Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Sedang menampilkan:
Versi - Beralih ke versi untuk portal Foundry baru
Tips
Artikel ini untuk tipe proyek Foundry. Artikel RBAC alternatif untuk proyek berbasis hub tersedia: artikel kontrol akses berbasis peran untuk Microsoft Foundry (hub dan proyek).
Dalam artikel ini, Anda mempelajari tentang kontrol akses berbasis peran (RBAC) di sumber daya Microsoft Foundry Anda dan cara menetapkan peran yang mengontrol akses ke sumber daya.
Tips
Peran RBAC berlaku saat Anda mengautentikasi menggunakan Microsoft Entra ID. Jika Anda menggunakan autentikasi berbasis kunci sebagai gantinya, kunci memberikan akses penuh tanpa batasan peran. Microsoft merekomendasikan penggunaan autentikasi Entra ID untuk meningkatkan keamanan dan kontrol akses terperinci.
Penetapan peran minimum untuk memulai
Untuk pengguna baru Azure dan Microsoft Foundry, mulai dengan penugasan minimum ini agar prinsipal pengguna dan identitas terkelola proyek Anda dapat mengakses fitur Foundry.
Anda dapat memverifikasi penetapan saat ini dengan menggunakan Periksa akses untuk pengguna ke satu sumber daya Azure.
Tetapkan peran Pengguna Foundry pada sumber daya Foundry Anda kepada user principal Anda.
Important
Peran Foundry RBAC baru-baru ini diubah namanya. Pengguna Foundry, Pemilik Foundry, Pemilik Akun Foundry, dan Manajer Proyek Foundry sebelumnya bernama Pengguna Azure AI, Pemilik Azure AI, Pemilik Akun Azure AI, dan Manajer Proyek Azure AI. Anda mungkin masih melihat nama sebelumnya di beberapa tempat saat penggantian nama diluncurkan. ID peran dan izin inti tidak berubah oleh penggantian nama.
Tetapkan peran Pengguna Foundry di sumber daya Foundry Anda untuk identitas terkelola proyek Anda.
Jika pengguna yang membuat proyek dapat menetapkan peran (misalnya, dengan memiliki peran Azure Owner di cakupan grup langganan atau sumber daya), kedua tugas ditambahkan secara otomatis.
Untuk menetapkan peran ini secara manual, gunakan langkah-langkah cepat berikut.
Menetapkan peran kepada prinsipal pengguna Anda
Di portal Azure, buka sumber daya Foundry Anda dan buka Kontrol akses (IAM). Buat penetapan peran untuk Pengguna Foundry, atur Anggota ke Pengguna, grup, atau perwakilan layanan, pilih perwakilan pengguna Anda, lalu pilih Tinjau + tetapkan.
Menetapkan peran ke identitas terkelola proyek Anda
Di portal Azure, buka proyek Foundry Anda dan buka Kontrol akses (IAM). Buat penetapan peran untuk Pengguna Foundry, atur Anggota ke Identitas terkelola, pilih identitas terkelola proyek Anda, lalu pilih Tinjau + tetapkan.
Terminologi untuk kontrol akses berbasis peran di Foundry
Untuk memahami kontrol akses berbasis peran di Microsoft Foundry, pertimbangkan dua pertanyaan untuk perusahaan Anda.
- Izin apa yang saya inginkan untuk dimiliki tim saya saat membangun di Microsoft Foundry?
- Dalam cakupan apa saya ingin menetapkan izin ke tim saya?
Untuk membantu menjawab pertanyaan-pertanyaan ini, berikut adalah deskripsi beberapa terminologi yang digunakan di seluruh artikel ini.
- Izin: Tindakan yang diizinkan atau ditolak yang dapat dilakukan identitas pada sumber daya, seperti membaca, menulis, menghapus, atau mengelola operasi sarana kontrol dan sarana data.
- Scope: Kumpulan sumber daya Azure tempat penetapan peran berlaku. Cakupan umum termasuk langganan, grup sumber daya, sumber daya Foundry, atau proyek Foundry.
- Role: Kumpulan izin bernama yang menentukan tindakan mana yang dapat dilakukan pada sumber daya Azure pada cakupan tertentu.
Identitas mendapatkan peran dengan perizinan tertentu pada cakupan yang dipilih sesuai kebutuhan perusahaan Anda.
Di Microsoft Foundry, pertimbangkan dua cakupan saat menyelesaikan penetapan peran.
- sumber daya Foundry: Cakupan tingkat atas yang menentukan batas administratif, keamanan, dan pemantauan untuk lingkungan Microsoft Foundry.
- Proyek Foundry: Sub-skop dalam sumber daya Foundry yang digunakan untuk mengatur pekerjaan dan menerapkan kontrol akses untuk API, alat, dan alur kerja pengembang Foundry.
Peran bawaan
Peran bawaan di Foundry adalah peran yang dibuat oleh Microsoft dan mencakup skenario akses umum yang dapat Anda tetapkan kepada anggota tim Anda. Peran bawaan utama yang digunakan di seluruh Azure termasuk Pemilik, Kontributor, dan Pembaca. Peran ini tidak secara khusus terkait dengan izin sumber daya Foundry.
Untuk sumber daya Foundry, gunakan peran bawaan tambahan untuk mengikuti prinsip akses dengan hak istimewa paling sedikit. Tabel berikut mencantumkan peran bawaan utama untuk Foundry dan tautan ke definisi peran yang tepat dalam peran bawaan AI + Pembelajaran Mesin.
| Peran | Deskripsi |
|---|---|
| Pengguna Foundry | Memberikan akses pembaca ke proyek Foundry, sumber daya Foundry, dan tindakan data untuk proyek Foundry Anda. Jika Anda dapat menetapkan peran, peran ini ditetapkan untuk Anda secara otomatis. Jika tidak, Pemilik langganan Anda atau pengguna dengan izin penetapan peran memberikannya. Peran akses hak istimewa terkecil di Foundry. |
| Manajer Proyek Foundry | Memungkinkan Anda melakukan tindakan pengelolaan pada proyek Foundry, membangun dan mengembangkan proyek, serta secara bersyarat menetapkan peran Pengguna Foundry kepada prinsipal pengguna lainnya. |
| Pemilik Akun Foundry | Memberikan akses penuh untuk mengelola proyek dan sumber daya, serta memungkinkan Anda menetapkan secara kondisional peran Foundry User, ACR, dan pemantauan kepada prinsipal pengguna lainnya. |
| Pemilik Foundry | Memberikan akses penuh untuk mengelola proyek dan sumber daya serta membangun dan mengembangkan dengan proyek. Memungkinkan Anda menetapkan secara bersyarat peran Pengguna Foundry, ACR, dan pemantauan. Peran layanan mandiri yang sangat istimewa yang dirancang untuk penduduk asli digital. |
Catatan
Jangan tetapkan peran bawaan yang dimulai dengan Cognitive Services. Peran ini dirancang untuk mengakses sumber daya Layanan AI secara langsung dan tidak berlaku untuk skenario Foundry. Demikian pula, jangan gunakan peran Pengembang AI Azure untuk pekerjaan Foundry. Terlepas dari namanya, cakupan peran ini dibatasi pada ruang kerja Azure Machine Learning dan hub Foundry, bukan pada proyek Foundry atau agen yang dihosting di Foundry. Untuk akses proyek Foundry, gunakan Pengguna Foundry atau Pemilik Foundry sebagai gantinya.
Izin untuk setiap peran bawaan
Gunakan tabel dan diagram berikut untuk melihat izin untuk setiap peran bawaan di Foundry, termasuk peran bawaan Azure yang penting.
| Peran bawaan | Membuat proyek Foundry | Membuat akun Foundry | Membangun dan mengembangkan dalam satu proyek (tindakan data) | Menyelesaikan penetapan peran | Akses pembaca ke proyek dan akun | Mengelola model |
|---|---|---|---|---|---|---|
| Pengguna Foundry | ✔ | ✔ | ||||
| Manajer Proyek Foundry | ✔ | ✔ | ✔ (hanya tetapkan peran Pengguna Foundry) | ✔ | ||
| Pemilik Akun Foundry | ✔ | ✔ | ✔ (hanya berikan peran Pengguna Foundry) | ✔ | ✔ | |
| Pemilik Foundry | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Pemilik | ✔ | ✔ | ✔ (tetapkan peran apa pun untuk pengguna mana pun) | ✔ | ✔ | |
| Kontributor | ✔ | ✔ | ✔ | ✔ | ||
| Pembaca | ✔ |
Important
Peran Foundry RBAC baru-baru ini diubah namanya. Pengguna Foundry, Pemilik Foundry, Pemilik Akun Foundry, dan Manajer Proyek Foundry sebelumnya bernama Pengguna Azure AI, Pemilik Azure AI, Pemilik Akun Azure AI, dan Manajer Proyek Azure AI. Anda mungkin masih melihat nama sebelumnya di beberapa tempat saat penggantian nama diluncurkan. ID peran dan izin inti tidak berubah oleh penggantian nama.
Gunakan tab ini untuk menjelajahi perbedaan antara peran bawaan, yang ditetapkan di tingkat sumber daya Foundry (kecuali untuk Pemilik, yang ditetapkan di tingkat langganan)
Contoh pemetaan RBAC perusahaan untuk proyek
Berikut adalah contoh cara menerapkan kontrol akses berbasis peran (RBAC) untuk sumber daya Foundry perusahaan.
| Persona | Peran dan Cakupan | Tujuan |
|---|---|---|
| Admin Teknologi Informasi | Pemilik dalam ruang lingkup langganan | Admin TI memastikan sumber daya Foundry memenuhi standar perusahaan. Tetapkan manajer peran Pemilik Akun Foundry pada sumber daya untuk memungkinkan mereka membuat akun Foundry baru. Tetapkan manajer peran Foundry Project Manager pada sumber daya untuk memungkinkan mereka membuat proyek dalam akun. |
| Manajer | Pemilik Akun Foundry di cakupan sumber daya Foundry | Manajer mengelola sumber daya Foundry, menyebarkan model, mengaudit sumber daya komputasi, mengaudit koneksi, dan membuat koneksi bersama. Mereka tidak dapat membangun di dalam proyek, tetapi mereka dapat menetapkan peran Foundry User kepada diri sendiri dan orang lain agar dapat mulai membangun. |
| Pemimpin tim atau pengembang utama | Foundry Project Manager pada cakupan sumber daya Foundry | Pengembang utama membuat proyek untuk tim mereka dan mulai membangun dalam proyek tersebut. Setelah Anda membuat proyek, pemilik proyek mengundang anggota lain dan menetapkan peran Pengguna Foundry . |
| Anggota tim atau pengembang | Foundry User pada cakupan proyek Foundry dan Reader pada cakupan sumber daya Foundry | Pengembang membangun agen dalam proyek dengan model Foundry yang telah disebarkan sebelumnya dan koneksi bawaan. |
Mengelola penetapan peran
Untuk mengelola peran di Foundry, Anda harus memiliki izin untuk menetapkan dan menghapus peran dalam Azure. Peran Owner bawaan Azure menyertakan izin tersebut. Anda dapat menetapkan peran melalui portal Foundry (halaman Admin), IAM portal Azure, atau Azure CLI. Anda dapat menghapus peran dengan menggunakan IAM portal Azure atau Azure CLI.
Di portal Foundry, kelola izin dengan:
- Pada halaman Beranda di Foundry, pilih sumber daya Foundry Anda.
- Pilih Pengguna untuk menambahkan atau menghapus pengguna untuk sumber daya.
Anda dapat mengelola izin di portal Azure di bawah Access Control (IAM) atau dengan menggunakan Azure CLI.
