Delen via


Op rollen gebaseerd toegangsbeheer in Azure AI Studio

Belangrijk

Sommige van de functies die in dit artikel worden beschreven, zijn mogelijk alleen beschikbaar in de preview-versie. Deze preview wordt aangeboden zonder een service level agreement en we raden deze niet aan voor productieworkloads. Misschien worden bepaalde functies niet ondersteund of zijn de mogelijkheden ervan beperkt. Zie Aanvullende gebruiksvoorwaarden voor Microsoft Azure-previews voor meer informatie.

In dit artikel leert u hoe u toegang (autorisatie) beheert tot een Azure AI Studio-hub. Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) wordt gebruikt om de toegang tot Azure-resources te beheren, zoals de mogelijkheid om nieuwe resources te maken of bestaande resources te gebruiken. Gebruikers in uw Microsoft Entra ID krijgen specifieke rollen toegewezen, die toegang verlenen tot resources. Azure biedt zowel ingebouwde rollen als de mogelijkheid om aangepaste rollen te maken.

Waarschuwing

Het toepassen van sommige rollen kan de UI-functionaliteit in Azure AI Studio beperken voor andere gebruikers. Als de rol van een gebruiker bijvoorbeeld niet over de mogelijkheid beschikt om een rekenproces te maken, is de optie voor het maken van een rekenproces niet beschikbaar in studio. Dit gedrag wordt verwacht en voorkomt dat de gebruiker bewerkingen probeert uit te voeren die een fout 'Toegang geweigerd' retourneren.

AI Studio-hub versus project

In Azure AI Studio zijn er twee toegangsniveaus: de hub en het project. De hub is de thuisbasis van de infrastructuur (waaronder het instellen van virtuele netwerken, door de klant beheerde sleutels, beheerde identiteiten en beleid) en waar u uw Azure AI-services configureert. Met hubtoegang kunt u de infrastructuur wijzigen, nieuwe hubs maken en projecten maken. Projecten vormen een subset van de hub die fungeert als werkruimten waarmee u AI-systemen kunt bouwen en implementeren. Binnen een project kunt u stromen ontwikkelen, modellen implementeren en projectassets beheren. Met projecttoegang kunt u end-to-end AI ontwikkelen terwijl u profiteert van de infrastructuurconfiguratie op de hub.

Diagram van de relatie tussen AI Studio-resources.

Een van de belangrijkste voordelen van de hub- en projectrelatie is dat ontwikkelaars hun eigen projecten kunnen maken die de beveiligingsinstellingen van de hub overnemen. Mogelijk hebt u ook ontwikkelaars die inzenders zijn voor een project en u kunt geen nieuwe projecten maken.

Standaardrollen voor de hub

De AI Studio-hub heeft ingebouwde rollen die standaard beschikbaar zijn.

Hier volgt een tabel met de ingebouwde rollen en de bijbehorende machtigingen voor de hub:

Rol Beschrijving
Eigenaar Volledige toegang tot de hub, inclusief de mogelijkheid om nieuwe hubs te beheren en te maken en machtigingen toe te wijzen. Deze rol wordt automatisch toegewezen aan de maker van de hub
Inzender De gebruiker heeft volledige toegang tot de hub, inclusief de mogelijkheid om nieuwe hubs te maken, maar kan geen hubmachtigingen voor de bestaande resource beheren.
Azure AI Developer Voer alle acties uit, behalve nieuwe hubs maken en de hubmachtigingen beheren. Gebruikers kunnen bijvoorbeeld projecten, berekeningen en verbindingen maken. Gebruikers kunnen machtigingen toewijzen binnen hun project. Gebruikers kunnen communiceren met bestaande Azure AI-resources, zoals Azure OpenAI, Azure AI Search en Azure AI-services.
Azure AI-deductie-implementatieoperator Voer alle acties uit die nodig zijn om een resource-implementatie in een resourcegroep te maken.
Lezer Alleen-lezentoegang tot de hub. Deze rol wordt automatisch toegewezen aan alle projectleden binnen de hub.

Het belangrijkste verschil tussen Inzender en Azure AI Developer is de mogelijkheid om nieuwe hubs te maken. Als u niet wilt dat gebruikers nieuwe hubs maken (vanwege quotum, kosten of alleen beheren hoeveel hubs u hebt), wijst u de Azure AI Developer-rol toe.

Alleen de rollen Eigenaar en Inzender stellen u in staat om een hub te maken. Op dit moment kunnen aangepaste rollen u geen toestemming geven om hubs te maken.

De volledige set machtigingen voor de nieuwe rol 'Azure AI Developer' zijn als volgt:

{
    "Permissions": [ 
        { 
        "Actions": [ 
    
            "Microsoft.MachineLearningServices/workspaces/*/read", 
            "Microsoft.MachineLearningServices/workspaces/*/action", 
            "Microsoft.MachineLearningServices/workspaces/*/delete", 
            "Microsoft.MachineLearningServices/workspaces/*/write" 
        ], 
    
        "NotActions": [ 
            "Microsoft.MachineLearningServices/workspaces/delete", 
            "Microsoft.MachineLearningServices/workspaces/write", 
            "Microsoft.MachineLearningServices/workspaces/listKeys/action", 
            "Microsoft.MachineLearningServices/workspaces/hubs/write", 
            "Microsoft.MachineLearningServices/workspaces/hubs/delete", 
            "Microsoft.MachineLearningServices/workspaces/featurestores/write", 
            "Microsoft.MachineLearningServices/workspaces/featurestores/delete" 
        ], 
        "DataActions": [ 
            "Microsoft.CognitiveServices/accounts/OpenAI/*", 
            "Microsoft.CognitiveServices/accounts/SpeechServices/*", 
            "Microsoft.CognitiveServices/accounts/ContentSafety/*" 
        ], 
        "NotDataActions": [], 
        "Condition": null, 
        "ConditionVersion": null 
        } 
    ] 
}

Standaardrollen voor projecten

Projecten in AI Studio hebben ingebouwde rollen die standaard beschikbaar zijn.

Hier volgt een tabel met de ingebouwde rollen en de bijbehorende machtigingen voor het project:

Rol Beschrijving
Eigenaar Volledige toegang tot het project, inclusief de mogelijkheid om machtigingen toe te wijzen aan projectgebruikers.
Inzender De gebruiker heeft volledige toegang tot het project, maar kan geen machtigingen toewijzen aan projectgebruikers.
Azure AI Developer De gebruiker kan de meeste acties uitvoeren, waaronder implementaties maken, maar kan geen machtigingen toewijzen aan projectgebruikers.
Azure AI-deductie-implementatieoperator Voer alle acties uit die nodig zijn om een resource-implementatie in een resourcegroep te maken.
Lezer Alleen-lezentoegang tot het project.

Wanneer een gebruiker toegang krijgt tot een project (bijvoorbeeld via het machtigingsbeheer van AI Studio), worden er automatisch twee rollen toegewezen aan de gebruiker. De eerste rol is Lezer op de hub. De tweede rol is de rol Implementatieoperator voor deductie, waarmee de gebruiker implementaties kan maken in de resourcegroep waarin het project zich bevindt. Deze rol bestaat uit deze twee machtigingen: "Microsoft.Authorization/*/read" en "Microsoft.Resources/deployments/*".

Om end-to-end AI-ontwikkeling en -implementatie te voltooien, hebben gebruikers alleen deze twee automatisch toegewezen rollen nodig en de rol Inzender of Azure AI Developer voor een project.

De minimale machtigingen die nodig zijn om een project te maken, is een rol die de toegestane actie van Microsoft.MachineLearningServices/workspaces/hubs/join de hub heeft. De ingebouwde rol azure AI Developer heeft deze machtiging.

Azure RBAC-machtigingen voor de afhankelijkheidsservice

De hub heeft afhankelijkheden van andere Azure-services. De volgende tabel bevat de machtigingen die vereist zijn voor deze services wanneer u een hub maakt. De persoon die de hub maakt, heeft deze machtigingen nodig. De persoon die een project van de hub maakt, heeft deze niet nodig.

Machtiging Doel
Microsoft.Storage/storageAccounts/write Maak een opslagaccount met de opgegeven parameters of werk de eigenschappen of tags bij of voegt aangepast domein toe voor het opgegeven opslagaccount.
Microsoft.KeyVault/vaults/write Maak een nieuwe sleutelkluis of werk de eigenschappen van een bestaande sleutelkluis bij. Voor bepaalde eigenschappen zijn mogelijk meer machtigingen vereist.
Microsoft.CognitiveServices/accounts/write API-accounts schrijven.
Microsoft.MachineLearningServices/workspaces/write Maak een nieuwe werkruimte of werk de eigenschappen van een bestaande werkruimte bij.

Voorbeeld van enterprise RBAC-installatie

De volgende tabel is een voorbeeld van het instellen van op rollen gebaseerd toegangsbeheer voor uw Azure AI Studio voor een onderneming.

Persona Role Doel
IT-beheerder Eigenaar van de hub De IT-beheerder kan ervoor zorgen dat de hub is ingesteld op hun bedrijfsstandaarden. Ze kunnen managers de rol Inzender toewijzen aan de resource als ze managers in staat willen stellen om nieuwe hubs te maken. Of ze kunnen managers de Rol Azure AI Developer toewijzen aan de resource om het maken van nieuwe hubs niet toe te staan.
Managers Inzender of Azure AI Developer op de hub Managers kunnen de hub beheren, rekenresources controleren, verbindingen controleren en gedeelde verbindingen maken.
Teamleider/leadontwikkelaar Azure AI Developer op de hub Potentiële ontwikkelaars kunnen projecten maken voor hun team en gedeelde resources maken (bijvoorbeeld compute en verbindingen) op hubniveau. Nadat het project is gemaakt, kunnen projecteigenaren andere leden uitnodigen.
Teamleden/ontwikkelaars Inzender of Azure AI Developer in het project Ontwikkelaars kunnen AI-modellen bouwen en implementeren binnen een project en assets maken die ontwikkeling mogelijk maken, zoals berekeningen en verbindingen.

Toegang tot resources die buiten de hub zijn gemaakt

Wanneer u een hub maakt, verleent de ingebouwde op rollen gebaseerd toegangsbeheer u toegang tot het gebruik van de resource. Als u echter resources wilt gebruiken buiten wat er namens u is gemaakt, moet u ervoor zorgen dat beide:

  • De resource die u probeert te gebruiken, machtigingen heeft ingesteld om u toegang te geven tot de resource.
  • Uw hub mag er toegang toe krijgen.

Als u bijvoorbeeld een nieuwe Blob-opslag wilt gebruiken, moet u ervoor zorgen dat de beheerde identiteit van de hub wordt toegevoegd aan de rol Blob Storage Reader voor de blob. Als u een nieuwe Azure AI Search-bron wilt gebruiken, moet u de hub mogelijk toevoegen aan de roltoewijzingen van Azure AI Search.

Toegang beheren met rollen

Als u eigenaar van een hub bent, kunt u rollen toevoegen en verwijderen voor AI Studio. Ga naar de startpagina in AI Studio en selecteer uw hub. Selecteer vervolgens Gebruikers om gebruikers toe te voegen en te verwijderen voor de hub. U kunt ook machtigingen beheren vanuit Azure Portal onder Toegangsbeheer (IAM) of via de Azure CLI. Gebruik bijvoorbeeld de Azure CLI om de Azure AI-ontwikkelaarsrol toe te wijzen aan 'joe@contoso.com' voor resourcegroep 'this-rg' met de volgende opdracht:

az role assignment create --role "Azure AI Developer" --assignee "joe@contoso.com" --resource-group this-rg 

Aangepast rollen maken

Notitie

Als u een nieuwe hub wilt maken, hebt u de rol Eigenaar of Inzender nodig. Op dit moment kunt u met een aangepaste rol, zelfs niet met alle toegestane acties, een hub maken.

Als de ingebouwde rollen niet voldoen, kunt u aangepaste rollen maken. Aangepaste rollen hebben mogelijk de machtigingen voor lees-, schrijf-, verwijder- en rekenresources in die AI Studio. U kunt de rol beschikbaar maken op een specifiek projectniveau, een specifiek resourcegroepniveau of een specifiek abonnementsniveau.

Notitie

U moet eigenaar zijn van de resource op dat niveau om aangepaste rollen binnen die resource te maken.

Scenario: Een door de klant beheerde sleutel gebruiken

Wanneer u een hub configureert voor het gebruik van een door de klant beheerde sleutel (CMK), wordt een Azure Key Vault gebruikt om de sleutel op te slaan. De gebruiker of service-principal die wordt gebruikt om de werkruimte te maken, moet eigenaar- of inzendertoegang hebben tot de sleutelkluis.

Als uw AI Studio-hub is geconfigureerd met een door de gebruiker toegewezen beheerde identiteit, moet de identiteit de volgende rollen krijgen. Met deze rollen kan de beheerde identiteit de Azure Storage-, Azure Cosmos DB- en Azure Search-resources maken die worden gebruikt bij het gebruik van een door de klant beheerde sleutel:

  • Microsoft.Storage/storageAccounts/write
  • Microsoft.Search/searchServices/write
  • Microsoft.DocumentDB/databaseAccounts/write

Binnen de sleutelkluis moet de gebruiker of service-principal de toegang tot de sleutel maken, ophalen, verwijderen en opschonen via een sleutelkluistoegangsbeleid. Zie Azure Key Vault-beveiliging voor meer informatie.

Scenario: Een bestaande Azure OpenAI-resource gebruiken

Wanneer u een verbinding maakt met een bestaande Azure OpenAI-resource, moet u ook rollen toewijzen aan uw gebruikers, zodat ze toegang hebben tot de resource. U moet de rol Cognitive Services OpenAI-gebruiker of Cognitive Services OpenAI-inzender toewijzen, afhankelijk van de taken die ze moeten uitvoeren. Zie Azure OpenAI-rollen voor informatie over deze rollen en de taken die ze inschakelen.

Scenario: Azure Container Registry gebruiken

Een Azure Container Registry-exemplaar is een optionele afhankelijkheid voor Azure AI Studio-hub. De volgende tabel bevat de ondersteuningsmatrix bij het verifiëren van een hub naar Azure Container Registry, afhankelijk van de verificatiemethode en de configuratie van openbare netwerktoegang vanAzure Container Registry.

Verificatiemethode Openbare netwerktoegang
uitgeschakeld
Openbare netwerktoegang van Azure Container Registry
ingeschakeld
Beheerder
Door het AI Studio Hub-systeem toegewezen beheerde identiteit
Door de gebruiker toegewezen beheerde identiteit
van AI Studio Hub met de ACRPull-rol toegewezen aan de identiteit

Een door het systeem toegewezen beheerde identiteit wordt automatisch toegewezen aan de juiste rollen wanneer de hub wordt gemaakt. Als u een door de gebruiker toegewezen beheerde identiteit gebruikt, moet u de ACRPull-rol toewijzen aan de identiteit.

Scenario: Azure-toepassing Insights gebruiken voor logboekregistratie

Azure-toepassing Insights is een optionele afhankelijkheid voor Azure AI Studio-hub. De volgende tabel bevat de vereiste machtigingen als u Application Insights wilt gebruiken wanneer u een hub maakt. De persoon die de hub maakt, heeft deze machtigingen nodig. De persoon die een project van de hub maakt, heeft deze machtigingen niet nodig.

Machtiging Doel
Microsoft.Insights/Components/Write Schrijf naar een configuratie van een Application Insights-onderdeel.
Microsoft.OperationalInsights/workspaces/write Maak een nieuwe werkruimte of koppelingen naar een bestaande werkruimte door de klant-id van de bestaande werkruimte op te geven.

Volgende stappen