Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Dalam artikel ini, Anda mempelajari konsep kontrol akses berbasis peran inti (RBAC) untuk Microsoft Foundry, termasuk cakupan, peran bawaan, dan pola penetapan perusahaan umum.
Petunjuk / Saran
Peran RBAC berlaku saat Anda mengautentikasi menggunakan ID Microsoft Entra. Jika Anda menggunakan autentikasi berbasis kunci sebagai gantinya, kunci memberikan akses penuh tanpa batasan peran. Microsoft merekomendasikan penggunaan autentikasi ID Entra untuk meningkatkan keamanan dan kontrol akses terperinci.
Untuk informasi selengkapnya tentang autentikasi dan otorisasi di Microsoft Foundry, lihat Autentikasi dan Otorisasi.
Penugasan peran minimum untuk memulai
Untuk pengguna baru Azure dan Microsoft Foundry, mulailah dengan penugasan minimum berikut sehingga kedua prinsipal pengguna dan identitas terkelola proyek Anda dapat mengakses fitur Foundry.
Anda dapat memverifikasi penetapan saat ini dengan menggunakan Periksa akses untuk pengguna ke satu sumber daya Azure.
- Tetapkan peran Pengguna Azure AI pada sumber daya Foundry Anda ke prinsipal pengguna Anda.
- Tetapkan peran Pengguna Azure AI pada sumber daya Foundry Anda ke identitas terkelola proyek Anda.
Jika pengguna yang membuat proyek dapat menetapkan peran (misalnya, dengan memiliki peran Pemilik Azure di cakupan langganan atau grup sumber daya), kedua tugas ditambahkan secara otomatis.
Untuk menetapkan peran ini secara manual, gunakan langkah-langkah cepat berikut.
Menetapkan peran ke pengguna utama Anda
Di portal Microsoft Azure, buka sumber daya Foundry Anda dan buka Kontrol akses (IAM). Buat penetapan peran untuk Pengguna Azure AI, atur Anggota ke Pengguna, grup, atau perwakilan layanan, pilih perwakilan pengguna Anda, lalu pilih Tinjau + tetapkan.
Menetapkan peran pada identitas terkelola proyek Anda
Di portal Microsoft Azure, buka proyek Foundry Anda dan buka Kontrol akses (IAM). Buat penetapan peran untuk Pengguna Azure AI, atur Anggota ke Identitas terkelola, pilih identitas terkelola proyek Anda, lalu pilih Tinjau + tetapkan.
Terminologi untuk kontrol akses berbasis peran di Foundry
Untuk memahami kontrol akses berbasis peran di Microsoft Foundry, pertimbangkan dua pertanyaan untuk perusahaan Anda.
- Izin apa yang saya inginkan untuk dimiliki tim saya saat membangun di Microsoft Foundry?
- Dalam cakupan apa saya ingin menetapkan izin kepada tim saya?
Untuk membantu menjawab pertanyaan-pertanyaan ini, berikut adalah deskripsi beberapa terminologi yang digunakan di seluruh artikel ini.
- Izin: Tindakan yang diizinkan atau ditolak yang dapat dilakukan identitas pada sumber daya, seperti membaca, menulis, menghapus, atau mengelola operasi sarana kontrol dan sarana data.
- Cakupan: Kumpulan sumber daya Azure tempat penetapan peran berlaku. Cakupan umum termasuk langganan, grup sumber daya, sumber daya Foundry, atau proyek Foundry.
- Peran: Kumpulan izin bernama yang menentukan tindakan mana yang dapat dilakukan pada sumber daya Azure pada cakupan tertentu.
Identitas mendapatkan peran dengan izin tertentu pada cakupan yang dipilih berdasarkan kebutuhan perusahaan Anda.
Di Microsoft Foundry, pertimbangkan dua ruang lingkup saat menyelesaikan penetapan peran.
- Foundry Resource: Cakupan tingkat atas yang menentukan batas administratif, keamanan, dan pemantauan untuk lingkungan Microsoft Foundry.
- Proyek Foundry: Sebuah sub-bagian dalam resource Foundry yang digunakan untuk mengorganisir pekerjaan dan menerapkan kontrol akses terhadap API, alat, dan proses kerja pengembang Foundry.
Peran bawaan
Peran bawaan di Foundry adalah peran yang dibuat oleh Microsoft yang mencakup skenario akses umum yang dapat Anda tetapkan kepada anggota tim Anda. Peran bawaan utama yang digunakan di seluruh Azure termasuk Pemilik, Kontributor, dan Pembaca. Fungsi-fungsi ini tidak secara spesifik berkaitan dengan hak akses sumber daya Foundry.
Untuk sumber daya Foundry, gunakan peran bawaan tambahan untuk mengikuti prinsip akses dengan hak istimewa paling sedikit. Tabel berikut mencantumkan peran bawaan utama untuk Foundry dan tautan ke definisi peran yang tepat dalam peran bawaan AI + Machine Learning.
| Peranan | Deskripsi |
|---|---|
| Pengguna Azure AI | Memberikan akses pembaca ke proyek Foundry, sumber daya Foundry, dan tindakan data untuk proyek Foundry Anda. Jika Anda dapat menetapkan peran, peran ini ditetapkan untuk Anda secara otomatis. Jika tidak, Pemilik langganan Anda atau pengguna dengan izin penugasan peran dapat memberikannya. Peran akses hak istimewa terkecil di Foundry. |
| Manajer Proyek Azure AI | Memungkinkan Anda melakukan tindakan manajemen pada proyek Foundry, membangun dan mengembangkan proyek, dan menetapkan peran Pengguna Azure AI kepada prinsipal pengguna lain secara kondisional. |
| Pemilik Akun Azure AI | Memberikan akses penuh untuk mengelola proyek dan sumber daya, dan memungkinkan Anda menetapkan peran Pengguna Azure AI secara kondisional ke prinsipal pengguna lain. |
| Pemilik Azure AI | Memberikan akses penuh ke proyek dan sumber daya terkelola serta membangun dan mengembangkan dengan proyek. Peran layanan mandiri yang sangat istimewa yang dirancang untuk penduduk asli digital. |
Izin untuk setiap peran bawaan
Gunakan tabel dan diagram berikut untuk melihat izin yang diizinkan untuk setiap peran bawaan di Foundry, termasuk peran bawaan Azure utama.
| Peran bawaan | Membuat proyek Foundry | Membuat akun Foundry | Membangun dan mengembangkan dalam proyek (tindakan data) | Menyelesaikan penetapan peran | Akses pembaca ke proyek dan akun | Mengelola beragam model |
|---|---|---|---|---|---|---|
| Pengguna Azure AI | ✔ | ✔ | ||||
| Manajer Proyek Azure AI | ✔ | ✔ | ✔ (hanya tetapkan peran Pengguna Azure AI) | ✔ | ||
| Pemilik Akun Azure AI | ✔ | ✔ | ✔ (hanya tetapkan peran Pengguna Azure AI) | ✔ | ✔ | |
| Pemilik Azure AI | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Pemilik | ✔ | ✔ | ✔ (tetapkan peran apa pun untuk pengguna mana pun) | ✔ | ✔ | |
| Contributor | ✔ | ✔ | ✔ | ✔ | ||
| Reader | ✔ |
Untuk informasi selengkapnya tentang peran bawaan di Azure dan Foundry, lihat Peran bawaan Azure. Untuk mempelajari selengkapnya tentang pendelegasian bersyarat yang digunakan dalam peran Pemilik Akun Azure AI dan Manajer Proyek Azure AI, lihat Mendelegasikan manajemen penetapan peran Azure kepada orang lain dengan kondisi.
Contoh pemetaan RBAC pada perusahaan untuk proyek
Berikut adalah contoh cara menerapkan kontrol akses berbasis peran (RBAC) untuk sumber daya Foundry perusahaan.
| Karakter | Peran dan Cakupan | Kegunaan |
|---|---|---|
| Admin Teknologi Informasi | Pemilik pada cakupan langganan | Admin TI memastikan sumber daya Foundry memenuhi standar perusahaan. Tetapkan manajer peran Pemilik Akun Azure AI pada sumber daya untuk memungkinkan mereka membuat akun Foundry baru. Tetapkan manajer peran Azure AI Project Manager pada sumber daya untuk memungkinkan mereka membuat proyek dalam akun. |
| Managers | Pemilik Akun Azure AI pada cakupan sumber daya Foundry | Manajer mengelola sumber daya Foundry, menyebarkan model, mengaudit sumber daya komputasi, mengaudit koneksi, dan membuat koneksi bersama. Mereka tidak dapat membangun dalam proyek, tetapi mereka dapat menetapkan peran Pengguna Azure AI kepada diri mereka sendiri dan orang lain untuk mulai membangun. |
| Pemimpin tim atau pengembang utama | Azure AI Project Manager pada cakupan sumber daya Foundry | Pengembang utama membuat proyek untuk tim mereka dan mulai membangun dalam proyek tersebut. Setelah Anda membuat proyek, pemilik proyek mengundang anggota lain dan menetapkan peran Pengguna Azure AI . |
| Anggota tim atau pengembang | Pengguna AI Azure pada cakupan proyek Foundry dan pembaca pada cakupan sumber daya Foundry | Pengembang membangun agen dalam proyek dengan model Foundry yang telah disebarkan sebelumnya dan koneksi bawaan. |
Mengelola penetapan peran
Untuk mengelola peran di Foundry, Anda harus memiliki izin untuk menetapkan dan menghapus peran di Azure. Peran Pemilik bawaan Azure menyertakan izin tersebut. Anda dapat menetapkan peran melalui portal Foundry (halaman Admin), IAM portal Microsoft Azure, atau Azure CLI. Anda dapat menghapus peran dengan menggunakan IAM portal Microsoft Azure atau Azure CLI.