Misalnya, perintah berikut menetapkan peran Pengguna Foundry kepada joe@contoso.com untuk grup sumber daya this-rg dalam langganan 00000000-0000-0000-0000-000000000000:
az role assignment create --role "53ca6127-db72-4b80-b1b0-d745d6d5456d" --assignee "joe@contoso.com" --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/this-rg
Catatan
Karena peran RBAC Foundry baru-baru ini diganti namanya, gunakan ID definisi peran (GUID) alih-alih nama peran dalam kode Anda untuk menghindari masalah selama peluncuran nama ulang:
-
Pengguna Foundry:
53ca6127-db72-4b80-b1b0-d745d6d5456d -
Pemilik Foundry:
c883944f-8b7b-4483-af10-35834be79c4a -
Pemilik Akun Foundry:
e47c6f54-e4a2-4754-9501-8e0985b135e1 -
Manajer Proyek Foundry:
eadc314b-1a2d-4efa-be10-5d325db5065e
Membuat peran kustom untuk proyek
Jika peran bawaan tidak memenuhi persyaratan perusahaan Anda, buat peran kustom yang memungkinkan kontrol yang tepat atas tindakan dan cakupan yang diizinkan. Berikut adalah contoh definisi peran kustom tingkat langganan:
{
"properties": {
"roleName": "My Enterprise Foundry User",
"description": "Custom role for Foundry at my enterprise to only allow building Agents. Assign at subscription level.",
"assignableScopes": ["/subscriptions/<your-subscription-id>"],
"permissions": [ {
"actions": ["Microsoft.CognitiveServices/*/read", "Microsoft.Authorization/*/read", "Microsoft.CognitiveServices/accounts/listkeys/action","Microsoft.Resources/deployments/*"],
"notActions": [],
"dataActions": ["Microsoft.CognitiveServices/accounts/AIServices/agents/*"],
"notDataActions": []
} ]
}
}
Untuk informasi selengkapnya tentang membuat peran kustom, lihat artikel berikut ini.
- portal Azure
- Azure CLI
- Azure PowerShell
- Nonaktifkan fitur pratinjau di Microsoft Foundry. Artikel ini menyediakan detail selengkapnya tentang izin tertentu di Foundry di seluruh kontrol dan bidang data yang dapat Anda gunakan saat membangun peran kustom.
Catatan dan batasan
Untuk melihat dan membersihkan akun Foundry yang dihapus, Anda harus memiliki peran Kontributor yang ditetapkan pada tingkat langganan.
Pengguna dengan peran Kontributor dapat menyebarkan model di Foundry.
Anda memerlukan peran Pemilik pada cakupan sumber daya untuk membuat peran kustom di sumber daya.
Jika Anda memiliki izin untuk menetapkan peran di Azure (misalnya, peran Pemilik yang ditetapkan pada cakupan akun) ke prinsipal pengguna Anda, dan Anda menyebarkan sumber daya Foundry dari portal Azure atau UI portal Foundry, maka peran Pengguna Foundry akan secara otomatis ditetapkan ke prinsipal pengguna Anda. Penugasan ini tidak berlaku saat menyebarkan Foundry dari SDK atau CLI.
Important
Peran Foundry RBAC baru-baru ini diubah namanya. Pengguna Foundry, Pemilik Foundry, Pemilik Akun Foundry, dan Manajer Proyek Foundry sebelumnya bernama Pengguna Azure AI, Pemilik Azure AI, Pemilik Akun Azure AI, dan Manajer Proyek Azure AI. Anda mungkin masih melihat nama sebelumnya di beberapa tempat saat penggantian nama diluncurkan. ID peran dan izin inti tidak berubah oleh penggantian nama.
Saat Anda membuat sumber daya Foundry, izin kontrol akses berbasis peran (RBAC) bawaan memberi Anda akses ke sumber daya. Untuk menggunakan sumber daya yang dibuat di luar Foundry, pastikan sumber daya memiliki izin yang memungkinkan Anda mengaksesnya. Berikut adalah beberapa contoh:
- Untuk menggunakan akun Azure Blob Storage baru, tambahkan identitas terkelola dari sumber daya akun Foundry ke peran Pembaca Data Blob Penyimpanan pada akun penyimpanan tersebut.
- Untuk menggunakan sumber Pencarian Azure AI baru, tambahkan Foundry ke penetapan peran Pencarian Azure AI.
Untuk menyempurnakan model di Foundry, Anda memerlukan izin sarana data dan sarana kontrol. Menyebarkan model yang disempurnakan adalah izin pesawat kontrol. Oleh karena itu, satu-satunya peran bawaan yang memiliki izin bidang data dan bidang kontrol adalah peran Foundry Owner. Atau, jika mau, Anda juga dapat menetapkan peran Pengguna Foundry untuk izin sarana data dan peran Pemilik Akun Foundry untuk izin sarana kontrol.
Konten terkait
- Buat proyek.
- Tambahkan koneksi di portal Foundry.
- Autentikasi dan Otorisasi di Foundry.
- Nonaktifkan fitur pratinjau di Microsoft Foundry.
Lampiran
Contoh Penerapan Isolasi Akses
Setiap organisasi mungkin memiliki persyaratan isolasi akses yang berbeda tergantung pada persona pengguna di perusahaan mereka. Isolasi akses mengacu pada pengguna mana di perusahaan Anda yang diberi penugasan peran tertentu, baik untuk pemisahan izin menggunakan peran bawaan kami atau dengan peran terpadu yang sangat permisif. Ada tiga opsi isolasi akses untuk Foundry yang dapat Anda pilih untuk organisasi Anda tergantung pada persyaratan isolasi akses Anda.
Tidak ada isolasi akses. Ini berarti di perusahaan Anda, Anda tidak memiliki persyaratan apa pun yang memisahkan izin antara pengembang, manajer proyek, atau admin. Izin untuk peran ini dapat ditetapkan di seluruh tim.
Oleh karena itu, Anda harus ...
Berikan semua pengguna di perusahaan Anda peran Pemilik Foundry pada cakupan sumber daya
Important
Peran Foundry RBAC baru-baru ini diubah namanya. Pengguna Foundry, Pemilik Foundry, Pemilik Akun Foundry, dan Manajer Proyek Foundry sebelumnya bernama Pengguna Azure AI, Pemilik Azure AI, Pemilik Akun Azure AI, dan Manajer Proyek Azure AI. Anda mungkin masih melihat nama sebelumnya di beberapa tempat saat penggantian nama diluncurkan. ID peran dan izin inti tidak berubah oleh penggantian nama.
Isolasi akses parsial. Ini berarti manajer proyek di perusahaan Anda harus dapat mengembangkan dalam proyek serta membuat proyek. Tetapi admin Anda seharusnya tidak dapat mengembangkan dalam Foundry, hanya membuat proyek dan akun Foundry.
Oleh karena itu, Anda harus ...
- Tetapkan Foundry Account Owner kepada admin Anda pada cakupan sumber daya
- Beri pengembang dan manajer project Anda peran Foundry Project Manager pada sumber daya
Isolasi akses penuh. Ini berarti admin, manajer proyek, dan pengembang Anda memiliki izin yang jelas yang ditetapkan yang tidak tumpang tindih untuk fungsi mereka yang berbeda dalam perusahaan.
Oleh karena itu Anda harus ...
- Berikan admin Anda peran Pemilik Akun Foundry pada cakupan sumber daya
- Berikan pengembang Anda peran Pembaca pada cakupan sumber daya Foundry dan Pengguna Foundry pada cakupan proyek
- Berikan kepada manajer proyek Anda peran Foundry Project Manager untuk cakupan sumber daya
Menggunakan grup Microsoft Entra dengan Foundry
Microsoft Entra ID menyediakan beberapa cara untuk mengelola akses ke sumber daya, aplikasi, dan tugas. Dengan menggunakan grup Microsoft Entra, Anda dapat memberikan akses dan izin kepada sekelompok pengguna alih-alih untuk setiap pengguna individu. Admin IT perusahaan dapat membuat grup Microsoft Entra di portal Azure untuk menyederhanakan proses penetapan peran bagi pengembang. Saat membuat grup Microsoft Entra, Anda dapat meminimalkan jumlah penetapan peran yang diperlukan untuk pengembang baru yang mengerjakan proyek Foundry dengan menetapkan penetapan peran yang diperlukan grup pada sumber daya yang diperlukan.
Selesaikan langkah-langkah berikut untuk menggunakan grup Microsoft Entra ID dengan Foundry:
- Buat grup Keamanan di Groups di portal Azure.
- Tambahkan pemilik dan prinsipal pengguna di organisasi Anda yang memerlukan akses bersama.
- Buka sumber daya target dan buka Kontrol akses (IAM).
- Tetapkan peran yang diperlukan untuk Pengguna, grup, atau perwakilan layanan, dan pilih grup keamanan baru.
- Pilih Tinjau + tetapkan sehingga penetapan peran berlaku untuk semua anggota grup.
Contoh umum:
- Untuk membuat agen, menjalankan pelacakan, dan menggunakan kemampuan inti Foundry, tetapkan Foundry User ke grup Microsoft Entra.
- Untuk menggunakan fitur Pelacakan dan Pemantauan, tetapkan Pembaca pada sumber daya Application Insights yang terhubung ke grup yang sama.
Untuk mempelajari selengkapnya tentang Microsoft Entra ID grup, prasyarat, dan batasan, lihat: