Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel leert u hoe u toegang (autorisatie) beheert tot uw Azure AI Foundry-resources . Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) wordt gebruikt om de toegang tot Azure-resources te beheren, zoals de mogelijkheid om nieuwe resources te maken of bestaande resources te gebruiken. Gebruikers in uw Microsoft Entra ID krijgen specifieke rollen toegewezen, die toegang verlenen tot resources. Azure biedt zowel ingebouwde rollen als de mogelijkheid om aangepaste rollen te maken.
Azure AI Foundry ondersteunt twee soorten projecten: een Foundry-project en een hubproject. Zie Typen projecten voor meer informatie over de verschillen tussen deze twee projecttypen. Gebruik de selector bovenaan dit artikel om te schakelen tussen de twee projecttypen.
Waarschuwing
Het toepassen van sommige rollen kan de ui-functionaliteit beperken in de Azure AI Foundry-portal voor andere gebruikers. Als de rol van een gebruiker bijvoorbeeld niet over de mogelijkheid beschikt om een rekenproces te maken, is de optie voor het maken van een rekenproces niet beschikbaar in Studio. Dit gedrag wordt verwacht en voorkomt dat de gebruiker bewerkingen probeert uit te voeren die een fout 'Toegang geweigerd' retourneren.
De rollen van het Azure AI Foundry-project
In de Azure AI Foundry-portal zijn er twee toegangsniveaus:
- Account: Het account is de thuisbasis van de infrastructuur (waaronder het instellen van virtuele netwerken, door de klant beheerde sleutels, beheerde identiteiten en beleid) voor uw Azure AI Foundry-resource.
- Project: Projecten zijn een subset van het account en bieden u de mogelijkheid om agents te bouwen en te implementeren. Met projecttoegang kunt u end-to-end AI ontwikkelen terwijl u profiteert van de infrastructuurconfiguratie voor het account.
De Azure AI Foundry-resource heeft ingebouwde rollen die standaard beschikbaar zijn voor zowel het account als het project. Hier volgt een tabel met de ingebouwde rollen en de bijbehorende machtigingen.
| Rol | Beschrijving |
|---|---|
| Azure AI-gebruiker | Deze rol verleent leestoegang tot AI-projecten, verleent leestoegang tot AI-accounts en verleent gegevensacties voor een AI-project. Deze rol wordt automatisch toegewezen aan de gebruiker als ze rollen kunnen toewijzen. Zo niet, dan moet deze rol worden verleend door uw abonnementseigenaar of gebruiker met roltoewijzingsbevoegdheden. |
| Azure AI-projectmanager | Met deze rol kunt u beheeracties uitvoeren op Azure AI Foundry-projecten, bouwen en ontwikkelen met projecten en voorwaardelijke toewijzing van de Azure AI-gebruikersrol toewijzen aan andere gebruikersprincipes. |
| Eigenaar van Azure AI-account | Deze rol verleent volledige toegang tot het beheren van AI-projecten en -accounts en verleent voorwaardelijke toewijzing van de Azure AI-gebruikersrol aan andere gebruikersprincipes. |
Het belangrijkste verschil tussen Azure AI-projectmanager en Azure AI-accounteigenaar is de mogelijkheid om:
- Maak nieuwe Foundry-accountbronnen, wat alleen de eigenaar van het Azure AI-account kan doen.
- Ga aan de slag met het bouwen en ontwikkelen met AI Foundry-projecten.
Het tweede verschil wordt gezien in de roldefinitie waar de gegevensactie van Microsoft.CognitiveServices/*. Met deze gegevensactie kan de gebruiker alle acties voor lezen, schrijven of verwijderen binnen een project voltooien. De Azure AI-projectmanager kan deze actie uitvoeren, maar niet de eigenaar van het Azure AI-account. Alleen Azure AI-gebruiker en Azure AI-projectmanager krijgen gegevensacties voor een AI-project. U kunt Azure AI Project Manager beschouwen als een verhoogde Azure AI-gebruiker.
Naast deze ingebouwde roltoewijzingen zijn er de beheerdersrollen met Azure Privileged, zoals Eigenaar, Inzender en Lezer. Deze rollen zijn niet specifiek voor azure AI Foundry-resources, dus overweeg het gebruik van de bovenstaande ingebouwde rollen voor toegang tot minimale bevoegdheden.
Gebruik de volgende tabel om inzicht te krijgen in welke bevoegdheden er worden gegeven aan elke nieuwe ingebouwde rol, met inbegrip van de rollen Azure Privileged Administrator:
| Ingebouwde rol | Foundry-projecten maken | Foundry-accounts maken | Bouwen en ontwikkelen in een project (gegevensacties) | Roltoewijzingen voltooien | Lezertoegang tot projecten en accounts |
|---|---|---|---|---|---|
| Azure AI-gebruiker | ✔ | ✔ | |||
| Azure AI-projectmanager | ✔ | ✔ | ✔ (wijs alleen de Azure AI-gebruikersrol toe) | ✔ | |
| Eigenaar van Azure AI-account | ✔ | ✔ | ✔ (wijs alleen de Azure AI-gebruikersrol toe) | ✔ | |
| Eigenaar | ✔ | ✔ | ✔ (wijs een rol toe aan elke gebruiker) | ✔ | |
| Donateur | ✔ | ✔ | ✔ | ||
| Lezer | ✔ |
Standaardrollen voor het project
Azure AI-gebruiker
De volledige set machtigingen voor de nieuwe Azure AI-gebruikersrol zijn als volgt:
{
"id": "/providers/Microsoft.Authorization/roleDefinitions/53ca6127-db72-4b80-b1b0-d745d6d5456d",
"properties": {
"roleName": "Azure AI User",
"description": "Grants reader access to AI projects, reader access to AI accounts, and data actions for an AI project.",
"assignableScopes": [
"/"
],
"permissions": [
{
"actions": [
"Microsoft.CognitiveServices/*/read",
"Microsoft.CognitiveServices/accounts/listkeys/action",
"Microsoft.Insights/alertRules/read",
"Microsoft.Insights/diagnosticSettings/read",
"Microsoft.Insights/logDefinitions/read",
"Microsoft.Insights/metricdefinitions/read",
"Microsoft.Insights/metrics/read",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.CognitiveServices/*"
],
"notDataActions": []
}
]
}
}
Azure AI-Projectmanager
De Rol Azure AI-projectmanager maakt gebruik van gedelegeerd Azure-roltoewijzingsbeheer voor anderen met voorwaarden. Vanwege de voorwaardelijke overdracht kan de Azure AI-projectmanagerrol alleen de Azure AI-gebruikersrol toewijzen aan andere gebruikersprinciplen in de resourcegroep. Met voorwaardelijke delegatie kan de beheerder van uw onderneming het werk van roltoewijzingen delegeren om aan de slag te gaan met het bouwen en ontwikkelen met AI Foundry-projecten. Zie Azure-roltoewijzingsbeheer delegeren aan anderen met voorwaarden voor meer informatie over roltoewijzingen met voorwaarden.
De volledige set machtigingen voor de nieuwe Azure AI-projectmanagerrol zijn als volgt:
{
"id": "/providers/Microsoft.Authorization/roleDefinitions/eadc314b-1a2d-4efa-be10-5d325db5065e",
"properties": {
"roleName": "Azure AI Project Manager",
"description": "Lets you perform developer actions and management actions on Azure AI Foundry Projects. Allows for making role assignments, but limited to Cognitive Service User role.",
"assignableScopes": [
"/"
],
"permissions": [
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete",
"Microsoft.CognitiveServices/accounts/*/read",
"Microsoft.CognitiveServices/accounts/projects/*",
"Microsoft.CognitiveServices/locations/*/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.CognitiveServices/*"
],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{53ca6127-db72-4b80-b1b0-d745d6d5456d})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{53ca6127-db72-4b80-b1b0-d745d6d5456d}))"
}
]
}
}
Eigenaar van Azure AI-account
De rol Azure AI-accounteigenaar maakt gebruik van gedelegeerd Azure-roltoewijzingsbeheer voor anderen met voorwaarden. Vanwege de voorwaardelijke delegering kan de rol Azure AI-accounteigenaar alleen de Azure AI-gebruikersrol toewijzen aan andere gebruikersprinciplen in de resourcegroep. Met voorwaardelijke delegatie kan de beheerder van uw onderneming het werk van roltoewijzingen delegeren om aan de slag te gaan met het bouwen en ontwikkelen met AI Foundry-projecten. Zie Azure-roltoewijzingsbeheer delegeren aan anderen met voorwaarden voor meer informatie over roltoewijzingen met voorwaarden.
De volledige set machtigingen voor de nieuwe rol Azure AI-accounteigenaar is als volgt:
{
"id": "/providers/Microsoft.Authorization/roleDefinitions/e47c6f54-e4a2-4754-9501-8e0985b135e1",
"properties": {
"roleName": "Azure AI Account Owner",
"description": "Grants full access to manage AI projects and accounts. Grants conditional assignment of the Azure AI User role to other user principles.",
"assignableScopes": [
"/"
],
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete",
"Microsoft.CognitiveServices/*",
"Microsoft.Features/features/read",
"Microsoft.Features/providers/features/read",
"Microsoft.Features/providers/features/register/action",
"Microsoft.Insights/alertRules/*",
"Microsoft.Insights/diagnosticSettings/*",
"Microsoft.Insights/logDefinitions/read",
"Microsoft.Insights/metricdefinitions/read",
"Microsoft.Insights/metrics/read",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/deployments/operations/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourcegroups/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{53ca6127-db72-4b80-b1b0-d745d6d5456d})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{53ca6127-db72-4b80-b1b0-d745d6d5456d}))"
}
]
}
}
Voorbeeld van enterprise RBAC-installatie
De volgende tabel is een voorbeeld van het instellen van op rollen gebaseerd toegangsbeheer voor uw Azure AI Foundry-resource voor een onderneming.
| Personage | Rol | Doel |
|---|---|---|
| IT-beheerder | Abonnementseigenaar | De IT-beheerder kan ervoor zorgen dat de hub is ingesteld op hun bedrijfsstandaarden. Ze kunnen managers de rol Azure AI-accounteigenaar toewijzen aan de resource als ze managers in staat willen stellen nieuwe Foundry-accounts te maken. Ze kunnen managers de rol Azure AI-projectmanager toewijzen aan de resource om het maken van projecten binnen een account mogelijk te maken. |
| Leidinggevenden | Eigenaar van Azure AI-account op Foundry-bron | Managers kunnen de hub beheren, rekenresources controleren, verbindingen controleren en gedeelde verbindingen maken. Ze kunnen niet beginnen met bouwen binnen de projecten, maar kunnen de Azure AI-gebruikersrol aan zichzelf en anderen toewijzen om te beginnen met bouwen. |
| Teamleider/leadontwikkelaar | Azure AI-projectmanager in Foundry-resource | Lead-ontwikkelaars kunnen projecten voor hun team maken en beginnen met bouwen binnen de projecten. Nadat het project is gemaakt, kunnen projecteigenaren andere leden uitnodigen en de Azure AI-gebruikersrol toewijzen. |
| Teamleden/ontwikkelaars | Azure AI-gebruiker in Foundry-resource | Ontwikkelaars kunnen AI-modellen bouwen en implementeren binnen een project en agents bouwen. |
Toegang tot resources die buiten AI Foundry zijn gemaakt
Wanneer u een Foundry-resource maakt, verleent de ingebouwde op rollen gebaseerd toegangsbeheer u toegang tot het gebruik van de resource. Als u echter resources wilt gebruiken buiten wat er namens u is gemaakt, moet u ervoor zorgen dat beide:
- De resource die u probeert te gebruiken, is zodanig ingesteld dat u er toegang toe heeft.
- Uw Foundry-accountresource mag er toegang toe krijgen.
Als u bijvoorbeeld een nieuwe Blob-opslag wilt gebruiken, moet u ervoor zorgen dat de beheerde identiteit van de resource van het Foundry-account wordt toegevoegd aan de rol Blob Storage Reader voor de blob. Als u een nieuwe Azure AI Search-bron wilt gebruiken, moet u de hub mogelijk toevoegen aan de roltoewijzingen van Azure AI Search.
Toegang beheren met rollen
Als u eigenaar bent van een Foundry-accountresource, kunt u rollen toevoegen en verwijderen voor Azure AI Foundry. Selecteer uw Foundry-resource op de startpagina van Azure AI Foundry. Selecteer vervolgens Gebruikers om gebruikers toe te voegen en te verwijderen voor de hub. U kunt ook machtigingen beheren vanuit Azure Portal onder Toegangsbeheer (IAM) of via de Azure CLI.
Met bijvoorbeeld de volgende opdracht wordt de Azure AI User-rol toegewezen aan joe@contoso.com voor resourcegroep this-rg in het abonnement met een ID van 00000000-0000-0000-0000-000000000000:
az role assignment create --role "Azure AI User" --assignee "joe@contoso.com" --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/this-rg
Aangepast rollen maken
Als de ingebouwde rollen niet voldoen, kunt u aangepaste rollen maken. Aangepaste rollen hebben mogelijk de machtigingen voor lees-, schrijf-, verwijder- en rekenresources in die Azure AI Foundry. U kunt de rol beschikbaar maken op een specifiek projectniveau, een specifiek resourcegroepniveau of een specifiek abonnementsniveau.
Opmerking
U moet eigenaar zijn van de resource op dat niveau om aangepaste rollen binnen die resource te maken.
Gebruik een van de volgende artikelen voor stappen voor het maken van een aangepaste rol:
Voor meer informatie over het maken van aangepaste rollen in het algemeen, gaat u naar het artikel over aangepaste Azure-rollen .
Volgende stappen
Azure AI Foundry Hub versus Project
In de Azure AI Foundry-portal zijn er twee toegangsniveaus: de hub en het project. De hub is de thuisbasis van de infrastructuur (waaronder het instellen van virtuele netwerken, door de klant beheerde sleutels, beheerde identiteiten en beleid) en waar u uw Azure AI-services configureert. Met hubtoegang kunt u de infrastructuur wijzigen, nieuwe hubs maken en projecten maken. Projecten vormen een subset van de hub die fungeert als werkruimten waarmee u AI-systemen kunt bouwen en implementeren. Binnen een project kunt u stromen ontwikkelen, modellen implementeren en projectassets beheren. Met projecttoegang kunt u end-to-end AI ontwikkelen terwijl u profiteert van de infrastructuurconfiguratie op de hub.
Een van de belangrijkste voordelen van de hub- en projectrelatie is dat ontwikkelaars hun eigen projecten kunnen maken die de beveiligingsinstellingen van de hub overnemen. Mogelijk hebt u ook ontwikkelaars die inzenders zijn voor een project en u kunt geen nieuwe projecten maken.
Standaardrollen voor de hub
De Azure AI Foundry-hub heeft ingebouwde rollen die standaard beschikbaar zijn.
Hier volgt een tabel met de ingebouwde rollen en de bijbehorende machtigingen voor de hub:
| Rol | Beschrijving |
|---|---|
| Eigenaar | Volledige toegang tot de hub, inclusief de mogelijkheid om nieuwe hubs te beheren en te maken en machtigingen toe te wijzen. Deze rol wordt automatisch toegewezen aan de maker van de hub |
| Donateur | De gebruiker heeft volledige toegang tot de hub, inclusief de mogelijkheid om nieuwe hubs te maken, maar kan geen hubmachtigingen voor de bestaande resource beheren. |
| Azure AI-beheerder (preview) | Deze rol wordt automatisch toegewezen aan de door het systeem toegewezen beheerde identiteit voor de hub. De rol Azure AI-beheerder heeft de minimale machtigingen die nodig zijn voor de beheerde identiteit om de taken uit te voeren. Zie de Azure AI-beheerdersrol (preview) voor meer informatie. |
| Azure AI-ontwikkelaar | Voer alle acties uit, behalve nieuwe hubs maken en de hubmachtigingen beheren. Gebruikers kunnen bijvoorbeeld projecten, berekeningen en verbindingen maken. Gebruikers kunnen machtigingen toewijzen binnen hun project. Gebruikers kunnen communiceren met bestaande Azure AI-resources, zoals Azure OpenAI, Azure AI Search en Azure AI-services. |
| Azure AI-inferentie-implementatieoperator | Voer alle acties uit die nodig zijn om een bronnen-implementatie in een brongroep te maken. |
| Lezer | Alleen-lezentoegang tot de hub. Deze rol wordt automatisch toegewezen aan alle projectleden binnen de hub. |
Het belangrijkste verschil tussen Inzender en Azure AI Developer is de mogelijkheid om nieuwe hubs te maken. Als u niet wilt dat gebruikers nieuwe hubs maken (vanwege quotum, kosten of alleen beheren hoeveel hubs u hebt), wijst u de Azure AI Developer-rol toe.
Alleen de rollen Eigenaar en Inzender stellen u in staat om een hub te maken. Op dit moment kunnen aangepaste rollen u geen toestemming geven om hubs te maken.
Azure AI-beheerdersrol (voorbeeldversie)
Vóór 19-11-2024 werd de beheerde identiteit die door het systeem voor de hub is gecreëerd, automatisch de rol Inzender toegewezen binnen de resourcegroep die zowel de hub als de projecten bevat. Hubs die na deze datum zijn aangemaakt, hebben een door het systeem toegewezen beheerde identiteit die aan de rol van Azure AI-beheerder is toegewezen. Deze rol wordt beperkter beperkt tot de minimale machtigingen die nodig zijn voor de beheerde identiteit om de taken uit te voeren.
De rol Azure AI-beheerder is momenteel in openbare preview.
Belangrijk
Items die in dit artikel zijn gemarkeerd (preview) zijn momenteel beschikbaar als openbare preview. Deze preview wordt aangeboden zonder een service level agreement en we raden deze niet aan voor productieworkloads. Bepaalde functies worden mogelijk niet ondersteund of hebben mogelijk beperkte mogelijkheden. Zie Aanvullende gebruiksvoorwaarden voor Microsoft Azure Previewsvoor meer informatie.
De rol Azure AI-beheerder heeft de volgende machtigingen:
{
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.CognitiveServices/*",
"Microsoft.ContainerRegistry/registries/*",
"Microsoft.DocumentDb/databaseAccounts/*",
"Microsoft.Features/features/read",
"Microsoft.Features/providers/features/read",
"Microsoft.Features/providers/features/register/action",
"Microsoft.Insights/alertRules/*",
"Microsoft.Insights/components/*",
"Microsoft.Insights/diagnosticSettings/*",
"Microsoft.Insights/generateLiveToken/read",
"Microsoft.Insights/logDefinitions/read",
"Microsoft.Insights/metricAlerts/*",
"Microsoft.Insights/metricdefinitions/read",
"Microsoft.Insights/metrics/read",
"Microsoft.Insights/scheduledqueryrules/*",
"Microsoft.Insights/topology/read",
"Microsoft.Insights/transactions/read",
"Microsoft.Insights/webtests/*",
"Microsoft.KeyVault/*",
"Microsoft.MachineLearningServices/workspaces/*",
"Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/deployments/operations/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourcegroups/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Storage/storageAccounts/*",
"Microsoft.Support/*",
"Microsoft.Search/searchServices/write",
"Microsoft.Search/searchServices/read",
"Microsoft.Search/searchServices/delete",
"Microsoft.Search/searchServices/indexes/*",
"Microsoft.DataFactory/factories/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
Hint
U wordt aangeraden hubs te converteren die vóór 11-19-2024 zijn gemaakt om de azure AI-beheerdersrol te gebruiken. De rol Azure AI-beheerder is beperkter dan de eerder gebruikte rol Inzender en volgt de principal van minimale bevoegdheden.
U kunt hubs die vóór 11-19-2024 zijn gemaakt, converteren om de nieuwe Azure AI-beheerdersrol te gebruiken met behulp van een van de volgende methoden:
Azure REST API: Gebruik een
PATCHaanvraag voor de Azure REST API voor de werkruimte. De hoofdtekst van de aanvraag moet worden ingesteld{"properties":{"allowRoleAssignmeentOnRG":true}}. In het volgende voorbeeld ziet u eenPATCHaanvraag met behulp vancurl. Vervang<your-subscription>,<resource-group-name>, en<workspace-name>door<YOUR-ACCESS-TOKEN>de waarden voor uw scenario. Voor meer informatie over het gebruik van REST API's raadpleegt u de Documentatie van de Azure REST API.curl -X PATCH https://management.azure.com/subscriptions/<your-subscription>/resourcegroups/<resource-group-name>/providers/Microsoft.MachineLearningServices/workspaces/<workspace-name>?api-version=2024-04-01-preview -H "Authorization:Bearer <YOUR-ACCESS-TOKEN>"Azure CLI: Gebruik de
az ml workspace updateopdracht met de--allow-roleassignment-on-rg trueparameter. In het volgende voorbeeld wordt een werkruimte bijgewerkt met de naammyworkspace. Voor deze opdracht is de Azure Machine Learning CLI-extensie versie 2.27.0 of hoger vereist.az ml workspace update --name myworkspace --allow-roleassignment-on-rg trueAzure Python SDK: stel de
allow_roleassignment_on_rgeigenschap van het werkruimteobjectTruein op en voer vervolgens een updatebewerking uit. In het volgende voorbeeld wordt een werkruimte bijgewerkt met de naammyworkspace. Voor deze bewerking is azure Machine Learning SDK versie 1.17.0 of hoger vereist.ws = ml_client.workspaces.get(name="myworkspace") ws.allow_roleassignment_on_rg = True ws = ml_client.workspaces.begin_update(workspace=ws).result()
Als u problemen ondervindt met de rol Azure AI-beheerder, kunt u terugkeren naar de rol Inzender als een probleemoplossingsstap. Zie Terugkeren naar de rol Inzender voor meer informatie.
Azure AI-ontwikkelaarsrol
De volledige set machtigingen voor de nieuwe rol 'Azure AI Developer' zijn als volgt:
{
"Permissions": [
{
"Actions": [
"Microsoft.MachineLearningServices/workspaces/*/read",
"Microsoft.MachineLearningServices/workspaces/*/action",
"Microsoft.MachineLearningServices/workspaces/*/delete",
"Microsoft.MachineLearningServices/workspaces/*/write",
"Microsoft.MachineLearningServices/locations/*/read",
"Microsoft.Authorization/*/read",
"Microsoft.Resources/deployments/*"
],
"NotActions": [
"Microsoft.MachineLearningServices/workspaces/delete",
"Microsoft.MachineLearningServices/workspaces/write",
"Microsoft.MachineLearningServices/workspaces/listKeys/action",
"Microsoft.MachineLearningServices/workspaces/hubs/write",
"Microsoft.MachineLearningServices/workspaces/hubs/delete",
"Microsoft.MachineLearningServices/workspaces/featurestores/write",
"Microsoft.MachineLearningServices/workspaces/featurestores/delete"
],
"DataActions": [
"Microsoft.CognitiveServices/accounts/OpenAI/*",
"Microsoft.CognitiveServices/accounts/SpeechServices/*",
"Microsoft.CognitiveServices/accounts/ContentSafety/*"
],
"NotDataActions": [],
"Condition": null,
"ConditionVersion": null
}
]
}
Als de ingebouwde Azure AI Developer-rol niet aan uw behoeften voldoet, kunt u een aangepaste rol maken.
Standaardrollen voor projecten
Projecten in de Azure AI Foundry-portal hebben ingebouwde rollen die standaard beschikbaar zijn.
Hier volgt een tabel met de ingebouwde rollen en de bijbehorende machtigingen voor het project:
| Rol | Beschrijving |
|---|---|
| Eigenaar | Volledige toegang tot het project, inclusief de mogelijkheid om machtigingen toe te wijzen aan projectgebruikers. |
| Donateur | De gebruiker heeft volledige toegang tot het project, maar kan geen machtigingen toewijzen aan projectgebruikers. |
| Azure AI-beheerder (preview) | Deze rol wordt automatisch toegewezen aan de door het systeem toegewezen beheerde identiteit voor de hub. De rol Azure AI-beheerder heeft de minimale machtigingen die nodig zijn voor de beheerde identiteit om de taken uit te voeren. Zie de Azure AI-beheerdersrol (preview) voor meer informatie. |
| Azure AI-ontwikkelaar | De gebruiker kan de meeste acties uitvoeren, waaronder implementaties maken, maar kan geen machtigingen toewijzen aan projectgebruikers. |
| Azure AI-inferentie-implementatieoperator | Voer alle acties uit die nodig zijn om een bronnen-implementatie in een brongroep te maken. |
| Lezer | Alleen-lezentoegang tot het project. |
Wanneer een gebruiker toegang krijgt tot een project (bijvoorbeeld via het machtigingsbeheer van de Azure AI Foundry-portal), worden er automatisch twee rollen toegewezen aan de gebruiker. De eerste rol is Lezer op de hub. De tweede rol is de rol Invoeringsoperator voor inferentie, waarmee de gebruiker implementaties kan uitrollen in de resourcegroep waarin het project zich bevindt. Deze rol bestaat uit deze twee machtigingen: "Microsoft.Authorization/*/read" en "Microsoft.Resources/deployments/*".
Om end-to-end AI-ontwikkeling en -implementatie te voltooien, hebben gebruikers alleen deze twee automatisch toegewezen rollen nodig en de rol Inzender of Azure AI Developer voor een project.
De minimale machtigingen die nodig zijn om een project aan te maken, zijn een rol met de toegestane actie van Microsoft.MachineLearningServices/workspaces/hubs/join op de hub. De Azure AI Developer ingebouwde rol heeft deze machtiging.
Azure RBAC-machtigingen voor de afhankelijkheidsservice
De hub heeft afhankelijkheden van andere Azure-services. De volgende tabel bevat de machtigingen die vereist zijn voor deze services wanneer u een hub maakt. De persoon die de hub maakt, heeft deze machtigingen nodig. De persoon die een project van de hub maakt, heeft deze niet nodig.
| Toestemming | Doel |
|---|---|
Microsoft.Storage/storageAccounts/write |
Maak een opslagaccount met de opgegeven parameters of werk de eigenschappen of tags bij of voegt aangepast domein toe voor het opgegeven opslagaccount. |
Microsoft.KeyVault/vaults/write |
Maak een nieuwe sleutelkluis of werk de eigenschappen van een bestaande sleutelkluis bij. Voor bepaalde eigenschappen zijn mogelijk meer machtigingen vereist. |
Microsoft.CognitiveServices/accounts/write |
API-accounts schrijven. |
Microsoft.MachineLearningServices/workspaces/write |
Maak een nieuwe werkruimte of werk de eigenschappen van een bestaande werkruimte bij. |
Voorbeeld van enterprise RBAC-installatie
De volgende tabel is een voorbeeld van het instellen van op rollen gebaseerd toegangsbeheer voor uw Azure AI Foundry voor een onderneming.
| Personage | Rol | Doel |
|---|---|---|
| IT-beheerder | Eigenaar van de hub | De IT-beheerder kan ervoor zorgen dat de hub is ingesteld op hun bedrijfsstandaarden. Ze kunnen managers de rol van Bijdrager aan de resource toewijzen om managers in staat te stellen nieuwe hubs te maken. Of ze kunnen managers de Azure AI Developer-rol toewijzen op de resource om te voorkomen dat er nieuwe hubs worden gemaakt. |
| Leidinggevenden | Bijdrager of Azure AI Developer op de hub | Managers kunnen de hub beheren, rekenresources controleren, verbindingen controleren en gedeelde verbindingen maken. |
| Teamleider/leadontwikkelaar | Azure AI Developer op de hub | Leidende ontwikkelaars kunnen projecten voor hun team maken en gedeelde resources (zoals rekenkracht en verbindingen) op hubniveau aanmaken. Nadat het project is gemaakt, kunnen projecteigenaren andere leden uitnodigen. |
| Teamleden/ontwikkelaars | Bijdrager of Azure AI Developer op het project | Ontwikkelaars kunnen AI-modellen bouwen en implementeren binnen een project en assets maken die ontwikkeling mogelijk maken, zoals berekeningen en verbindingen. |
Toegang tot resources die buiten de hub zijn gemaakt
Wanneer u een hub maakt, verleent de ingebouwde op rollen gebaseerd toegangsbeheer u toegang tot het gebruik van de resource. Als u echter resources wilt gebruiken buiten wat er namens u is gemaakt, moet u ervoor zorgen dat beide:
- De resource die u probeert te gebruiken, is zodanig ingesteld dat u er toegang toe heeft.
- Uw hub mag er toegang toe krijgen.
Als u bijvoorbeeld een nieuwe Blob-opslag wilt gebruiken, moet u ervoor zorgen dat de beheerde identiteit van de hub wordt toegevoegd aan de rol Blob Storage Reader voor de blob. Als u een nieuwe Azure AI Search-bron wilt gebruiken, moet u de hub mogelijk toevoegen aan de roltoewijzingen van Azure AI Search.
Toegang beheren met rollen
Als u een eigenaar van een hub bent, kunt u rollen toevoegen en verwijderen voor Azure AI Foundry. Ga naar de startpagina in Azure AI Foundry en selecteer uw hub. Selecteer vervolgens Gebruikers om gebruikers toe te voegen en te verwijderen voor de hub. U kunt ook machtigingen beheren vanuit Azure Portal onder Toegangsbeheer (IAM) of via de Azure CLI. Als u bijvoorbeeld de Azure AI-ontwikkelaarsrol wilt toewijzen aan 'joe@contoso.com' voor de resourcegroep 'this-rg' in het abonnement met een id, 00000000-0000-0000-0000-000000000000kunt u de volgende Azure CLI-opdracht gebruiken:
az role assignment create --role "Azure AI Developer" --assignee "joe@contoso.com" --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/this-rg
Aangepast rollen maken
Als de ingebouwde rollen niet voldoen, kunt u aangepaste rollen maken. Aangepaste rollen hebben mogelijk de machtigingen voor lees-, schrijf-, verwijder- en rekenresources in die Azure AI Foundry. U kunt de rol beschikbaar maken op een specifiek projectniveau, een specifiek resourcegroepniveau of een specifiek abonnementsniveau.
Opmerking
U moet eigenaar zijn van de resource op dat niveau om aangepaste rollen binnen die resource te maken.
In het volgende JSON-voorbeeld wordt een aangepaste Azure AI Foundry-ontwikkelaarsrol gedefinieerd op abonnementsniveau:
{
"properties": {
"roleName": "Azure AI Foundry Developer",
"description": "Custom role for Azure AI Foundry. At subscription level",
"assignableScopes": [
"/subscriptions/<your-subscription-id>"
],
"permissions": [
{
"actions": [
"Microsoft.MachineLearningServices/workspaces/write",
"Microsoft.MachineLearningServices/workspaces/endpoints/write",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.KeyVault/vaults/write",
"Microsoft.Authorization/roleAssignments/read",
"Microsoft.Authorization/roleDefinitions/read",
"Microsoft.CognitiveServices/*/read"
],
"notActions": [
"Microsoft.MachineLearningServices/workspaces/delete",
"Microsoft.MachineLearningServices/workspaces/write",
"Microsoft.MachineLearningServices/workspaces/listKeys/action",
"Microsoft.MachineLearningServices/workspaces/hubs/write",
"Microsoft.MachineLearningServices/workspaces/hubs/delete",
"Microsoft.MachineLearningServices/workspaces/featurestores/write",
"Microsoft.MachineLearningServices/workspaces/featurestores/delete"
],
"dataActions": [
"Microsoft.CognitiveServices/accounts/OpenAI/*/read",
"Microsoft.CognitiveServices/accounts/OpenAI/engines/completions/action",
"Microsoft.CognitiveServices/accounts/OpenAI/engines/search/action",
"Microsoft.CognitiveServices/accounts/OpenAI/engines/generate/action",
"Microsoft.CognitiveServices/accounts/OpenAI/deployments/search/action",
"Microsoft.CognitiveServices/accounts/OpenAI/deployments/completions/action",
"Microsoft.CognitiveServices/accounts/OpenAI/deployments/chat/completions/action",
"Microsoft.CognitiveServices/accounts/OpenAI/deployments/extensions/chat/completions/action",
"Microsoft.CognitiveServices/accounts/OpenAI/deployments/embeddings/action",
"Microsoft.CognitiveServices/accounts/OpenAI/images/generations/action"
],
"notDataActions": []
}
]
}
}
Gebruik een van de volgende artikelen voor stappen voor het maken van een aangepaste rol:
Voor meer informatie over het maken van aangepaste rollen in het algemeen, gaat u naar het artikel over aangepaste Azure-rollen .
Rollen toewijzen in de Azure AI Foundry-portal
U kunt gebruikers toevoegen en rollen rechtstreeks vanuit Azure AI Foundry toewijzen op hub- of projectniveau. Selecteer in het beheercentrum Gebruikers in de hub- of projectsectie en selecteer vervolgens Nieuwe gebruiker om een gebruiker toe te voegen.
Opmerking
U bent beperkt tot het selecteren van ingebouwde rollen. Als u aangepaste rollen wilt toewijzen, moet u Azure Portal, Azure CLI of Azure PowerShell gebruiken.
Vervolgens wordt u gevraagd om de gebruikersgegevens in te voeren en een ingebouwde rol te selecteren.
Scenario: Een door de klant beheerde sleutel gebruiken
Wanneer u een hub configureert voor het gebruik van een door de klant beheerde sleutel (CMK), wordt een Azure Key Vault gebruikt om de sleutel op te slaan. De gebruiker of service-principal die wordt ingezet om de werkruimte te maken, moet eigenaar- of medewerkerrechten hebben voor de Key Vault.
Als uw Azure AI Foundry-hub is geconfigureerd met een door de gebruiker toegewezen beheerde identiteit, moet de identiteit de volgende rollen krijgen. Met deze rollen kan de beheerde identiteit de Azure Storage-, Azure Cosmos DB- en Azure Search-resources maken die worden gebruikt bij het gebruik van een door de klant beheerde sleutel:
Microsoft.Storage/storageAccounts/writeMicrosoft.Search/searchServices/writeMicrosoft.DocumentDB/databaseAccounts/write
Binnen de sleutelkluis moet de gebruiker of service-principal via een sleutelkluistoegangsbeleid rechten hebben om de sleutel te maken, op te halen, te verwijderen en te zuiveren. Zie Azure Key Vault-beveiliging voor meer informatie.
Scenario: Verbindingen met Microsoft Entra ID-verificatie
Wanneer u een verbinding maakt die gebruikmaakt van Microsoft Entra ID-verificatie, moet u rollen toewijzen aan uw ontwikkelaars, zodat ze toegang hebben tot de resource.
| Resourcekoppeling | Rol | Beschrijving |
|---|---|---|
| Azure AI Search | Donateur | API-sleutels vermelden om indexen van Azure AI Foundry weer te geven. |
| Azure AI Search | Inzender voor zoekindexgegevens | Vereist voor indexeringsscenario's |
| Azure AI-services/Azure OpenAI | Inzender voor Cognitive Services OpenAI | Roep de openbare opname-API aan vanuit Azure AI Foundry. |
| Azure AI-services/Azure OpenAI | Cognitive Services-gebruiker | Api-sleutels van Azure AI Foundry vermelden. |
| Azure AI-services/Azure OpenAI | Cognitive Services-bijdrager | Hiermee kunt u oproepen naar het besturingsvlak uitvoeren. |
| Azure Blob Storage (opslagdienst van Azure) | Bijdrager van opslagblobdata | Vereist voor het lezen en schrijven van gegevens op de blobopslag. |
| Azure Data Lake Storage Gen 2 | Bijdrager van opslagblobdata | Vereist voor het lezen en schrijven van gegevens naar de data lake. |
| Microsoft OneLake | Donateur | Als u iemand toegang wilt geven tot Microsoft OneLake, moet u hen toegang geven tot uw Microsoft Fabric-werkruimte. |
Belangrijk
Als u Promptflow gebruikt met Azure Storage (inclusief Azure Data Lake Storage Gen 2), moet u ook de rol Inzender voor opslagbestandsgegevens toewijzen.
Wanneer u geverifieerde verbindingen van Microsoft Entra ID in de chatspeeltuin gebruikt, moeten de services elkaar machtigen voor toegang tot de vereiste resources. De beheerder die de configuratie uitvoert, moet de rol Eigenaar voor deze resources hebben om roltoewijzingen toe te voegen. De volgende tabel bevat de vereiste roltoewijzingen voor elke resource. De kolom Assigneer verwijst naar de door het systeem toegewezen beheerde identiteit van de vermelde resource. De kolom Resource verwijst naar de resource waartoe de toegewezen gebruiker toegang moet hebben. Azure OpenAI heeft bijvoorbeeld een door het systeem toegewezen beheerde identiteit waaraan de rol Search Index Data Reader voor de Azure AI Search-resource moet worden toegewezen.
| Rol | Cessionaris | Hulpbron | Beschrijving |
|---|---|---|---|
| Zoekindexgegevenslezer | Azure AI-services/Azure OpenAI | Azure AI Search | Inferentieservice bevraagt de gegevens van de index. Alleen gebruikt voor deductiescenario's. |
| Inzender voor zoekindexgegevens | Azure AI-services/Azure OpenAI | Azure AI Search | Lees-schrijftoegang tot inhoud in indexen. Importeer, vernieuw of voer een query uit op de verzameling documenten van een index. Alleen gebruikt voor opname- en inferencescenario's. |
| Inzender voor zoekservice | Azure AI-services/Azure OpenAI | Azure AI Search | Lees-schrijftoegang tot objectdefinities (indexen, aliassen, synoniemenkaarten, indexeerfuncties, gegevensbronnen en vaardighedensets). Inferentieservice voert een query uit op het indexschema voor het automatisch toewijzen van velden. De gegevensopnameservice maakt een index, gegevensbronnen, vaardighedenreeks, indexeerder aan en voert query's uit op de status van de indexeerder. |
| Inzender voor Cognitive Services OpenAI | Azure AI Search | Azure AI-services/Azure OpenAI | Aangepaste vaardigheid |
| Cognitive Services OpenAI-gebruiker | Azure OpenAI-resource voor chatmodel | Azure OpenAI-resource voor het insluiten van model | Alleen vereist als u twee Azure OpenAI-resources gebruikt om te communiceren. |
| Bijdrager van opslagblobdata | Azure AI Search | Azure opslagaccount | Leest blob en schrijft kennisarchief. |
| Bijdrager van opslagblobdata | Azure AI-services/Azure OpenAI | Azure opslagaccount | Leest uit de invoercontainer en schrijft de resultaten van de voorverwerking naar de uitvoercontainer. |
Opmerking
De Gebruikersrol Cognitive Services OpenAI is alleen vereist als u twee Azure OpenAI-resources gebruikt: één voor uw chatmodel en één voor uw insluitingsmodel. Als dit van toepassing is, schakelt u Vertrouwde services in en zorgt u ervoor dat voor de verbinding voor uw Azure OpenAI-resource Microsoft Entra-id is ingeschakeld.
Scenario: Een bestaande Azure OpenAI-resource gebruiken
Wanneer u een verbinding maakt met een bestaande Azure OpenAI-resource, moet u ook rollen toewijzen aan uw gebruikers, zodat ze toegang hebben tot de resource. U moet de rol Cognitive Services OpenAI-gebruiker of Cognitive Services OpenAI-inzender toewijzen, afhankelijk van de taken die ze moeten uitvoeren. Zie Azure OpenAI-rollen voor informatie over deze rollen en de taken die ze inschakelen.
Scenario: Azure Container Registry gebruiken
Een Azure Container Registry-exemplaar is een optionele afhankelijkheid voor Azure AI Foundry Hub. De volgende tabel bevat de ondersteuningsmatrix bij het verifiëren van een hub naar Azure Container Registry, afhankelijk van de verificatiemethode en de configuratie van openbare netwerktoegang vanAzure Container Registry.
| Verificatiemethode | Openbare netwerktoegang uitgeschakeld |
Openbare netwerktoegang van Azure Container Registry ingeschakeld |
|---|---|---|
| Admin gebruiker | ✓ | ✓ |
| Door het systeem toegewezen beheerde identiteit van Azure AI Foundry Hub | ✓ | ✓ |
| Door de gebruiker toegewezen beheerde identiteit van Azure AI Foundry Hub met de ACRPull-rol toegewezen aan de identiteit |
✓ |
Een door het systeem toegewezen beheerde identiteit wordt automatisch toegewezen aan de juiste rollen wanneer de hub wordt gemaakt. Als u een door de gebruiker toegewezen beheerde identiteit gebruikt, moet u de ACRPull-rol toewijzen aan de identiteit.
Scenario: Azure-toepassing Insights gebruiken voor logboekregistratie
Azure Application Insights is een optionele afhankelijkheid voor Azure AI Foundry hub. De volgende tabel bevat de vereiste machtigingen als u Application Insights wilt gebruiken wanneer u een hub maakt. De persoon die de hub maakt, heeft deze machtigingen nodig. De persoon die een project van de hub maakt, heeft deze machtigingen niet nodig.
| Toestemming | Doel |
|---|---|
Microsoft.Insights/Components/Write |
Schrijf naar de configuratie van een Application Insights-component. |
Microsoft.OperationalInsights/workspaces/write |
Maak een nieuwe werkruimte of koppelingen naar een bestaande werkruimte door de klant-id van de bestaande werkruimte op te geven. |
Scenario: Ingerichte doorvoereenheidkoper
In het volgende voorbeeld wordt een aangepaste rol gedefinieerd die ingerichte doorvoereenheden (PTU) kan aanschaffen.
{
"properties": {
"roleName": "PTU procurer",
"description": "Custom role to purchase PTU",
"assignableScopes": [
"/subscriptions/<your-subscription-id>"
],
"permissions": [
{
"actions": [
"Microsoft.CognitiveServices/accounts/commitmentplans/read",
"Microsoft.CognitiveServices/accounts/commitmentplans/write",
"Microsoft.CognitiveServices/accounts/commitmentplans/delete",
"Microsoft.CognitiveServices/locations/commitmentTiers/read",
"Microsoft.CognitiveServices/accounts/commitmentplans/read",
"Microsoft.CognitiveServices/accounts/commitmentplans/write",
"Microsoft.CognitiveServices/accounts/commitmentplans/delete",
"Microsoft.Features/features/read",
"Microsoft.Features/providers/features/read",
"Microsoft.Features/providers/features/register/action",
"Microsoft.Insights/logDefinitions/read",
"Microsoft.Insights/metricdefinitions/read",
"Microsoft.Insights/metrics/read",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/operations/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourcegroups/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Scenario: Azure OpenAI Assistants API
In het volgende voorbeeld wordt een rol gedefinieerd voor een ontwikkelaar met behulp van Azure OpenAI-assistenten.
{
"id": "",
"properties": {
"roleName": "Azure OpenAI Assistants API Developer",
"description": "Custom role to work with Azure OpenAI Assistants API",
"assignableScopes": [
"<your-scope>"
],
"permissions": [
{
"actions": [
"Microsoft.CognitiveServices/*/read",
"Microsoft.Authorization/roleAssignments/read",
"Microsoft.Authorization/roleDefinitions/read"
],
"notActions": [],
"dataActions": [
"Microsoft.CognitiveServices/accounts/OpenAI/*/read",
"Microsoft.CognitiveServices/accounts/OpenAI/engines/completions/action",
"Microsoft.CognitiveServices/accounts/OpenAI/engines/search/action",
"Microsoft.CognitiveServices/accounts/OpenAI/engines/generate/action",
"Microsoft.CognitiveServices/accounts/OpenAI/deployments/search/action",
"Microsoft.CognitiveServices/accounts/OpenAI/deployments/completions/action",
"Microsoft.CognitiveServices/accounts/OpenAI/deployments/chat/completions/action",
"Microsoft.CognitiveServices/accounts/OpenAI/deployments/extensions/chat/completions/action",
"Microsoft.CognitiveServices/accounts/OpenAI/deployments/embeddings/action",
"Microsoft.CognitiveServices/accounts/OpenAI/images/generations/action",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/write",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/read",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/delete",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/files/write",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/files/read",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/files/delete",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/threads/write",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/threads/read",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/threads/delete",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/threads/messages/write",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/threads/messages/read",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/threads/messages/files/read",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/threads/runs/write",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/threads/runs/read",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/threads/runs/steps/read"
],
"notDataActions": []
}
]
}
}
Problemen oplossen
Fout: Principal heeft geen toegang tot API/Bewerking
Symptomen
Wanneer u de chatspeeltuin van de Azure AI Foundry-portal gebruikt, krijgt u een foutbericht met de mededeling 'Principal heeft geen toegang tot API/Bewerking'. De fout kan ook een 'Apim-request-id' bevatten.
Oorzaak
De gebruiker of service-principal die wordt gebruikt voor het verifiëren van aanvragen voor Azure OpenAI of Azure AI Search beschikt niet over de vereiste machtigingen voor toegang tot de resource.
" needed as the existing translation is correct.
Wijs de volgende rollen toe aan de gebruiker of service-principal. De rol die u toewijst, is afhankelijk van de services die u gebruikt en het toegangsniveau dat de gebruiker of service-principal nodig heeft:
| Service die wordt geopend | Rol | Beschrijving |
|---|---|---|
| Azure OpenAI | Inzender voor Cognitive Services OpenAI | Roep de openbare opname-API aan vanuit Azure AI Foundry. |
| Azure OpenAI | Cognitive Services-gebruiker | Api-sleutels van Azure AI Foundry vermelden. |
| Azure AI Search | Inzender voor zoekindexgegevens | Vereist voor indexeringsscenario's. |
| Azure AI Search | Zoekindexgegevenslezer | Inferentieservice bevraagt de gegevens van de index. Alleen gebruikt voor deductiescenario's. |
Terug naar de rol van Bijdrager
Als u een nieuwe hub maakt en fouten ondervindt met de nieuwe standaardroltoewijzing van Azure AI-beheerder voor de beheerde identiteit, gebruikt u de volgende stappen om de hub te wijzigen in de rol Inzender:
Belangrijk
Het wordt afgeraden om een hub terug te zetten naar de rol Inzender, tenzij u problemen ondervindt. Als het terugdraaien de problemen oplost die u ondervindt, opent u een ondersteuningsincident met informatie over de problemen die door het terugdraaien zijn opgelost, zodat we het verder kunnen onderzoeken.
Als u wilt terugkeren naar de rol Inzender als de standaardfunctie voor nieuwe hubs, opent u een ondersteuningsaanvraag met de gegevens van uw Azure-abonnement en vraagt u of uw abonnement wordt gewijzigd om de rol Inzender te gebruiken als de standaardinstelling voor de door het systeem toegewezen beheerde identiteit van nieuwe hubs.
Verwijder de roltoewijzing voor de beheerde identiteit van de hub. Het bereik voor deze roltoewijzing is de resourcegroep die de hub bevat, waardoor de rol uit de resourcegroep moet worden verwijderd.
Hint
De door het systeem toegewezen beheerde identiteit voor de hub is hetzelfde als de naam van de hub.
Navigeer vanuit Azure Portal naar de resourcegroep die de hub bevat. Selecteer Toegangsbeheer (IAM) en selecteer vervolgens Roltoewijzingen. Zoek in de lijst met roltoewijzingen de roltoewijzing voor de beheerde identiteit. Selecteer deze en selecteer vervolgens Verwijderen.
Zie Roltoewijzingen verwijderen voor meer informatie over het verwijderen van een roltoewijzing.
Maak een nieuwe roltoewijzing voor de resourcegroep voor de rol Contributor. Wanneer u deze roltoewijzing toevoegt, selecteert u de beheerde identiteit voor de hub als de toegewezen gebruiker. De naam van de door het systeem toegewezen beheerde identiteit is hetzelfde als de hubnaam.
- Navigeer vanuit Azure Portal naar de resourcegroep die de hub bevat. Selecteer Toegangsbeheer (IAM) en selecteer vervolgens Roltoewijzing toevoegen.
- Selecteer Inzender op het tabblad Rol.
- Selecteer op het tabblad Ledende optie Beheerde identiteit, + Leden selecteren en stel de vervolgkeuzelijst Beheerde identiteit in op Azure AI Hub. Voer in het veld Selecteren de naam van de hub in. Selecteer de hub in de lijst en selecteer vervolgens Selecteren.
- Selecteer Beoordelen en toewijzen op het tabblad Beoordelen + toewijzen.