Di portal Foundry, kelola izin dengan:
- Buka halaman Admin di Foundry, lalu pilih Operasikan>Admin.
- Pilih nama proyek Anda.
- Pilih Tambahkan pengguna untuk mengelola akses proyek. Tindakan ini hanya tersedia jika Anda memiliki izin penetapan peran.
- Terapkan alur yang sama untuk akses tingkat sumber daya Foundry.
Anda dapat mengelola izin di portal Microsoft Azure di bawah Kontrol Akses (IAM) atau dengan menggunakan Azure CLI.
Misalnya, perintah berikut menetapkan peran Pengguna Azure AI untuk joe@contoso.com di kelompok sumber daya this-rg dalam langganan 00000000-0000-0000-0000-000000000000.
az role assignment create --role "Azure AI User" --assignee "joe@contoso.com" --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/this-rg
Membuat peran kustom untuk proyek
Jika peran bawaan tidak memenuhi persyaratan perusahaan Anda, buat peran kustom yang memungkinkan kontrol yang tepat atas tindakan dan cakupan yang diizinkan. Berikut adalah contoh definisi peran kustom tingkat langganan:
{
"properties": {
"roleName": "My Enterprise Foundry User",
"description": "Custom role for Foundry at my enterprise to only allow building Agents. Assign at subscription level.",
"assignableScopes": ["/subscriptions/<your-subscription-id>"],
"permissions": [ {
"actions": ["Microsoft.CognitiveServices/*/read", "Microsoft.Authorization/*/read", "Microsoft.CognitiveServices/accounts/listkeys/action","Microsoft.Resources/deployments/*"],
"notActions": [],
"dataActions": ["Microsoft.CognitiveServices/accounts/AIServices/agents/*"],
"notDataActions": []
} ]
}
}
Untuk informasi selengkapnya tentang membuat peran kustom, lihat artikel berikut ini.
- Portal Azure
- Azure CLI
- Azure PowerShell
- Nonaktifkan Fitur Pratinjau dengan Akses Berbasis Peran. Artikel ini menyediakan detail selengkapnya tentang izin tertentu di Foundry di seluruh kontrol dan bidang data yang dapat Anda gunakan saat membangun peran kustom.
Catatan dan batasan
- Untuk melihat dan menghapus secara menyeluruh akun Foundry yang dihapus, Anda harus memiliki peran Kontributor yang ditetapkan pada ruang lingkup langganan.
- Pengguna dengan peran Kontributor dapat menyebarkan model di Foundry.
- Anda memerlukan peran Pemilik pada cakupan sumber daya untuk membuat peran kustom di sumber daya.
- Jika Anda memiliki izin untuk menetapkan peran di Azure (misalnya, peran Pemilik yang ditetapkan pada cakupan akun) ke prinsipal pengguna Anda, dan Anda menyebarkan sumber daya Foundry dari portal Microsoft Azure atau UI portal Foundry, maka peran Pengguna Azure AI akan secara otomatis ditetapkan ke prinsipal pengguna Anda. Penugasan ini tidak berlaku saat menyebarkan Foundry dari SDK atau CLI.
- Saat Anda membuat sumber daya Foundry, izin kontrol akses berbasis peran (RBAC) bawaan memberi Anda akses ke sumber daya. Untuk menggunakan sumber daya yang dibuat di luar Foundry, pastikan sumber daya memiliki izin yang memungkinkan Anda mengaksesnya. Berikut adalah beberapa contoh:
- Untuk menggunakan akun Azure Blob Storage baru, tambahkan identitas terkelola dari sumber daya akun Foundry ke peran Pembaca Data Blob Penyimpanan di akun penyimpanan tersebut.
- Untuk menggunakan sumber Pencarian Azure AI baru, tambahkan Foundry ke penetapan peran Pencarian Azure AI.
- Untuk menyempurnakan model di Foundry, Anda memerlukan izin sarana data dan sarana kontrol. Menyebarkan model yang disempurnakan adalah izin sarana kontrol. Oleh karena itu, satu-satunya peran bawaan dengan sarana data dan izin sarana kontrol adalah peran Pemilik Azure AI . Atau, jika mau, Anda juga dapat menetapkan peran Pengguna Azure AI untuk izin sarana data dan peran Pemilik Akun Azure AI untuk izin sarana kontrol.
Konten terkait
- Buat proyek.
- Periksa akses untuk pengguna ke satu sumber daya Azure.
- Autentikasi dan Otorisasi di Foundry.
- Nonaktifkan Fitur Pratinjau dengan Akses Berbasis Peran.
Lampiran
Contoh Isolasi Akses
Setiap organisasi mungkin memiliki persyaratan isolasi akses yang berbeda tergantung pada persona pengguna di perusahaan mereka. Isolasi akses mengacu pada pengguna mana di perusahaan Anda diberi penetapan peran apa untuk pemisahan izin menggunakan peran bawaan kami atau peran terpadu yang sangat permisif. Ada tiga opsi isolasi akses untuk Foundry yang dapat Anda pilih untuk organisasi Anda tergantung pada persyaratan isolasi akses Anda.
Tidak ada isolasi akses. Ini berarti di perusahaan Anda, Anda tidak memiliki persyaratan apa pun yang memisahkan izin antara pengembang, manajer proyek, atau admin. Izin untuk peran ini dapat ditetapkan di seluruh tim.
Oleh karena itu, Anda harus ...
- Berikan semua pengguna di perusahaan Anda peran Pemilik Azure AI pada cakupan sumber daya
Isolasi akses parsial. Ini berarti manajer proyek di perusahaan Anda harus dapat mengembangkan dalam proyek serta membuat proyek. Tetapi admin Anda seharusnya tidak dapat mengembangkan dalam Foundry, hanya membuat proyek dan akun Foundry.
Oleh karena itu, Anda harus ...
- Berikan pada admin Anda peran Pemilik Akun Azure AI pada cakupan sumber daya
- Memberi pengembang dan manajer proyek Anda peran Azure AI Project Manager pada sumber daya
Isolasi akses secara penuh. Ini berarti admin, manajer proyek, dan pengembang Anda memiliki izin yang jelas yang ditetapkan yang tidak tumpang tindih untuk fungsi mereka yang berbeda dalam perusahaan.
Oleh karena itu Anda harus ...
- Memberi admin Anda Pemilik Akun Azure AI pada cakupan sumber daya
- Beri pengembang Anda peran Pembaca pada cakupan sumber daya Foundry dan Pengguna Azure AI pada cakupan proyek
- Berikan peran Manajer Proyek Azure AI kepada manajer proyek Anda pada cakupan sumber daya
Menggunakan grup Microsoft Entra dengan Foundry
MICROSOFT Entra ID menyediakan beberapa cara untuk mengelola akses ke sumber daya, aplikasi, dan tugas. Dengan menggunakan grup Microsoft Entra, Anda dapat memberikan akses dan izin kepada sekelompok pengguna alih-alih untuk setiap pengguna individual. Admin IT perusahaan dapat membuat grup Microsoft Entra di portal Microsoft Azure untuk menyederhanakan proses penetapan peran bagi pengembang. Saat membuat grup Microsoft Entra, Anda dapat meminimalkan jumlah penetapan peran yang diperlukan untuk pengembang baru yang mengerjakan proyek Foundry dengan menetapkan penetapan peran yang diperlukan pada sumber daya yang diperlukan kepada grup.
Selesaikan langkah-langkah berikut untuk menggunakan grup ID Microsoft Entra dengan Foundry:
- Buat grup Keamanan di Grup di portal Microsoft Azure.
- Tambahkan pemilik dan prinsipal pengguna di organisasi Anda yang memerlukan akses bersama.
- Buka sumber daya target dan buka Kontrol akses (IAM).
- Tetapkan peran yang diperlukan untuk Pengguna, grup, atau perwakilan layanan, dan pilih grup keamanan baru.
- Pilih Tinjau + tetapkan sehingga penetapan peran berlaku untuk semua anggota grup.
Contoh umum:
- Untuk membangun agen, menjalankan jejak, dan menggunakan kemampuan Core Foundry, tetapkan Pengguna Azure AI ke grup Microsoft Entra.
- Untuk menggunakan fitur Pelacakan dan Pemantauan, tetapkan Pembaca pada sumber daya Application Insights yang terhubung ke grup yang sama.
Untuk mempelajari selengkapnya tentang grup, prasyarat, dan batasan ID Microsoft Entra, lihat: