Contrôle d’accès en fonction du rôle dans Azure AI Studio
Important
Certaines des fonctionnalités décrites dans cet article peuvent uniquement être disponibles en préversion. Cette préversion est fournie sans contrat de niveau de service, nous la déconseillons dans des charges de travail de production. Certaines fonctionnalités peuvent être limitées ou non prises en charge. Pour plus d’informations, consultez Conditions d’Utilisation Supplémentaires relatives aux Évaluations Microsoft Azure.
Cet article explique comment gérer l’accès (autorisation) à un hub Azure AI Studio. Le contrôle d’accès en fonction du rôle Azure (Azure RBAC) est utilisé pour gérer l’accès aux ressources Azure, comme la possibilité de créer des ressources ou d’utiliser celles qui existent déjà. Les utilisateurs de votre Microsoft Entra ID reçoivent des rôles spécifiques, qui octroient l’accès aux ressources. Azure propose des rôles intégrés et permet de créer des rôles personnalisés.
Avertissement
L’application de certains rôles peut limiter les fonctionnalités de l’interface utilisateur dans Azure AI Studio pour d’autres utilisateurs. Par exemple, si le rôle d’un utilisateur ne permet pas de créer une instance de calcul, l’option de création d’une instance de calcul n’est pas disponible dans Studio. Ce comportement est attendu et empêche l’utilisateur de tenter des opérations qui retourneraient une erreur d’accès refusé.
Hub et projet AI Studio
Dans Azure AI Studio, il existe deux niveaux d’accès : le hub et le projet. Le hub héberge l’infrastructure (y compris la configuration du réseau virtuel, les clés gérées par le client, les identités managées et les stratégies), ainsi que l’emplacement auquel vous configurez vos services Azure AI. L’accès au hub peut vous permettre de modifier l’infrastructure, ainsi que de créer des hubs et des projets. Un projet est un sous-ensemble du hub qui joue le rôle d’espace de travail vous permettant de créer et de déployer des systèmes IA. Dans un projet, vous pouvez développer des flux, déployer des modèles et gérer des ressources de projet. L’accès au projet vous permet de développer l’IA de bout en bout tout en tirant parti de la configuration de l’infrastructure sur le hub.
Un des principaux avantages de la relation entre le hub et le projet est que les développeurs peuvent créer leurs propres projets qui héritent des paramètres de sécurité du hub. Vous pouvez également avoir des développeurs qui contribuent à un projet et ne peuvent pas en créer de nouveaux.
Rôles par défaut pour le hub
Le hub AI Studio a des rôles intégrés disponibles par défaut.
Voici un tableau reprenant les rôles intégrés et les autorisations correspondantes pour le hub :
| Rôle | Description |
|---|---|
| Propriétaire | Accès complet au hub, notamment la possibilité de gérer et de créer des hubs et d’attribuer des autorisations. Ce rôle est automatiquement attribué au créateur du hub. |
| Contributeur | L’utilisateur dispose d’un accès complet au hub, notamment la possibilité de créer des hubs. Il ne peut toutefois pas gérer les autorisations liées au hub sur la ressource déjà existante. |
| Développeur Azure AI | Effectuer toutes les actions, à l’exception de la création de hubs et de la gestion des autorisations du hub. Par exemple, les utilisateurs peuvent créer des projets, des calculs et des connexions. Les utilisateurs peuvent attribuer des autorisations au sein de leur projet. Les utilisateurs peuvent interagir avec des ressources Azure AI existantes telles qu’Azure OpenAI, Azure AI Search et Azure AI services. |
| Opérateur de déploiement d’inférence Azure AI | Effectuez toutes les actions requises pour créer un déploiement de ressources au sein d’un groupe de ressources. |
| Lecteur | Accès en lecture seule au hub. Ce rôle est automatiquement attribué à tout les membres du projet au sein du hub. |
La principale différence entre le rôle Contributeur et le rôle Développeur Azure AI est la possibilité de créer des hubs. Si vous ne souhaitez pas que les utilisateurs puissent créer des hubs (en raison du quota, du coût ou de la gestion du nombre de hubs dont vous disposez), attribuez le rôle Développeur Azure AI.
Seuls les rôles Propriétaire et Contributeur vous permettent de créer un hub. À ce stade, les rôles personnalisés ne vous autorisent pas à créer des hubs.
L’ensemble complet d’autorisations pour le nouveau rôle « Développeur Azure AI » est le suivant :
{
"Permissions": [
{
"Actions": [
"Microsoft.MachineLearningServices/workspaces/*/read",
"Microsoft.MachineLearningServices/workspaces/*/action",
"Microsoft.MachineLearningServices/workspaces/*/delete",
"Microsoft.MachineLearningServices/workspaces/*/write"
],
"NotActions": [
"Microsoft.MachineLearningServices/workspaces/delete",
"Microsoft.MachineLearningServices/workspaces/write",
"Microsoft.MachineLearningServices/workspaces/listKeys/action",
"Microsoft.MachineLearningServices/workspaces/hubs/write",
"Microsoft.MachineLearningServices/workspaces/hubs/delete",
"Microsoft.MachineLearningServices/workspaces/featurestores/write",
"Microsoft.MachineLearningServices/workspaces/featurestores/delete"
],
"DataActions": [
"Microsoft.CognitiveServices/accounts/OpenAI/*",
"Microsoft.CognitiveServices/accounts/SpeechServices/*",
"Microsoft.CognitiveServices/accounts/ContentSafety/*"
],
"NotDataActions": [],
"Condition": null,
"ConditionVersion": null
}
]
}
Rôles par défaut pour les projets
Les projets dans AI Studio ont des rôles intégrés disponibles par défaut.
Voici un tableau reprenant les rôles intégrés et les autorisations correspondantes pour le projet :
| Rôle | Description |
|---|---|
| Propriétaire | Accès complet au projet, notamment la possibilité d’attribuer des autorisations aux utilisateurs du projet. |
| Contributeur | L’utilisateur à un accès complet au projet, mais ne peut pas attribuer des autorisations aux utilisateurs du projet. |
| Développeur Azure AI | L’utilisateur peut effectuer la plupart des actions, notamment créer des déploiements, mais ne peut pas attribuer d’autorisations aux utilisateurs du projet. |
| Opérateur de déploiement d’inférence Azure AI | Effectuez toutes les actions requises pour créer un déploiement de ressources au sein d’un groupe de ressources. |
| Lecteur | Accès en lecture seule au projet. |
Quand un utilisateur reçoit une autorisation d’accès à un projet (par exemple, au moyen de la gestion des autorisations AI Studio), deux autres rôles sont automatiquement attribués à l’utilisateur. Le premier rôle est Lecteur sur le hub. Le deuxième rôle est le rôle Opérateur de déploiement d’inférence, qui permet à l’utilisateur de créer des déploiements sur le groupe de ressources dans lequel se trouve le projet. Ce rôle se compose de ces deux autorisations : "Microsoft.Authorization/*/read" et "Microsoft.Resources/deployments/*".
Pour terminer le développement et le déploiement de l’IA de bout en bout, les utilisateurs n’ont besoin que de ces deux rôles attribués automatiquement et soit du rôle Contributeur ou du rôle Développeur Azure AI sur un projet.
Les autorisations minimales nécessaires pour créer un projet sont réunies dans un rôle qui a l’action autorisée Microsoft.MachineLearningServices/workspaces/hubs/join sur le hub. Le rôle intégré Développeur Azure AI a cette autorisation.
Autorisations Azure RBAC du service de dépendances
Le hub a des dépendances sur d’autres services Azure. Le tableau suivant répertorie les autorisations nécessaires pour ces services quand vous créez un hub. La personne qui crée le hub a besoin de ces autorisations. La personne qui crée un projet à partir du hub n’en a pas besoin.
| Autorisation | Objectif |
|---|---|
Microsoft.Storage/storageAccounts/write |
Créer un compte de stockage avec les paramètres spécifiés, ou mettre à jour les propriétés ou les étiquettes, ou ajouter un domaine personnalisé pour le compte de stockage spécifié. |
Microsoft.KeyVault/vaults/write |
Créer un coffre de clés ou mettre à jour les propriétés d’un coffre de clés existant. Certaines propriétés peuvent nécessiter plus d’autorisations. |
Microsoft.CognitiveServices/accounts/write |
Écrire des comptes d’API. |
Microsoft.MachineLearningServices/workspaces/write |
Créer un espace de travail ou mettre à jour les propriétés d’un espace de travail existant. |
Exemple de configuration RBAC d’entreprise
Le tableau suivant est un exemple qui décrit la configuration du contrôle d’accès en fonction du rôle pour votre instance Azure AI Studio pour une entreprise.
| Utilisateur | Rôle | Objectif |
|---|---|---|
| Administrateur informatique | Propriétaire du hub | L’administrateur informatique peut s’assurer que le hub est configuré selon ses normes d’entreprise. Il peut attribuer aux managers le rôle Contributeur sur la ressource pour leur permettre de créer des hubs. Il peut également attribuer aux managers le rôle Développeur Azure AI sur la ressource pour interdire la création d’un hub. |
| Managers | Contributeur ou Développeur Azure AI sur le hub | Les managers peuvent gérer le hub, auditer les ressources de calcul, auditer les connexions et créer des connexions partagées. |
| Responsable d’équipe/Développeur responsable | Développeur Azure AI sur le hub | Les développeurs responsables peuvent créer des projets pour leur équipe et créer des ressources partagées (par exemple, un calcul et des connexions) au niveau du hub. Après la création du projet, les propriétaires de projet peuvent inviter d’autres membres. |
| Membres/développeurs d’équipe | Contributeur ou Développeur Azure AI sur le projet | Les développeurs peuvent créer et déployer des modèles IA au sein d’un projet et créer des ressources qui permettent le développement, comme les calculs et les connexions. |
Accès aux ressources créées en dehors du hub
Lorsque vous créez un hub, les autorisations intégrées de contrôle d’accès en fonction du rôle vous permettent d’accéder à l’utilisation de la ressource. Toutefois, si vous souhaitez utiliser des ressources en dehors de ce qui a été créé en votre nom, vous devez vous assurer que les deux :
- La ressource que vous essayez d’utiliser dispose d’autorisations configurées pour vous permettre d’y accéder.
- Votre hub est autorisé à y accéder.
Par exemple, si vous essayez d’utiliser un nouveau stockage d’objets blob, vous devez vous assurer que l’identité managée du hub est ajoutée au rôle Lecteur de stockage Blob pour l’objet blob. Si vous essayez d’utiliser une nouvelle source Recherche Azure AI, vous devrez peut-être ajouter le hub aux attributions de rôles de Recherche Azure AI.
Gérer l’accès avec des rôles
En tant que propriétaire d’un hub, vous pouvez ajouter et supprimer des rôles pour AI Studio. Accédez à la page Accueil dans AI Studio et sélectionnez votre hub. Sélectionnez ensuite Utilisateurs pour ajouter et supprimer des utilisateurs pour le hub. Vous pouvez également gérer les autorisations à partir du portail Azure sous Contrôle d’accès (IAM) ou via Azure CLI. Par exemple, utilisez Azure CLI pour attribuer le rôle Développeur Azure AI à « joe@contoso.com » pour le groupe de ressources « this-rg » avec la commande suivante :
az role assignment create --role "Azure AI Developer" --assignee "joe@contoso.com" --resource-group this-rg
Créer des rôles personnalisées
Remarque
Pour créer un hub, vous avez besoin du rôle Propriétaire ou Contributeur. À ce stade, un rôle personnalisé, même avec toutes les actions autorisées, ne vous permet pas de créer un hub.
Si les rôles intégrés ne suffisent pas, vous pouvez créer des rôles personnalisés. Les rôles personnalisés peuvent disposer d’autorisations en lecture, écriture, suppression et calcul dans AI Studio. Vous pouvez rendre le rôle disponible au niveau d’un projet spécifique, d’un groupe de ressources spécifique ou d’un abonnement spécifique.
Remarque
Vous devez être propriétaire de la ressource à ce niveau pour créer des rôles personnalisés au sein de cette ressource.
Scénario : utiliser une clé gérée par le client
Lorsque vous configurez un hub pour utiliser une clé gérée par le client (CMK), une instance Key Vault Azure est utilisée pour stocker la clé. L’utilisateur ou le principal de service utilisé pour créer l’espace de travail doit avoir un accès propriétaire ou contributeur au coffre de clés.
Si votre hub AI Studio est configuré avec une identité managée affectée par l’utilisateur(-trice), les rôles suivants doivent être octroyés à l’identité. Ces rôles permettent à l’identité managée de créer les ressources Stockage Azure, Azure Cosmos DB et Recherche Azure utilisées lors de l’utilisation d’une clé gérée par le client :
Microsoft.Storage/storageAccounts/writeMicrosoft.Search/searchServices/writeMicrosoft.DocumentDB/databaseAccounts/write
Dans le coffre de clés, l’utilisateur ou le principal de service doit avoir l’accès pour créer, obtenir, supprimer et vider la clé via une stratégie d’accès au coffre de clés. Pour plus d'informations, consultez Sécurité Azure Key Vault.
Scénario : utiliser une ressource Azure OpenAI existante
Lorsque vous créez une connexion à une ressource Azure OpenAI existante, vous devez également attribuer des rôles à vos utilisateurs afin qu’ils puissent accéder à la ressource. Vous devez attribuer le rôle Utilisateur OpenAI Cognitive Services ou Contributeur OpenAI Cognitive Services en fonction des tâches qu’ils doivent effectuer. Pour obtenir des informations sur ces rôles et les tâches qu’ils permettent, consultes Rôles Azure OpenAI.
Scénario : Utiliser Azure Container Registry
Une instance Azure Container Registry est une dépendance facultative pour un hub Azure AI Studio. Le tableau suivant fournit la matrice de prise en charge lors de l’authentification d’un hub auprès d’Azure Container Registry, en fonction de la méthode d’authentification et de la configuration d’accès au réseau public d’Azure Container Registry.
| Méthode d'authentification | Accès au réseau public désactivé |
Accès au réseau public activé Azure Container Registry |
|---|---|---|
| Utilisateur administrateur | ✓ | ✓ |
| Identité managée affectée par le système de hub AI Studio | ✓ | ✓ |
| Identité managée affectée par l’utilisateur de hub AI Studio avec le rôle ACRPull attribué à l’identité |
✓ |
Une identité managée affectée par le système est automatiquement affectée aux rôles appropriés lors de la création du hub. Si vous utilisez une identité managée affectée par l’utilisateur, vous devez affecter le rôle ACRPull à l’identité.
Scénario : Utiliser Azure Application Insights pour la journalisation
Azure Application Insights est une dépendance facultative pour un hub Azure AI Studio. Le tableau suivant répertorie les autorisations requises si vous souhaitez utiliser Application Insights lorsque vous créez un hub. La personne qui crée le hub a besoin de ces autorisations. La personne qui crée un projet à partir du hub n’en a pas besoin.
| Autorisation | Objectif |
|---|---|
Microsoft.Insights/Components/Write |
Écrire dans une configuration de composant Application Insights. |
Microsoft.OperationalInsights/workspaces/write |
Créer un espace de travail ou lier un espace de travail existant en fournissant l’ID client de l’espace de travail existant. |
Étapes suivantes
Commentaires
Bientôt disponible : Tout au long de l’année 2024, nous abandonnerons progressivement le mécanisme de retour d’information GitHub Issues pour le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez : https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour