Kontrol akses berbasis peran di Azure AI Studio
Penting
Beberapa fitur yang dijelaskan dalam artikel ini mungkin hanya tersedia dalam pratinjau. Pratinjau ini disediakan tanpa perjanjian tingkat layanan, dan kami tidak merekomendasikannya untuk beban kerja produksi. Fitur tertentu mungkin tidak didukung atau mungkin memiliki kemampuan terbatas. Untuk mengetahui informasi selengkapnya, lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure.
Dalam artikel ini, Anda mempelajari cara mengelola akses (otorisasi) ke hub Azure AI Studio. Kontrol akses berbasis peran Azure (Azure RBAC) digunakan untuk mengelola akses ke sumber daya Azure, seperti kemampuan untuk membuat sumber daya baru atau menggunakan sumber daya yang sudah ada. Pengguna di ID Microsoft Entra Anda diberi peran tertentu, yang memberikan akses ke sumber daya. Azure menyediakan peran bawaan dan kemampuan untuk membuat peran kustom.
Peringatan
Menerapkan beberapa peran mungkin membatasi fungsionalitas UI di Azure AI Studio untuk pengguna lain. Misalnya, jika peran pengguna tidak memiliki kemampuan untuk membuat instans komputasi, opsi untuk membuat instans komputasi tidak akan tersedia di studio. Ini adalah perilaku yang diharapkan, dan ini mencegah pengguna agar tidak mencoba operasi yang akan menampilkan kesalahan akses ditolak.
Hub AI Studio vs proyek
Di Azure AI Studio, ada dua tingkat akses: hub dan proyek. Hub adalah rumah untuk infrastruktur (termasuk penyiapan jaringan virtual, kunci yang dikelola pelanggan, identitas terkelola, dan kebijakan) dan tempat Anda mengonfigurasi layanan Azure AI Anda. Akses hub dapat memungkinkan Anda memodifikasi infrastruktur, membuat hub baru, dan membuat proyek. Proyek adalah subset hub yang bertindak sebagai ruang kerja yang memungkinkan Anda membangun dan menyebarkan sistem AI. Dalam proyek, Anda dapat mengembangkan alur, menyebarkan model, dan mengelola aset proyek. Akses proyek memungkinkan Anda mengembangkan AI end-to-end sambil memanfaatkan penyiapan infrastruktur di hub.
Salah satu manfaat utama hubungan hub dan proyek adalah pengembang dapat membuat proyek mereka sendiri yang mewarisi pengaturan keamanan hub. Anda mungkin juga memiliki pengembang yang merupakan kontributor proyek, dan tidak dapat membuat proyek baru.
Peran default untuk hub
Hub AI Studio memiliki peran bawaan yang tersedia secara default.
Berikut adalah tabel peran bawaan dan izinnya untuk hub:
| Peran | Deskripsi |
|---|---|
| Pemilik | Akses penuh ke hub, termasuk kemampuan untuk mengelola dan membuat hub baru dan menetapkan izin. Peran ini secara otomatis ditetapkan ke pembuat hub |
| Kontributor | Pengguna memiliki akses penuh ke hub, termasuk kemampuan untuk membuat hub baru, tetapi tidak dapat mengelola izin hub pada sumber daya yang ada. |
| Pengembang Azure AI | Lakukan semua tindakan kecuali buat hub baru dan kelola izin hub. Misalnya, pengguna dapat membuat proyek, komputasi, dan koneksi. Pengguna dapat menetapkan izin dalam proyek mereka. Pengguna dapat berinteraksi dengan sumber daya Azure AI yang ada seperti Layanan Azure OpenAI, Azure AI Search, dan Azure AI. |
| Pembaca | Baca hanya akses ke hub. Peran ini secara otomatis ditetapkan ke semua anggota proyek dalam hub. |
Perbedaan utama antara Kontributor dan Pengembang Azure AI adalah kemampuan untuk membuat hub baru. Jika Anda tidak ingin pengguna membuat hub baru (karena kuota, biaya, atau hanya mengelola berapa banyak hub yang Anda miliki), tetapkan peran Pengembang Azure AI.
Hanya peran Pemilik dan Kontributor yang memungkinkan Anda membuat hub. Saat ini, peran kustom tidak dapat memberi Anda izin untuk membuat hub.
Serangkaian izin lengkap untuk peran "Pengembang Azure AI" baru adalah sebagai berikut:
{
"Permissions": [
{
"Actions": [
"Microsoft.MachineLearningServices/workspaces/*/read",
"Microsoft.MachineLearningServices/workspaces/*/action",
"Microsoft.MachineLearningServices/workspaces/*/delete",
"Microsoft.MachineLearningServices/workspaces/*/write"
],
"NotActions": [
"Microsoft.MachineLearningServices/workspaces/delete",
"Microsoft.MachineLearningServices/workspaces/write",
"Microsoft.MachineLearningServices/workspaces/listKeys/action",
"Microsoft.MachineLearningServices/workspaces/hubs/write",
"Microsoft.MachineLearningServices/workspaces/hubs/delete",
"Microsoft.MachineLearningServices/workspaces/featurestores/write",
"Microsoft.MachineLearningServices/workspaces/featurestores/delete"
],
"DataActions": [
"Microsoft.CognitiveServices/accounts/OpenAI/*",
"Microsoft.CognitiveServices/accounts/SpeechServices/*",
"Microsoft.CognitiveServices/accounts/ContentSafety/*"
],
"NotDataActions": [],
"Condition": null,
"ConditionVersion": null
}
]
}
Peran default untuk proyek
Proyek di AI Studio memiliki peran bawaan yang tersedia secara default.
Berikut adalah tabel peran bawaan dan izinnya untuk proyek:
| Peran | Deskripsi |
|---|---|
| Pemilik | Akses penuh ke proyek, termasuk kemampuan untuk menetapkan izin kepada pengguna proyek. |
| Kontributor | Pengguna memiliki akses penuh ke proyek tetapi tidak dapat menetapkan izin untuk pengguna proyek. |
| Pengembang Azure AI | Pengguna dapat melakukan sebagian besar tindakan, termasuk membuat penyebaran, tetapi tidak dapat menetapkan izin kepada pengguna proyek. |
| Pembaca | Baca hanya akses ke proyek. |
Saat pengguna diberikan akses ke proyek (misalnya, melalui manajemen izin AI Studio), dua peran lagi secara otomatis ditetapkan kepada pengguna. Peran pertama adalah Pembaca di hub. Peran kedua adalah peran Operator Penyebaran Inferensi, yang memungkinkan pengguna untuk membuat penyebaran pada grup sumber daya tempat proyek berada. Peran ini terdiri dari dua izin ini: "Microsoft.Authorization/*/read" dan "Microsoft.Resources/deployments/*".
Untuk menyelesaikan pengembangan dan penyebaran AI end-to-end, pengguna hanya memerlukan dua peran yang ditetapkan otomatis ini dan peran Kontributor atau Pengembang Azure AI pada proyek.
Izin minimum yang diperlukan untuk membuat proyek adalah peran yang memiliki tindakan Microsoft.MachineLearningServices/workspaces/hubs/join yang diizinkan di hub. Peran bawaan Pengembang Azure AI memiliki izin ini.
Izin Azure RBAC layanan dependensi
Hub memiliki dependensi pada layanan Azure lainnya. Tabel berikut mencantumkan izin yang diperlukan untuk layanan ini saat Anda membuat hub. Orang yang membuat hub memerlukan izin ini. Orang yang membuat proyek dari hub tidak memerlukannya.
| Izin | Tujuan |
|---|---|
Microsoft.Storage/storageAccounts/write |
Buat akun penyimpanan dengan parameter yang ditentukan atau perbarui properti atau tag atau tambahkan domain kustom untuk akun penyimpanan yang ditentukan. |
Microsoft.KeyVault/vaults/write |
Buat brankas kunci baru atau perbarui properti brankas kunci yang ada. Properti tertentu mungkin memerlukan lebih banyak izin. |
Microsoft.CognitiveServices/accounts/write |
Tulis Akun API. |
Microsoft.MachineLearningServices/workspaces/write |
Buat ruang kerja baru atau perbarui properti ruang kerja yang sudah ada. |
Contoh penyiapan RBAC perusahaan
Tabel berikut ini adalah contoh cara menyiapkan kontrol akses berbasis peran untuk Azure AI Studio Anda untuk perusahaan.
| Persona | Peran | Tujuan |
|---|---|---|
| Admin TI | Pemilik hub | Admin TI dapat memastikan hub disiapkan ke standar perusahaan mereka. Mereka dapat menetapkan peran Kontributor kepada manajer pada sumber daya jika mereka ingin memungkinkan manajer untuk membuat hub baru. Atau mereka dapat menetapkan peran Pengembang Azure AI kepada manajer pada sumber daya untuk tidak mengizinkan pembuatan hub baru. |
| Manajer | Kontributor atau Pengembang Azure AI di hub | Manajer dapat mengelola hub, mengaudit sumber daya komputasi, mengaudit koneksi, dan membuat koneksi bersama. |
| Pengembang prospek/Prospek tim | Pengembang Azure AI di hub | Pengembang prospek dapat membuat proyek untuk tim mereka dan membuat sumber daya bersama (misalnya: komputasi dan koneksi) di tingkat hub. Setelah pembuatan proyek, pemilik proyek dapat mengundang anggota lain. |
| Anggota/pengembang tim | Kontributor atau Pengembang Azure AI pada proyek | Pengembang dapat membangun dan menyebarkan model AI dalam proyek dan membuat aset yang memungkinkan pengembangan seperti komputasi dan koneksi. |
Akses ke sumber daya yang dibuat di luar hub
Saat Anda membuat hub, izin kontrol akses berbasis peran bawaan memberi Anda akses untuk menggunakan sumber daya. Namun, jika Anda ingin menggunakan sumber daya di luar apa yang dibuat atas nama Anda, Anda perlu memastikan keduanya:
- Sumber daya yang coba Anda gunakan memiliki izin yang disiapkan untuk memungkinkan Anda mengaksesnya.
- Hub Anda diizinkan untuk mengaksesnya.
Misalnya, jika Anda mencoba menggunakan penyimpanan Blob baru, Anda perlu memastikan bahwa identitas terkelola hub ditambahkan ke peran Pembaca Penyimpanan Blob untuk Blob. Jika Anda mencoba menggunakan sumber Pencarian Azure AI baru, Anda mungkin perlu menambahkan hub ke penetapan peran Azure AI Search.
Mengelola akses dengan peran
Jika Anda adalah pemilik hub, Anda dapat menambahkan dan menghapus peran untuk AI Studio. Buka Halaman beranda di AI Studio dan pilih hub Anda. Lalu pilih Pengguna untuk menambahkan dan menghapus pengguna untuk hub. Anda juga dapat mengelola izin dari portal Azure di bawah Kontrol Akses (IAM) atau melalui Azure CLI. Misalnya, gunakan Azure CLI untuk menetapkan peran Pengembang Azure AI ke "joe@contoso.com" untuk grup sumber daya "this-rg" dengan perintah berikut:
az role assignment create --role "Azure AI Developer" --assignee "joe@contoso.com" --resource-group this-rg
Membuat peran kustom
Catatan
Untuk membuat hub baru, Anda memerlukan peran Pemilik atau Kontributor. Saat ini, peran kustom, bahkan dengan semua tindakan yang diizinkan, tidak akan memungkinkan Anda untuk membuat hub.
Jika peran bawaan tidak cukup, Anda dapat membuat peran kustom. Peran kustom mungkin memiliki izin baca, tulis, hapus, dan komputasi sumber daya di AI Studio tersebut. Anda dapat membuat peran tersedia pada tingkat proyek tertentu, tingkat grup sumber daya tertentu, atau tingkat langganan tertentu.
Catatan
Anda harus menjadi pemilik sumber daya pada tingkat tersebut untuk membuat peran kustom dalam sumber daya tersebut.
Skenario: Menggunakan kunci yang dikelola pelanggan
Saat mengonfigurasi hub untuk menggunakan kunci yang dikelola pelanggan (CMK), Azure Key Vault digunakan untuk menyimpan kunci. Perwakilan layanan atau pengguna yang digunakan untuk membuat ruang kerja harus memiliki akses pemilik atau kontributor ke brankas kunci.
Jika hub AI Studio Anda dikonfigurasi dengan identitas terkelola yang ditetapkan pengguna, identitas harus diberikan peran berikut. Peran ini memungkinkan identitas terkelola untuk membuat sumber daya Azure Storage, Azure Cosmos DB, dan Azure Search yang digunakan saat menggunakan kunci yang dikelola pelanggan:
Microsoft.Storage/storageAccounts/writeMicrosoft.Search/searchServices/writeMicrosoft.DocumentDB/databaseAccounts/write
Dalam brankas kunci, pengguna atau perwakilan layanan harus memiliki akses buat, dapatkan, hapus, dan hapus menyeluruh ke kunci melalui kebijakan akses brankas kunci. Untuk informasi selengkapnya, lihat Keamanan Azure Key Vault.
Skenario: Menggunakan sumber daya Azure OpenAI yang sudah ada
Saat membuat koneksi ke sumber daya Azure OpenAI yang ada, Anda juga harus menetapkan peran kepada pengguna Anda sehingga mereka dapat mengakses sumber daya. Anda harus menetapkan peran Pengguna OpenAI Cognitive Services atau Kontributor OpenAI Cognitive Services, tergantung pada tugas yang perlu mereka lakukan. Untuk informasi tentang peran ini dan tugas yang mereka aktifkan, lihat Peran Azure OpenAI.
Skenario: Menggunakan Azure Container Registry
Instans Azure Container Registry adalah dependensi opsional untuk hub Azure AI Studio. Tabel berikut mencantumkan matriks dukungan saat mengautentikasi hub ke Azure Container Registry, bergantung pada metode autentikasi dan konfigurasi akses jaringan publik Azure Container Registry.
| Metode autentikasi | Akses jaringan publik dinonaktifkan |
Akses jaringan Publik Azure Container Registry diaktifkan |
|---|---|---|
| Pengguna admin | ✓ | ✓ |
| Identitas terkelola yang ditetapkan sistem hub AI Studio | ✓ | ✓ |
| Identitas terkelola yang ditetapkan pengguna hub AI Studio dengan peran ACRPull yang ditetapkan ke identitas |
✓ |
Identitas terkelola yang ditetapkan sistem secara otomatis ditetapkan ke peran yang benar saat hub dibuat. Jika Anda menggunakan identitas terkelola yang ditetapkan pengguna, Anda harus menetapkan peran ACRPull ke identitas.
Skenario: Menggunakan Azure Application Insights untuk pengelogan
Azure Application Insights adalah dependensi opsional untuk hub Azure AI Studio. Tabel berikut mencantumkan izin yang diperlukan jika Anda ingin menggunakan Application Insights saat membuat hub. Orang yang membuat hub memerlukan izin ini. Orang yang membuat proyek dari hub tidak memerlukan izin ini.
| Izin | Tujuan |
|---|---|
Microsoft.Insights/Components/Write |
Menulis ke konfigurasi komponen application insights. |
Microsoft.OperationalInsights/workspaces/write |
Buat ruang kerja atau tautan baru ke ruang kerja yang sudah ada dengan menyediakan ID pelanggan dari ruang kerja yang ada. |