zuweisen.
Verwandte Inhalte
- Erstellen Sie ein Projekt.
- Überprüfe den Zugriff für einen Benutzer zu einer einzelnen Azure-Ressource.
- Authentifizierung und Autorisierung in Gießerei.
- Deaktivieren Sie Die Vorschaufeatures in Microsoft Foundry.
Anhang
Beispiele für Zugriffsisolierung
Jede Organisation kann je nach Benutzerpersonas in ihrem Unternehmen unterschiedliche Zugriffsisolationsanforderungen haben. Die Zugriffsisolation bezieht sich darauf, welchen Benutzern in Ihrem Unternehmen welche Rollen für eine Trennung von Berechtigungen mithilfe unserer integrierten Rollen oder einer einheitlichen, sehr freizügigen Rolle zugewiesen werden. Für Foundry gibt es drei Optionen zur Zugangstrennung, die Sie abhängig von den Anforderungen an die Zugangstrennung Ihrer Organisation auswählen können.
Keine Zugriffsisolation. Dies bedeutet, dass Sie in Ihrem Unternehmen keine Anforderungen haben, die Berechtigungen zwischen Einem Entwickler, project Manager oder einem Administrator trennen. Die Berechtigungen für diese Rollen können teamsübergreifend zugewiesen werden.
Daher sollten Sie...
- Allen Benutzern in Ihrem Unternehmen die Rolle Azure AI Owner für den Ressourcenbereich gewähren
Partielle Zugriffsisolation. Dies bedeutet, dass der project Manager in Ihrem Unternehmen in der Lage sein sollte, innerhalb von Projekten zu entwickeln und Projekte zu erstellen. Ihre Administratoren sollten jedoch nicht in der Lage sein, innerhalb von Foundry zu entwickeln, sondern nur Foundry-Projekte und -Konten zu erstellen.
Daher sollten Sie...
- Erteilen Sie Ihrem Admin die Rolle Kontobesitzer von Azure AI auf dem Bereich der Ressourcen
- Gewähren Sie Ihren Entwicklern und Projekt Managern die Rolle des Azure AI Projektmanagers für die Ressource.
Vollständige Zugriffsisolation Dies bedeutet, dass Ihren Administratoren, Projektmanagern und Entwicklern klare Berechtigungen zugewiesen werden, die sich nicht für ihre verschiedenen Funktionen innerhalb eines Unternehmens überschneiden.
Daher sollten Sie...
- Gewähren Sie Ihrem Administrator die Rolle des Azure AI-Kontobesitzers auf Ressourcenebene.
- Gewähre deinem Entwickler die Rolle Reader im Bereich der Foundry-Ressource und Azure AI User im Projektbereich.
- Gewähren Sie Ihrem Projektmanager die Azure AI Project Manager Rolle für Ressourcenbereich.
Microsoft Entra-Gruppen mit Foundry verwenden
Microsoft Entra ID bietet verschiedene Möglichkeiten, den Zugriff auf Ressourcen, Anwendungen und Aufgaben zu verwalten. Mithilfe von Microsoft Entra-Gruppen können Sie einer Gruppe von Benutzern anstelle jedes einzelnen Benutzers access und Berechtigungen erteilen. IT-Administratoren von Unternehmen können Microsoft Entra-Gruppen im Azure portal erstellen, um den Rollenzuweisungsprozess für Entwickler zu vereinfachen. Wenn Sie eine Microsoft Entra-Gruppe erstellen, können Sie die Anzahl der Rollenzuweisungen minimieren, die für neue Entwickler erforderlich sind, die an Foundry-Projekten arbeiten, indem Sie der Gruppe die erforderliche Rollenzuweisung für die erforderliche Ressource zuweisen.
Führen Sie die folgenden Schritte aus, um Microsoft Entra ID Gruppen mit Foundry zu verwenden:
- Erstellen Sie eine gruppe Security in Groups im Azure portal.
- Fügen Sie einen Eigentümer und die Benutzerkonten in Ihrer Organisation hinzu, die gemeinsamen Zugriff benötigen.
- Öffnen Sie die Zielressource, und wechseln Sie zu Access control (IAM).
- Weisen Sie dem Benutzer, der Gruppe oder dem Dienstprinzipal die erforderliche Rolle zu, und wählen Sie die neue Sicherheitsgruppe aus.
- Wählen Sie "Überprüfen" und "Zuweisen" aus, damit die Rollenzuweisung für alle Mitglieder der Gruppe gilt.
Häufige Beispiele:
- Um Agents zu erstellen, Ablaufverfolgungen auszuführen und die Kernfunktionen von Foundry zu nutzen, weisen Sie Azure AI User der Microsoft Entra-Gruppe zu.
- Um die Ablaufverfolgungs- und Überwachungsfunktionen nutzen zu können, weisen Sie Leser auf der verbundenen Application Insights-Ressource derselben Gruppe zu.
Weitere Informationen zu Microsoft Entra ID Gruppen, Voraussetzungen und Einschränkungen finden Sie unter: