Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel erfahren Sie, wie Sie den Zugriff (Autorisierung) auf Ihre Azure AI Foundry-Ressourcen verwalten. Die rollenbasierte Zugriffssteuerung von Azure (Azure RBAC) wird verwendet, um den Zugriff auf Azure-Ressourcen zu verwalten, z. B. die Möglichkeit, neue Ressourcen zu erstellen oder vorhandene zu verwenden. Benutzern in Ihrer Microsoft Entra-ID werden bestimmte Rollen zugewiesen, die Zugriff auf Ressourcen gewähren. Azure bietet sowohl integrierte Rollen als auch die Möglichkeit, benutzerdefinierte Rollen zu erstellen.
Azure AI Foundry unterstützt zwei Arten von Projekten: ein Foundry-Projekt und ein Hub-basiertes Projekt. Weitere Informationen zu den Unterschieden zwischen diesen beiden Projekttypen finden Sie unter Projekttypen. Verwenden Sie die Auswahl oben in diesem Artikel, um zwischen den beiden Projekttypen zu wechseln.
Warnung
Die Anwendung einiger Rollen kann die Funktionalität der Benutzeroberfläche im Azure KI Foundry-Portal für andere Benutz*innener einschränken. Wenn beispielsweise die Rolle von Benutzer*innen nicht die Möglichkeit bietet, eine Compute-Instanz zu erstellen, ist die Option zum Erstellen einer Compute-Instanz in Studio nicht verfügbar. Dieses Verhalten wird erwartet und verhindert, dass der Benutzer Vorgänge versucht, die einen Fehler vom Typ „Zugriff verweigert“ zurückgeben würden.
Azure AI Foundry-Projektrollen
Im Azure AI Foundry-Portal gibt es zwei Zugriffsebenen:
- Konto: Das Konto ist die Heimat der Infrastruktur (einschließlich der Einrichtung des virtuellen Netzwerks, vom Kunden verwalteter Schlüssel, verwalteter Identitäten und Richtlinien) für Ihre Azure AI Foundry-Ressource.
- Projekt: Projekte sind eine Teilmenge des Kontos und ermöglichen es Ihnen, Agents zu erstellen und bereitzustellen. Mit dem Projektzugriff können Sie KI-Lösungen von Anfang bis Ende entwickeln, während Sie die bestehende Infrastruktur auf dem Konto nutzen.
Die Azure AI Foundry-Ressource verfügt über integrierte Rollen, die standardmäßig sowohl für das Konto als auch für das Projekt verfügbar sind. Hier ist eine Tabelle der integrierten Rollen und deren Berechtigungen.
| Rolle | BESCHREIBUNG |
|---|---|
| Azure AI-Benutzer | Diese Rolle gewährt dem Leser Zugriff auf KI-Projekte, Lesezugriff auf KI-Konten und Datenaktionen für ein KI-Projekt. Diese Rolle wird dem Benutzer automatisch zugewiesen, wenn er Rollen zuweisen kann. Andernfalls muss diese Rolle von Ihrem Abonnementbesitzer oder Benutzer mit Rollenzuweisungsberechtigungen gewährt werden. |
| Azure AI-Projektmanager | Mit dieser Rolle können Sie Verwaltungsaktionen für Azure AI Foundry-Projekte ausführen, mit Projekten erstellen und entwickeln und bedingte Zuordnungen der Azure AI-Benutzerrolle anderen Benutzerprinzipien gewähren. |
| Azure AI-Kontobesitzer | Diese Rolle gewährt vollzugriff auf die Verwaltung von KI-Projekten und -Konten und gewährt bedingte Zuordnung der Azure AI-Benutzerrolle zu anderen Benutzerprinzipien. |
Der hauptunterschied zwischen Azure AI Project Manager und Azure AI Account Owner ist die Möglichkeit:
- Erstellen Sie neue Findry-Kontoressourcen, die nur der Azure AI-Kontobesitzer ausführen kann.
- Fangen Sie an, Projekte mit AI Foundry zu erstellen und zu entwickeln.
Der zweite Unterschied wird in der Rollendefinition gesehen, in der die Datenaktion von Microsoft.CognitiveServices/*. Diese Datenaktion ermöglicht es dem Benutzer, alle Lese-, Schreib- oder Löschaktionen innerhalb eines Projekts abzuschließen. Der Azure AI-Projektmanager kann diese Aktion ausführen, aber nicht den Azure AI-Kontobesitzer. Nur Azure AI-Benutzer und Azure AI-Projektmanager erhalten Datenaktionen für ein KI-Projekt. Sie können sich Azure AI-Projektmanager als einen erhöhten Azure AI-Benutzer vorstellen.
Zusätzlich zu diesen integrierten Rollenzuweisungen gibt es die Azure Privileged-Administratorrollen wie Besitzer, Mitwirkender und Leser. Diese Rollen sind nicht spezifisch für Azure AI Foundry-Ressourcenberechtigungen. Erwägen Sie daher die Verwendung der oben genannten integrierten Rollen für den geringsten Berechtigungszugriff.
Verwenden Sie die folgende Tabelle, um zu verstehen, welche Berechtigungen jeder neuen integrierten Rolle zugewiesen werden, einschließlich der Azure Privileged Administrator-Rollen:
| Integrierte Rolle | Erstellen von Foundry-Projekten | Erstellen von Foundry-Konten | Erstellen und Entwickeln in einem Projekt (Datenaktionen) | Vollständige Rollenzuweisungen | Lesezugriff auf Projekte und Konten |
|---|---|---|---|---|---|
| Azure AI-Benutzer | ✔ | ✔ | |||
| Azure AI-Projektmanager | ✔ | ✔ | ✔ (nur Azure KI-Benutzerrolle zuweisen) | ✔ | |
| Azure AI-Kontobesitzer | ✔ | ✔ | ✔ (nur Azure KI-Benutzerrolle zuweisen) | ✔ | |
| Eigentümer | ✔ | ✔ | ✔ (Jedem Benutzer eine beliebige Rolle zuweisen) | ✔ | |
| Mitwirkender | ✔ | ✔ | ✔ | ||
| Leser | ✔ |
Standardrollen für das Projekt
Azure AI-Benutzer
Der vollständige Satz von Berechtigungen für die neue Azure AI-Benutzerrolle lautet wie folgt:
{
"id": "/providers/Microsoft.Authorization/roleDefinitions/53ca6127-db72-4b80-b1b0-d745d6d5456d",
"properties": {
"roleName": "Azure AI User",
"description": "Grants reader access to AI projects, reader access to AI accounts, and data actions for an AI project.",
"assignableScopes": [
"/"
],
"permissions": [
{
"actions": [
"Microsoft.CognitiveServices/*/read",
"Microsoft.CognitiveServices/accounts/listkeys/action",
"Microsoft.Insights/alertRules/read",
"Microsoft.Insights/diagnosticSettings/read",
"Microsoft.Insights/logDefinitions/read",
"Microsoft.Insights/metricdefinitions/read",
"Microsoft.Insights/metrics/read",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.CognitiveServices/*"
],
"notDataActions": []
}
]
}
}
Azure AI-Projektmanager
Die Azure KI-Projektmanagerrolle verwendet delegierte Azure-Rollenzuweisungsverwaltung für andere Mitbedingungen. Aufgrund der bedingten Delegierung kann die Azure AI-Projektmanagerrolle nur die Azure AI-Benutzerrolle anderen Benutzerprinzipalen in der Ressourcengruppe zuweisen. Die bedingte Delegierung ermöglicht es dem Administrator Ihres Unternehmens, die Arbeit von Rollenzuweisungen zu delegieren, um mit der Erstellung und Entwicklung mit AI Foundry-Projekten zu beginnen. Weitere Informationen zu Rollenzuweisungen mit Bedingungen finden Sie unter Delegieren der Azure-Rollenzuweisungsverwaltung für andere Personen mit Bedingungen.
Der vollständige Satz von Berechtigungen für die neue Azure AI-Projektmanagerrolle lautet wie folgt:
{
"id": "/providers/Microsoft.Authorization/roleDefinitions/eadc314b-1a2d-4efa-be10-5d325db5065e",
"properties": {
"roleName": "Azure AI Project Manager",
"description": "Lets you perform developer actions and management actions on Azure AI Foundry Projects. Allows for making role assignments, but limited to Cognitive Service User role.",
"assignableScopes": [
"/"
],
"permissions": [
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete",
"Microsoft.CognitiveServices/accounts/*/read",
"Microsoft.CognitiveServices/accounts/projects/*",
"Microsoft.CognitiveServices/locations/*/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.CognitiveServices/*"
],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{53ca6127-db72-4b80-b1b0-d745d6d5456d})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{53ca6127-db72-4b80-b1b0-d745d6d5456d}))"
}
]
}
}
Azure AI-Kontobesitzer
Die Azure AI-Kontobesitzerrolle verwendet delegierte Azure-Rollenzuweisungsverwaltung für andere Benutzer mit Bedingungen. Aufgrund der bedingten Delegierung kann die Azure AI-Kontobesitzerrolle nur anderen Benutzerprinzipalen in der Ressourcengruppe die Azure AI-Benutzerrolle zuweisen. Die bedingte Delegierung ermöglicht es dem Administrator Ihres Unternehmens, die Arbeit von Rollenzuweisungen zu delegieren, um mit der Erstellung und Entwicklung mit AI Foundry-Projekten zu beginnen. Weitere Informationen zu Rollenzuweisungen mit Bedingungen finden Sie unter Delegieren der Azure-Rollenzuweisungsverwaltung für andere Personen mit Bedingungen.
Der vollständige Satz von Berechtigungen für die neue Rolle "Azure AI-Kontobesitzer" lautet wie folgt:
{
"id": "/providers/Microsoft.Authorization/roleDefinitions/e47c6f54-e4a2-4754-9501-8e0985b135e1",
"properties": {
"roleName": "Azure AI Account Owner",
"description": "Grants full access to manage AI projects and accounts. Grants conditional assignment of the Azure AI User role to other user principles.",
"assignableScopes": [
"/"
],
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete",
"Microsoft.CognitiveServices/*",
"Microsoft.Features/features/read",
"Microsoft.Features/providers/features/read",
"Microsoft.Features/providers/features/register/action",
"Microsoft.Insights/alertRules/*",
"Microsoft.Insights/diagnosticSettings/*",
"Microsoft.Insights/logDefinitions/read",
"Microsoft.Insights/metricdefinitions/read",
"Microsoft.Insights/metrics/read",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/deployments/operations/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourcegroups/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{53ca6127-db72-4b80-b1b0-d745d6d5456d})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{53ca6127-db72-4b80-b1b0-d745d6d5456d}))"
}
]
}
}
Beispiel für die Unternehmens-RBAC-Einrichtung
Die folgende Tabelle ist ein Beispiel für das Einrichten der rollenbasierten Zugriffssteuerung für Ihre Azure AI Foundry-Ressource für ein Unternehmen.
| Persona | Rolle | Zweck |
|---|---|---|
| IT-Administrator | Abonnementbesitzer | Der IT-Administrator kann sicherstellen, dass der Hub für seine Unternehmensstandards eingerichtet ist. Sie können Managern die Rolle " Azure AI-Kontobesitzer " für die Ressource zuweisen, wenn sie Managern ermöglichen möchten, neue Foundry-Konten zu erstellen. Sie können Managern die Azure AI-Projektmanagerrolle für die Ressource zuweisen, um die Projekterstellung innerhalb eines Kontos zu ermöglichen. |
| Manager | Azure KI-Kontobesitzer auf Gießereiressource | Manager können den Hub verwalten, Computeressourcen überwachen, Verbindungen überwachen und freigegebene Verbindungen erstellen. Sie können nicht mit dem Erstellen innerhalb der Projekte beginnen, sondern können sich selbst und anderen die Azure AI-Benutzerrolle zuweisen, um mit dem Erstellen zu beginnen. |
| Teamleiter/Leitender Entwickler | Azure AI-Projektmanager für Foundry-Ressource | Lead-Entwickler können Projekte für ihr Team erstellen und in den Projekten mit der Entwicklung beginnen. Nach der Projekterstellung können Projektbesitzer andere Mitglieder einladen und die Azure AI-Benutzerrolle zuweisen. |
| Teammitglieder/Entwickler | Azure AI-Benutzer auf der Foundry-Ressource | Entwickler können KI-Modelle in einem Projekt erstellen und bereitstellen und Agents erstellen. |
Zugriff auf Ressourcen, die außerhalb von AI Foundry erstellt wurden
Wenn Sie eine Foundry-Ressource erstellen, gewähren Ihnen die integrierten rollenbasierten Zugriffssteuerungsberechtigungen Zugriff auf die Verwendung der Ressource. Wenn Sie jedoch Ressourcen nutzen möchten, die nicht in Ihrem Namen erstellt wurden, müssen Sie beides sicherstellen:
- Die Ressource, die Sie verwenden möchten, verfügt über Berechtigungen, die Ihnen den Zugriff darauf ermöglichen.
- Ihre Foundry-Kontoressource kann darauf zugreifen.
Wenn Sie beispielsweise einen neuen Blob Storage verwenden möchten, müssen Sie sicherstellen, dass die verwaltete Identität der Foundry-Konto-Ressource zur Rolle „Blob Storage Reader” für den Blob hinzugefügt wurde. Wenn Sie versuchen, eine neue Azure KI Search-Quelle zu verwenden, müssen Sie möglicherweise den Hub zu den Rollenzuweisungen der Azure KI Search hinzufügen.
Zugriffsverwaltung mit Rollen
Wenn Sie besitzer einer Findry-Kontoressource sind, können Sie Rollen für Azure AI Foundry hinzufügen und entfernen. Wählen Sie auf der Startseite in Azure AI Foundry Ihre Foundry-Ressource aus. Wählen Sie dann Benutzer, um Benutzer für den Hub hinzuzufügen und zu entfernen. Sie können berechtigungen auch über das Azure-Portal unter Access Control (IAM) oder über die Azure CLI verwalten.
Der folgende Befehl weist zum Beispiel die Azure AI-Benutzerrolle joe@contoso.com für die Ressourcengruppe this-rg im Abonnement mit der ID 00000000-0000-0000-0000-000000000000 zu:
az role assignment create --role "Azure AI User" --assignee "joe@contoso.com" --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/this-rg
Erstellen von benutzerdefinierten Rollen
Wenn die integrierten Rolle nicht ausreichend sind, können Sie benutzerdefinierte Rollen erstellen. Benutzerdefinierte Rollen können über Berechtigungen zum Lesen, Schreiben, Löschen und für Computeressourcen in diesem Azure KI Foundry verfügen. Sie können die Rolle auf einer bestimmten Projektebene, einer bestimmten Ressourcengruppenebene oder einer bestimmten Abonnementebene verfügbar machen.
Hinweis
Sie müssen auf der entsprechenden Ebene Besitzer der Ressource sein, um eine benutzerdefinierte Rolle in dieser Ressource erstellen zu können.
Schritte zum Erstellen einer benutzerdefinierten Rolle finden Sie in den folgenden Artikeln:
Weitere Informationen zum Erstellen benutzerdefinierter Rollen im Allgemeinen finden Sie im Artikel Benutzerdefinierte Azure-Rollen.
Nächste Schritte
Azure KI Foundry-Hub im Vergleich zum -Projekt
Im Azure KI Foundry-Portal gibt es zwei Zugriffsebenen: den Hub und das Projekt. Der Hub ist die Heimat der Infrastruktur (einschließlich der Einrichtung des virtuellen Netzwerks, vom Kunden verwalteter Schlüssel, verwalteter Identitäten und Richtlinien) und der Konfiguration Ihrer Azure KI-Dienste. Der Zugriff auf den Hub ermöglicht es Ihnen, die Infrastruktur zu ändern und neue Hubs und Projekte zu erstellen. Projekte sind eine Teilmenge des Hubs, die als Arbeitsbereiche fungieren, mit denen Sie KI-Systeme erstellen und bereitstellen können. Innerhalb eines Projekts können Sie Abläufe entwickeln, Modelle bereitstellen und Projektressourcen verwalten. Mit dem Projektzugriff können Sie KI von Anfang bis Ende entwickeln und dabei die Vorteile der auf dem Hub eingerichteten Infrastruktur nutzen.
Einer der wichtigsten Vorteile der Hub- und Projektbeziehung besteht darin, dass Entwickler eigene Projekte erstellen können, welche die Hub-Sicherheitseinstellungen erben. Möglicherweise verfügen Sie auch über Entwickler, die an einem Projekt mitwirken und keine neuen Projekte erstellen können.
Standardrollen für den Hub
Der Azure KI Foundry-Hub verfügt über integrierte Rollen, die standardmäßig verfügbar sind.
Hier ist eine Tabelle der integrierten Rollen und deren Berechtigungen für den Hub:
| Rolle | BESCHREIBUNG |
|---|---|
| Besitzer | Vollzugriff auf den Hub, einschließlich der Möglichkeit, neue Hubs zu verwalten und zu erstellen und Berechtigungen zuzuweisen. Diese Rolle wird dem Hubersteller automatisch zugewiesen. |
| Beitragender | Benutzer haben Vollzugriff auf den Hub, einschließlich der Möglichkeit, neue Hubs zu erstellen, sind aber nicht in der Lage, Hubberechtigungen für die vorhandene Ressource zu verwalten. |
| Azure KI-Administrator (Vorschau) | Diese Rolle wird automatisch der systemseitig zugewiesenen verwalteten Identität für den Hub zugewiesen. Die Rolle „Azure KI-Administrator“ verfügt über die Mindestberechtigungen, die die verwaltete Identität zum Durchführen ihrer Aufgaben benötigt. Weitere Informationen finden Sie unter „Azure KI-Administrator“-Rolle (Vorschau). |
| Azure KI-Entwickler | Sie können alle Aktionen ausführen, außer neue Hubs erstellen und die Hubberechtigungen verwalten. Benutzer*innen können z. B. Projekte, Compute und Verbindungen erstellen. Benutzer*innen können Berechtigungen innerhalb ihres Projekts zuweisen. Benutzer*innen können mit vorhandenen Azure KI-Ressourcen wie Azure OpenAI, Azure KI-Suche und Azure KI Services interagieren. |
| Azure KI-Rückschlussbereitstellungsoperator | Führen Sie alle erforderlichen Aktionen durch, um eine Ressourcenbereitstellung innerhalb einer Ressourcengruppe zu erstellen. |
| Leser | Schreibgeschützter Zugriff auf den Hub Diese Rolle wird allen Projektmitgliedern innerhalb des Hubs automatisch zugewiesen. |
Der Hauptunterschied zwischen „Mitwirkender“ und „Azure KI-Entwickler“ ist die Möglichkeit, neue Hubs zu erstellen. Wenn Sie nicht möchten, dass Benutzer neue Hubs erstellen (aufgrund von Kontingenten, Kosten oder einfach nur verwalten, wie viele Hubs Sie haben), weisen Sie die Azure KI-Entwicklerrolle zu.
Nur die Rollen „Besitzer“ und „Mitwirkender“ ermöglichen es Ihnen, einen Hub zu erstellen. Derzeit können Ihnen benutzerdefinierte Rollen nicht die Berechtigung erteilen, Hubs zu erstellen.
Rolle „Azure KI-Administrator“ (Vorschau)
Vor dem 19.11.2024 wurde die vom System zugewiesene verwaltete Identität, die für den Hub erstellt wurde, automatisch der Rolle "Mitwirkender für die Ressourcengruppe zugewiesen, die den Hub und die Projekte enthält. Für Hubs, die nach diesem Datum erstellt werden, wird die systemseitig zugewiesene verwaltete Identität der Rolle Azure KI-Administrator zugewiesen. Diese Rolle ist enger gefasst und beschränkt sich auf die Mindestberechtigungen, die die verwaltete Identität zum Durchführen ihrer Aufgaben benötigt.
Die Rolle Azure KI-Administrator befindet sich derzeit in der öffentlichen Vorschau.
Von Bedeutung
Die in diesem Artikel markierten Elemente (Vorschau) sind aktuell als öffentliche Vorschau verfügbar. Diese Vorschauversion wird ohne Vereinbarung zum Servicelevel bereitgestellt und sollte nicht für Produktionsworkloads verwendet werden. Manche Features werden möglicherweise nicht unterstützt oder sind nur eingeschränkt verwendbar. Weitere Informationen finden Sie unter Zusätzliche Nutzungsbestimmungen für Microsoft Azure-Vorschauen.
Die Rolle Azure KI-Administrator verfügt über die folgenden Berechtigungen:
{
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.CognitiveServices/*",
"Microsoft.ContainerRegistry/registries/*",
"Microsoft.DocumentDb/databaseAccounts/*",
"Microsoft.Features/features/read",
"Microsoft.Features/providers/features/read",
"Microsoft.Features/providers/features/register/action",
"Microsoft.Insights/alertRules/*",
"Microsoft.Insights/components/*",
"Microsoft.Insights/diagnosticSettings/*",
"Microsoft.Insights/generateLiveToken/read",
"Microsoft.Insights/logDefinitions/read",
"Microsoft.Insights/metricAlerts/*",
"Microsoft.Insights/metricdefinitions/read",
"Microsoft.Insights/metrics/read",
"Microsoft.Insights/scheduledqueryrules/*",
"Microsoft.Insights/topology/read",
"Microsoft.Insights/transactions/read",
"Microsoft.Insights/webtests/*",
"Microsoft.KeyVault/*",
"Microsoft.MachineLearningServices/workspaces/*",
"Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/deployments/operations/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourcegroups/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Storage/storageAccounts/*",
"Microsoft.Support/*",
"Microsoft.Search/searchServices/write",
"Microsoft.Search/searchServices/read",
"Microsoft.Search/searchServices/delete",
"Microsoft.Search/searchServices/indexes/*",
"Microsoft.DataFactory/factories/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
Tipp
Es wird empfohlen, vor dem 19.11.2024 erstellte Hubs zur Verwendung der Rolle „Azure KI-Administrator“ zu konvertieren. Die Rolle „Azure KI-Administrator“ ist enger gefasst als die zuvor verwendet Rolle „Mitwirkender“ und folgt dem Prinzip der geringsten Rechte.
Sie können vor dem 19.11.2024 erstellte Hubs mit einer der folgenden Methoden zur Verwendung der neuen Rolle „Azure KI-Administrator“ konvertieren:
Azure REST-API: Verwenden Sie eine
PATCH-Anforderung an die Azure REST-API für den Arbeitsbereich. Der Anforderungstext sollte{"properties":{"allowRoleAssignmeentOnRG":true}}festlegen. Das folgende Beispiel zeigt einePATCH-Anforderung mitcurl. Ersetzen Sie<your-subscription>,<resource-group-name>,<workspace-name>und<YOUR-ACCESS-TOKEN>durch die Werte für Ihr Szenario. Weitere Informationen zur Verwendung von REST-APIs finden Sie in der Dokumentation zur Azure REST-API.curl -X PATCH https://management.azure.com/subscriptions/<your-subscription>/resourcegroups/<resource-group-name>/providers/Microsoft.MachineLearningServices/workspaces/<workspace-name>?api-version=2024-04-01-preview -H "Authorization:Bearer <YOUR-ACCESS-TOKEN>"Azure-Befehlszeilenschnittstelle (Command Line Interface, CLI): Verwenden Sie den Befehl
az ml workspace updatemit dem Parameter--allow-roleassignment-on-rg true. Im folgenden Beispiel wird ein Arbeitsbereich namensmyworkspaceaktualisiert. Für diesen Befehl ist Version 2.27.0 oder höher der Azure Machine Learning CLI-Erweiterung erforderlich.az ml workspace update --name myworkspace --allow-roleassignment-on-rg trueAzure Python SDK: Legen Sie die
allow_roleassignment_on_rg-Eigenschaft des Workspace-Objekts aufTruefest, und führen Sie dann einen Aktualisierungsvorgang aus. Im folgenden Beispiel wird ein Arbeitsbereich namensmyworkspaceaktualisiert. Für diesen Vorgang ist Version 1.17.0 oder höher des Azure Machine Learning SDK erforderlich.ws = ml_client.workspaces.get(name="myworkspace") ws.allow_roleassignment_on_rg = True ws = ml_client.workspaces.begin_update(workspace=ws).result()
Falls Probleme mit der Rolle „Azure KI-Administrator“ auftreten, können Sie zur Problembehandlung die Rolle „Mitwirkender“ wiederherstellen. Weitere Informationen finden Sie unter Zurückkehren zur Rolle „Mitwirkender“.
Rolle „Azure KI-Entwickler“
Der vollständige Satz von Berechtigungen für die Rolle „Azure KI-Entwickler“ lautet wie folgt:
{
"Permissions": [
{
"Actions": [
"Microsoft.MachineLearningServices/workspaces/*/read",
"Microsoft.MachineLearningServices/workspaces/*/action",
"Microsoft.MachineLearningServices/workspaces/*/delete",
"Microsoft.MachineLearningServices/workspaces/*/write",
"Microsoft.MachineLearningServices/locations/*/read",
"Microsoft.Authorization/*/read",
"Microsoft.Resources/deployments/*"
],
"NotActions": [
"Microsoft.MachineLearningServices/workspaces/delete",
"Microsoft.MachineLearningServices/workspaces/write",
"Microsoft.MachineLearningServices/workspaces/listKeys/action",
"Microsoft.MachineLearningServices/workspaces/hubs/write",
"Microsoft.MachineLearningServices/workspaces/hubs/delete",
"Microsoft.MachineLearningServices/workspaces/featurestores/write",
"Microsoft.MachineLearningServices/workspaces/featurestores/delete"
],
"DataActions": [
"Microsoft.CognitiveServices/accounts/OpenAI/*",
"Microsoft.CognitiveServices/accounts/SpeechServices/*",
"Microsoft.CognitiveServices/accounts/ContentSafety/*"
],
"NotDataActions": [],
"Condition": null,
"ConditionVersion": null
}
]
}
Wenn die integrierte Rolle „Azure KI-Entwickler“ Ihre Anforderungen nicht erfüllt, können Sie eine benutzerdefinierte Rolle erstellen.
Standardrollen für Projekte
Projekte im Azure KI Foundry-Portal verfügen über integrierte Rollen, die standardmäßig verfügbar sind.
Hier ist eine Tabelle der integrierten Rollen und deren Berechtigungen für das Projekt:
| Rolle | BESCHREIBUNG |
|---|---|
| Besitzer | Vollzugriff auf das Projekt, einschließlich der Möglichkeit, Projektbenutzern Berechtigungen zuzuweisen. |
| Beitragender | Der Benutzer hat Vollzugriff auf das Projekt, kann Projektbenutzern jedoch keine Berechtigungen zuweisen. |
| Azure KI-Administrator (Vorschau) | Diese Rolle wird automatisch der systemseitig zugewiesenen verwalteten Identität für den Hub zugewiesen. Die Rolle „Azure KI-Administrator“ verfügt über die Mindestberechtigungen, die die verwaltete Identität zum Durchführen ihrer Aufgaben benötigt. Weitere Informationen finden Sie unter „Azure KI-Administrator“-Rolle (Vorschau). |
| Azure KI-Entwickler | Benutzer können die meisten Aktionen ausführen, einschließlich der Erstellung von Bereitstellungen, aber keine Berechtigungen für Projektbenutzer zuweisen. |
| Azure KI-Rückschlussbereitstellungsoperator | Führen Sie alle erforderlichen Aktionen durch, um eine Ressourcenbereitstellung innerhalb einer Ressourcengruppe zu erstellen. |
| Leser | Schreibgeschützter Zugriff auf das Projekt |
Wenn einem Benutzer Zugriff auf ein Projekt gewährt wird (z. B. über die Azure KI Foundry-Portal-Berechtigungsverwaltung), werden dem Benutzer automatisch zwei weitere Rollen zugewiesen. Die erste Rolle ist Leser im Hub. Die zweite Rolle ist die Rolle „Bereitstellungsoperator für Inference“, mit der der Benutzer Bereitstellungen für die Ressourcengruppe erstellen kann, in der sich das Projekt befindet. Diese Rolle besteht aus den beiden Berechtigungen: "Microsoft.Authorization/*/read" und "Microsoft.Resources/deployments/*".
Um die End-to-End-KI-Entwicklung und -Bereitstellung abzuschließen, benötigen Benutzer in einem Projekt nur diese beiden automatisch zugewiesenen Rollen und entweder die Rolle Mitwirkender oder Azure KI-Entwickler.
Die zum Erstellen eines Projekts erforderlichen Mindestberechtigungen sind eine Rolle, welche die zulässige Aktion Microsoft.MachineLearningServices/workspaces/hubs/join für den Hub hat. Die integrierte Azure II-Entwicklerrolle verfügt über diese Berechtigung.
Azure RBAC-Berechtigungen des Abhängigkeitsdiensts
Der Hub ist von anderen Azure-Diensten abhängig. In der folgenden Tabelle sind die Berechtigungen aufgeführt, die für diese Dienste erforderlich sind, wenn Sie einen Hub erstellen. Die Person, die den Hub erstellt, benötigt diese Berechtigungen. Die Person, die ein Projekt aus dem Hub erstellt, benötigt sie nicht.
| Erlaubnis | Zweck |
|---|---|
Microsoft.Storage/storageAccounts/write |
Erstellen Sie ein Speicherkonto mit den angegebenen Parametern oder aktualisieren Sie die Eigenschaften oder Tags oder fügen Sie eine benutzerdefinierte Domäne für das angegebene Speicherkonto hinzu. |
Microsoft.KeyVault/vaults/write |
Erstellt einen neuen Schlüsseltresor oder aktualisiert die Eigenschaften eines vorhandenen Schlüsseltresors. Bestimmte Eigenschaften erfordern möglicherweise mehr Berechtigungen. |
Microsoft.CognitiveServices/accounts/write |
API-Konten schreiben. |
Microsoft.MachineLearningServices/workspaces/write |
Erstellt einen Arbeitsbereich oder aktualisiert die Eigenschaften eines vorhandenen Arbeitsbereichs. |
Beispiel für die Unternehmens-RBAC-Einrichtung
In der folgenden Tabelle finden Sie ein Beispiel dafür, wie Sie eine rollenbasierte Zugriffskontrolle für Ihr Azure KI Foundry für ein Unternehmen einrichten.
| Persona | Rolle | Zweck |
|---|---|---|
| IT-Administrator | Besitzer des Hubs. | Der IT-Administrator kann sicherstellen, dass der Hub für seine Unternehmensstandards eingerichtet ist. Sie können Managern die Rolle „Mitwirkender“ für die Ressource zuweisen, wenn sie Managern ermöglichen möchten, neue Hubs zu erstellen. Oder sie können Managern die Azure KI-Entwicklerrolle für die Ressource zuweisen, um keine neue Huberstellung zuzulassen. |
| Manager | Mitwirkender oder Azure KI-Entwickler im Hub | Manager können den Hub verwalten, Computeressourcen überwachen, Verbindungen überwachen und freigegebene Verbindungen erstellen. |
| Teamleiter/Leitender Entwickler | Azure KI-Entwickler im Hub | Leitende Entwickler können Projekte für ihr Team erstellen und gemeinsame Ressourcen (z. B. Rechenleistung und Verbindungen) auf der Hubebene anlegen. Nach der Projekterstellung können Projektbesitzer andere Mitglieder einladen. |
| Teammitglieder/Entwickler | Mitwirkender oder Azure KI-Entwickler im Projekt | Entwickler können KI-Modelle in einem Projekt erstellen und bereitstellen und Ressourcen erstellen, die Entwicklung ermöglichen, z. B. Berechnungen und Verbindungen. |
Zugriff auf Ressourcen, die außerhalb des Hubs erstellt wurden
Wenn Sie einen Hub erstellen, gewähren Ihnen die integrierten rollenbasierten Zugriffssteuerungsberechtigungen Zugriff auf die Verwendung der Ressource. Wenn Sie jedoch Ressourcen nutzen möchten, die nicht in Ihrem Namen erstellt wurden, müssen Sie beides sicherstellen:
- Die Ressource, die Sie verwenden möchten, verfügt über Berechtigungen, die Ihnen den Zugriff darauf ermöglichen.
- Ihr Hub darf darauf zugreifen.
Wenn Sie beispielsweise versuchen, einen neuen Blob-Speicher zu nutzen, müssen Sie sicherstellen, dass die verwaltete Identität des Hubs der Blob Storage-Leserrolle für das Blob hinzugefügt wird. Wenn Sie versuchen, eine neue Azure KI Search-Quelle zu verwenden, müssen Sie möglicherweise den Hub zu den Rollenzuweisungen der Azure KI Search hinzufügen.
Zugriffsverwaltung mit Rollen
Wenn Sie besitzende Person eines Hubs sind, können Sie für Azure KI Foundry Rollen hinzufügen und entfernen. Wechseln Sie in Azure KI Foundry zur Seite Home, und wählen Sie Ihren Hub. Wählen Sie dann Benutzer, um Benutzer für den Hub hinzuzufügen und zu entfernen. Sie können Berechtigungen auch über das Azure-Portal unter Access Control (IAM) oder über die Azure CLI verwalten. Um beispielsweise die Azure AI-Entwicklerrolle "joe@contoso.com" für die Ressourcengruppe "this-rg" im Abonnement mit einer ID zuzuweisen 00000000-0000-0000-0000-000000000000, können Sie den folgenden Azure CLI-Befehl verwenden:
az role assignment create --role "Azure AI Developer" --assignee "joe@contoso.com" --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/this-rg
Erstellen von benutzerdefinierten Rollen
Wenn die integrierten Rolle nicht ausreichend sind, können Sie benutzerdefinierte Rollen erstellen. Benutzerdefinierte Rollen können über Berechtigungen zum Lesen, Schreiben, Löschen und für Computeressourcen in diesem Azure KI Foundry verfügen. Sie können die Rolle auf einer bestimmten Projektebene, einer bestimmten Ressourcengruppenebene oder einer bestimmten Abonnementebene verfügbar machen.
Hinweis
Sie müssen auf der entsprechenden Ebene Besitzer der Ressource sein, um eine benutzerdefinierte Rolle in dieser Ressource erstellen zu können.
Im folgenden JSON-Beispiel wird eine benutzerdefinierte Azure KI Foundry-Entwicklerrolle auf Abonnementebene definiert:
{
"properties": {
"roleName": "Azure AI Foundry Developer",
"description": "Custom role for Azure AI Foundry. At subscription level",
"assignableScopes": [
"/subscriptions/<your-subscription-id>"
],
"permissions": [
{
"actions": [
"Microsoft.MachineLearningServices/workspaces/write",
"Microsoft.MachineLearningServices/workspaces/endpoints/write",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.KeyVault/vaults/write",
"Microsoft.Authorization/roleAssignments/read",
"Microsoft.Authorization/roleDefinitions/read",
"Microsoft.CognitiveServices/*/read"
],
"notActions": [
"Microsoft.MachineLearningServices/workspaces/delete",
"Microsoft.MachineLearningServices/workspaces/write",
"Microsoft.MachineLearningServices/workspaces/listKeys/action",
"Microsoft.MachineLearningServices/workspaces/hubs/write",
"Microsoft.MachineLearningServices/workspaces/hubs/delete",
"Microsoft.MachineLearningServices/workspaces/featurestores/write",
"Microsoft.MachineLearningServices/workspaces/featurestores/delete"
],
"dataActions": [
"Microsoft.CognitiveServices/accounts/OpenAI/*/read",
"Microsoft.CognitiveServices/accounts/OpenAI/engines/completions/action",
"Microsoft.CognitiveServices/accounts/OpenAI/engines/search/action",
"Microsoft.CognitiveServices/accounts/OpenAI/engines/generate/action",
"Microsoft.CognitiveServices/accounts/OpenAI/deployments/search/action",
"Microsoft.CognitiveServices/accounts/OpenAI/deployments/completions/action",
"Microsoft.CognitiveServices/accounts/OpenAI/deployments/chat/completions/action",
"Microsoft.CognitiveServices/accounts/OpenAI/deployments/extensions/chat/completions/action",
"Microsoft.CognitiveServices/accounts/OpenAI/deployments/embeddings/action",
"Microsoft.CognitiveServices/accounts/OpenAI/images/generations/action"
],
"notDataActions": []
}
]
}
}
Schritte zum Erstellen einer benutzerdefinierten Rolle finden Sie in den folgenden Artikeln:
Weitere Informationen zum Erstellen benutzerdefinierter Rollen im Allgemeinen finden Sie im Artikel Benutzerdefinierte Azure-Rollen.
Zuweisen von Rollen im Azure KI Foundry-Portal
Sie können direkt in Azure KI Foundry auf Hub- oder Projekt Benutzer hinzufügen und Rollen zuweisen. Wählen Sie im Verwaltungscenter im Hub- oder Projektabschnitt die Option Benutzer und dann Neuer Benutzer, um einen Benutzer hinzuzufügen.
Hinweis
Sie sind darauf beschränkt, vordefinierte Rollen auszuwählen. Wenn Sie benutzerdefinierte Rollen zuweisen müssen, müssen Sie das Azure-Portal, die Azure CLI oder Azure PowerShell verwenden.
Anschließend werden Sie aufgefordert, die Benutzerinformationen einzugeben und eine integrierte Rolle auszuwählen.
Szenario: Verwenden eines vom Kunden verwalteten Schlüssels
Beim Konfigurieren eines Hubs für die Verwendung eines kundenseitig verwalteten Schlüssels (CMK) wird eine Azure Key Vault-Instanz verwendet, um den Schlüssel zu speichern. Der Benutzer- oder Dienstprinzipal, der zum Erstellen des Arbeitsbereichs verwendet wird, muss über die Zugriffsberechtigung der Rolle „Besitzer“ oder „Mitwirkender“ für den Schlüsseltresor verfügen.
Wenn Ihr Azure KI Foundry-Hub mit einer benutzerseitig zugewiesenen verwalteten Identität konfiguriert ist, müssen der Identität den folgenden Rollen zugewiesen werden. Mit diesen Rollen kann die verwaltete Identität die Azure Storage-, Azure Cosmos DB- und Azure Search-Ressourcen erstellen, die bei Verwendung eines vom Kunden verwalteten Schlüssels verwendet werden:
Microsoft.Storage/storageAccounts/writeMicrosoft.Search/searchServices/writeMicrosoft.DocumentDB/databaseAccounts/write
Innerhalb des Schlüsseltresors muss dem Benutzer- oder Dienstprinzipal über eine Schlüsseltresor-Zugriffsrichtlinie Zugriff für das Erstellen, Abrufen, Löschen und Bereinigen des Schlüssels zugewiesen werden. Weitere Informationen finden Sie unter Azure Key Vault – Sicherheit.
Szenario: Verbindungen mit Microsoft Entra ID-Authentifizierung
Wenn Sie eine Verbindung erstellen, die die Microsoft Entra ID-Authentifizierung verwendet, müssen Sie Ihren Entwicklern Rollen zuweisen, damit diese auf die Ressource zugreifen können.
| Ressourcenverbindung | Rolle | BESCHREIBUNG |
|---|---|---|
| Azure KI-Suche | Beitragender | Listen Sie die API-Schlüsseln aus Azure KI Foundry auf, um die Indizes aufzulisten. |
| Azure KI-Suche | Mitwirkender an Suchindexdaten | Erforderlich für Indizierungsszenarien |
| Azure KI Services/Azure OpenAI | Cognitive Services OpenAI-Mitwirkender | Rufen Sie die öffentliche Erfassungs-API in Azure KI Foundry auf. |
| Azure KI Services/Azure OpenAI | Cognitive Services-Benutzer | Listen Sie die API-Schlüssel aus Azure KI Foundry auf. |
| Azure KI Services/Azure OpenAI | Mitwirkender für Cognitive Services | Ermöglicht Aufrufe der Steuerungsebene. |
| Azure Blob Storage (Speicherdienst von Azure für unstrukturierte Daten) | Mitwirkender an Storage-Blob-Daten | Erforderlich zum Lesen und Schreiben von Daten in den Blob Storage. |
| Azure Data Lake Storage Gen2 | Mitwirkender an Storage-Blob-Daten | Erforderlich zum Lesen und Schreiben von Daten in den Data Lake. |
| Microsoft OneLake | Beitragender | Um einer Person Zugriff auf Microsoft OneLake zu gewähren, müssen Sie ihnen Zugriff auf Ihren Microsoft Fabric-Arbeitsbereich gewähren. |
Von Bedeutung
Wenn Sie Promptflow mit Azure Storage (einschließlich Azure Data Lake Storage Gen 2) verwenden, müssen Sie auch die Rolle " Privilegierter Mitwirkender von Speicherdateidaten " zuweisen.
Bei Verwendung von authentifizierten Verbindungen in Microsoft Entra ID im Chat-Playground müssen sich die Dienste gegenseitig autorisieren, um auf die erforderlichen Ressourcen zuzugreifen. Administrator*innen, die die Konfiguration ausführen, benötigen die Rolle Owner für diese Ressourcen, um Rollenzuweisungen hinzuzufügen. In der folgenden Tabelle werden die für jede Ressource erforderlichen Rollenzuweisungen aufgelistet. Die Spalte Zugewiesene Person bezieht sich auf die systemseitig zugewiesene verwaltete Identität der aufgelisteten Ressource. Die Spalte Ressource bezieht sich auf die Ressource, auf die die zugewiesene Person zugreifen muss. Azure OpenAI verfügt beispielsweise über eine systemseitig zugewiesene verwaltete Identität, die der Rolle Suchindexdatenleser für die Ressource von Azure KI-Suche zugewiesen werden muss.
| Rolle | Zugewiesene Person | Ressource | BESCHREIBUNG |
|---|---|---|---|
| Suchindexdatenleser | Azure KI Services/Azure OpenAI | Azure KI-Suche | Der Rückschlussdienst fragt die Daten aus dem Index ab. Wird nur für Rückschlussszenarien verwendet. |
| Mitwirkender an Suchindexdaten | Azure KI Services/Azure OpenAI | Azure KI-Suche | Lese-/Schreibzugriff auf Inhalte in Indizes. Importieren, Aktualisieren oder Abfragen der Dokumentensammlung eines Indexes. Wird nur für Erfassungs- und Rückschlussszenarien verwendet. |
| Mitwirkender von Suchdienst | Azure KI Services/Azure OpenAI | Azure KI-Suche | Lese-/Schreibzugriff auf Objektdefinitionen (Indizes, Aliase, Synonymzuordnungen, Indexer, Datenquellen und Skillsets). Der Rückschlussdienst fragt das Indexschema für die automatische Feldzuordnung ab. Der Datenerfassungsdienst erstellt den Index, Datenquellen, Skills und den Indexer und fragt den Indexerstatus ab. |
| Cognitive Services OpenAI-Mitwirkender | Azure KI-Suche | Azure KI Services/Azure OpenAI | Benutzerdefinierte Fähigkeit |
| Kognitive Dienste OpenAI-Nutzer | Azure OpenAI-Ressource für das Chatmodell | Azure OpenAI-Ressource für das Einbettungsmodell | Nur erforderlich, wenn zwei Azure OpenAI-Ressourcen für die Kommunikation verwendet werden. |
| Mitwirkender an Storage-Blob-Daten | Azure KI-Suche | Azure Storage-Konto | Liest Blobs und schreibt in den Wissensspeicher. |
| Mitwirkender an Storage-Blob-Daten | Azure KI Services/Azure OpenAI | Azure Storage-Konto | Liest aus dem Eingabecontainer und schreibt die vorverarbeitete Ergebnisse in den Ausgabecontainer. |
Hinweis
Die Rolle "Cognitive Services OpenAI User " ist nur erforderlich, wenn Sie zwei Azure OpenAI-Ressourcen verwenden: eine für Ihr Chatmodell und eine für Ihr Einbettungsmodell. Wenn dies zutrifft, aktivieren Sie Vertrauenswürdige Dienste und stellen Sie sicher, dass in der Verbindung für Ihr Einbettungsmodell der Azure OpenAI-Ressource Microsoft Entra ID aktiviert ist.
Szenario: Verwenden einer vorhandenen Azure OpenAI-Ressource
Wenn Sie eine Verbindung zu einer bestehenden Azure OpenAI-Ressource erstellen, müssen Sie Ihren Benutzerinnen und Benutzern auch Rollen zuweisen, damit diese auf die Ressource zugreifen können. Sie sollten entweder die Rolle Cognitive Services OpenAI-Benutzerin oder -Benutzer oder Cognitive Services OpenAI-Mitwirkende zuweisen, je nach den Aufgaben, die sie ausführen müssen. Informationen zu diesen Rollen und den von ihnen aktivierten Aufgaben finden Sie unter Azure OpenAI-Rollen.
Szenario: Verwenden von Azure Container Registry
Eine Azure Container Registry-Instanz ist eine optionale Abhängigkeit für Azure KI Foundry-Hub. In der folgenden Tabelle ist die Unterstützungsmatrix bei der Authentifizierung eines Hubs bei Azure Container Registry abhängig von der Authentifizierungsmethode und der Konfiguration des Zugriffs auf das öffentliche Netzwerk für Azure Container Registry aufgeführt.
| Authentifizierungsmethode | Öffentlicher Netzwerkzugriff ist deaktiviert |
Azure Container Registry Zugriff auf öffentliches Netzwerk aktiviert |
|---|---|---|
| Administratorbenutzer | ✓ | ✓ |
| Systemseitig zugewiesene verwalteten Identität für Azure KI Foundry-Hub | ✓ | ✓ |
| Benutzerseitig zugewiesene verwalteten Identität für Azure KI Foundry-Hub mit der ACRPull-Rolle, die der Identität zugewiesen ist |
✓ |
Eine systemseitig zugewiesene verwaltete Identität wird automatisch den richtigen Rollen zugewiesen, wenn der Hub erstellt wird. Wenn Sie eine benutzerseitig zugewiesene verwaltete Identität verwenden, müssen Sie ihr die die Rolle ACRPull zuweisen.
Szenario: Verwenden von Azure Application Insights für die Protokollierung
Azure Application Insights ist eine optionale Abhängigkeit für den Azure KI Foundry-Hub. In der folgenden Tabelle sind die erforderlichen Berechtigungen aufgeführt, wenn Sie beim Erstellen eines Hubs Application Insights verwenden möchten. Die Person, die den Hub erstellt, benötigt diese Berechtigungen. Die Person, die ein Projekt aus dem Hub erstellt, benötigt diese Berechtigungen nicht.
| Erlaubnis | Zweck |
|---|---|
Microsoft.Insights/Components/Write |
Schreiben in eine Komponentenkonfiguration für Anwendungseinblicke |
Microsoft.OperationalInsights/workspaces/write |
Erstellen Sie einen neuen Arbeitsbereich oder Links zu einem bestehenden Arbeitsbereich, indem Sie die Kunden-ID des bestehenden Arbeitsbereichs angeben. |
Szenario: Beschaffung bereitgestellter Durchsatzeinheiten
Im folgenden Beispiel wird eine benutzerdefinierte Rolle definiert, die bereitgestellte Durchsatzeinheiten (PTU) beschaffen kann.
{
"properties": {
"roleName": "PTU procurer",
"description": "Custom role to purchase PTU",
"assignableScopes": [
"/subscriptions/<your-subscription-id>"
],
"permissions": [
{
"actions": [
"Microsoft.CognitiveServices/accounts/commitmentplans/read",
"Microsoft.CognitiveServices/accounts/commitmentplans/write",
"Microsoft.CognitiveServices/accounts/commitmentplans/delete",
"Microsoft.CognitiveServices/locations/commitmentTiers/read",
"Microsoft.CognitiveServices/accounts/commitmentplans/read",
"Microsoft.CognitiveServices/accounts/commitmentplans/write",
"Microsoft.CognitiveServices/accounts/commitmentplans/delete",
"Microsoft.Features/features/read",
"Microsoft.Features/providers/features/read",
"Microsoft.Features/providers/features/register/action",
"Microsoft.Insights/logDefinitions/read",
"Microsoft.Insights/metricdefinitions/read",
"Microsoft.Insights/metrics/read",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/operations/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourcegroups/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Szenario: Azure OpenAI Assistants-API
Im folgenden Beispiel wird eine Rolle für einen Entwickler mithilfe von Azure OpenAI Assistants definiert.
{
"id": "",
"properties": {
"roleName": "Azure OpenAI Assistants API Developer",
"description": "Custom role to work with Azure OpenAI Assistants API",
"assignableScopes": [
"<your-scope>"
],
"permissions": [
{
"actions": [
"Microsoft.CognitiveServices/*/read",
"Microsoft.Authorization/roleAssignments/read",
"Microsoft.Authorization/roleDefinitions/read"
],
"notActions": [],
"dataActions": [
"Microsoft.CognitiveServices/accounts/OpenAI/*/read",
"Microsoft.CognitiveServices/accounts/OpenAI/engines/completions/action",
"Microsoft.CognitiveServices/accounts/OpenAI/engines/search/action",
"Microsoft.CognitiveServices/accounts/OpenAI/engines/generate/action",
"Microsoft.CognitiveServices/accounts/OpenAI/deployments/search/action",
"Microsoft.CognitiveServices/accounts/OpenAI/deployments/completions/action",
"Microsoft.CognitiveServices/accounts/OpenAI/deployments/chat/completions/action",
"Microsoft.CognitiveServices/accounts/OpenAI/deployments/extensions/chat/completions/action",
"Microsoft.CognitiveServices/accounts/OpenAI/deployments/embeddings/action",
"Microsoft.CognitiveServices/accounts/OpenAI/images/generations/action",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/write",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/read",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/delete",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/files/write",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/files/read",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/files/delete",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/threads/write",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/threads/read",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/threads/delete",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/threads/messages/write",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/threads/messages/read",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/threads/messages/files/read",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/threads/runs/write",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/threads/runs/read",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/threads/runs/steps/read"
],
"notDataActions": []
}
]
}
}
Problembehandlung
Fehler: Prinzipal hat keinen Zugriff auf API/Vorgang
Symptome
Wenn Sie den Azure AI Foundry-Portal-Chat-Playground verwenden, wird eine Fehlermeldung mit der Meldung "Prinzipal hat keinen Zugriff auf API/Operation" angezeigt. Der Fehler kann auch eine "Apim-request-id" enthalten.
Ursache
Der Benutzer oder Dienstprinzipal, der zum Authentifizieren von Anforderungen an Azure OpenAI oder Azure AI Search verwendet wird, verfügt nicht über die erforderlichen Berechtigungen für den Zugriff auf die Ressource.
Lösung
Weisen Sie dem Benutzer oder Dienstprinzipal die folgenden Rollen zu. Die Rolle, die Sie zuweisen, hängt von den Diensten ab, die Sie verwenden, und der Zugriffsebene, die der Benutzer oder der Dienstprinzipal erfordert:
| Dienst, auf den zugegriffen wird | Rolle | BESCHREIBUNG |
|---|---|---|
| Azure OpenAI | Cognitive Services OpenAI-Mitwirkender | Rufen Sie die öffentliche Erfassungs-API in Azure KI Foundry auf. |
| Azure OpenAI | Cognitive Services-Benutzer | Listen Sie die API-Schlüssel aus Azure KI Foundry auf. |
| Azure KI-Suche | Mitwirkender an Suchindexdaten | Erforderlich für Indizierungsszenarien. |
| Azure KI-Suche | Suchindexdatenleser | Der Rückschlussdienst fragt die Daten aus dem Index ab. Wird nur für Rückschlussszenarien verwendet. |
Zurückkehren zur Rolle „Mitwirkender“
Wenn Sie einen neuen Hub erstellen und Fehler im Zusammenhang mit der neuen Standardrollenzuweisung „Azure KI-Administrator“ für die verwaltete Identität auftreten, führen Sie die folgenden Schritte aus, um die Rolle für den Hub in „Mitwirkender“ zu ändern:
Von Bedeutung
Es wird davon abgeraten, für einen Hub die Rolle „Mitwirkender“ wiederherzustellen, es sei denn, es treten Probleme auf. Wenn das Wiederherstellen die aufgetretenen Probleme löst, legen Sie einen Supportincident mit Informationen zu den Problemen an, die durch das Wiederherstellen gelöst wurden, um weitere Nachforschungen zu ermöglichen.
Wenn Sie als Standard für neue Hubs zur Rolle „Mitwirkender“ zurückkehren möchten, öffnen Sie eine Supportanfrage mit den Details Ihres Azure-Abonnements, und fordern Sie an, dass Ihr Abonnement geändert wird, um die Rolle „Mitwirkender“ als Standard für die systemseitig zugewiesene verwaltete Identität neuer Hubs zu verwenden.
Löschen Sie die Rollenzuweisung für die verwaltete Identität des Hubs. Der Bereich dieser Rollenzuweisung ist die Ressourcengruppe, die den Hub enthält. Die Rolle muss daher aus der Ressourcengruppe gelöscht werden.
Tipp
Der Name der systemseitig zugewiesenen verwalteten Identität für den Hub ist mit dem Hubnamen identisch.
Navigieren Sie im Azure-Portal zur Ressourcengruppe, die den Hub enthält. Wählen Sie Zugriffssteuerung (IAM) und anschließend Rollenzuweisungen aus. Suchen Sie in der Liste der Rollenzuweisungen nach der Rollenzuweisung für die verwaltete Identität. Wählen Sie diese aus, und klicken Sie dann auf Löschen.
Informationen zum Löschen einer Rollenzuweisung finden Sie unter Entfernen von Rollenzuweisungen.
Erstellen Sie für die Ressourcengruppe eine neue Rollenzuweisung für die Rolle Mitwirkender. Wählen Sie beim Hinzufügen dieser Rollenzuweisung die verwaltete Identität für den Hub als zugewiesene Person aus. Der Name der systemseitig zugewiesenen verwalteten Identität entspricht dem Hubnamen.
- Navigieren Sie im Azure-Portal zur Ressourcengruppe, die den Hub enthält. Wählen Sie Zugriffssteuerung (IAM) und anschließend Rollenzuweisung hinzufügen aus.
- Wählen Sie auf der Registerkarte Rolle die Option Mitwirkender aus.
- Wählen Sie auf der Registerkarte Mitglieder zunächst Verwaltete Identität aus, dann + Mitglieder auswählen, und ändern Sie anschließend die Dropdownliste Verwaltete Identität zu Azure AI-Hub. Geben Sie den Namen des Hubs in das Feld Auswählen ein. Wählen Sie in der Liste den Hub und dann Auswählen aus.
- Wählen Sie auf der Registerkarte Überprüfen und zuweisen die Option Überprüfen und zuweisen aus.
Nächste Schritte
- Erstellen eines Azure AI Foundry-Hubs
- Erstellen eines Azure KI Foundry-Projekts
- Erstellen einer Verbindung im Azure KI Foundry-Portal