Kontrola dostępu oparta na rolach w usłudze Studio AI platformy Azure
Uwaga
Usługa Azure AI Studio jest obecnie dostępna w publicznej wersji zapoznawczej. Ta wersja zapoznawcza jest udostępniana bez umowy dotyczącej poziomu usług i nie zalecamy korzystania z niej w przypadku obciążeń produkcyjnych. Niektóre funkcje mogą być nieobsługiwane lub ograniczone. Aby uzyskać więcej informacji, zobacz Uzupełniające warunki korzystania z wersji zapoznawczych platformy Microsoft Azure.
Z tego artykułu dowiesz się, jak zarządzać dostępem (autoryzacją) do zasobu centrum AI platformy Azure. Kontrola dostępu oparta na rolach platformy Azure służy do zarządzania dostępem do zasobów platformy Azure, takich jak możliwość tworzenia nowych zasobów lub używania istniejących. Użytkownicy w Microsoft Entra ID mają przypisane określone role, które udzielają dostępu do zasobów. Platforma Azure oferuje zarówno wbudowane role, jak i możliwość tworzenia ról niestandardowych.
Ostrzeżenie
Zastosowanie niektórych ról może ograniczyć funkcjonalność interfejsu użytkownika w usłudze Studio AI platformy Azure dla innych użytkowników. Jeśli na przykład rola użytkownika nie ma możliwości utworzenia wystąpienia obliczeniowego, opcja utworzenia wystąpienia obliczeniowego nie będzie dostępna w programie Studio. To zachowanie jest oczekiwane i uniemożliwia użytkownikowi podjęcie prób operacji, które zwracają błąd odmowy dostępu.
Zasób centrum sztucznej inteligencji platformy Azure a projekt sztucznej inteligencji platformy Azure
W usłudze Azure AI Studio istnieją dwa poziomy dostępu: centrum azure AI i projekt azure AI. Centrum sztucznej inteligencji jest domem dla infrastruktury (w tym konfiguracji sieci wirtualnej, kluczy zarządzanych przez klienta, tożsamości zarządzanych i zasad), a także miejsca konfigurowania usług azure AI. Dostęp do centrum sztucznej inteligencji platformy Azure umożliwia modyfikowanie infrastruktury, tworzenie nowych zasobów centrum sztucznej inteligencji platformy Azure i tworzenie projektów. Projekty sztucznej inteligencji platformy Azure to podzbiór zasobu centrum AI platformy Azure, który działa jako obszary robocze, które umożliwiają tworzenie i wdrażanie systemów sztucznej inteligencji. W ramach projektu można opracowywać przepływy, wdrażać modele i zarządzać zasobami projektu. Dostęp do projektu umożliwia tworzenie kompleksowej sztucznej inteligencji przy jednoczesnym wykorzystaniu konfiguracji infrastruktury w zasobie centrum sztucznej inteligencji platformy Azure.
Jedną z najważniejszych zalet relacji między centrum AI i projektem sztucznej inteligencji jest to, że deweloperzy mogą tworzyć własne projekty, które dziedziczą ustawienia zabezpieczeń centrum sztucznej inteligencji. Możesz również mieć deweloperów, którzy są współautorami projektu i nie mogą tworzyć nowych projektów.
Role domyślne dla zasobu centrum sztucznej inteligencji platformy Azure
Program Azure AI Studio ma wbudowane role, które są domyślnie dostępne. Oprócz ról Czytelnik, Współautor i Właściciel program Azure AI Studio ma nową rolę o nazwie Azure AI Developer. Tę rolę można przypisać, aby umożliwić użytkownikom tworzenie połączeń, zasobów obliczeniowych i projektów, ale nie pozwala im na tworzenie nowych zasobów centrum sztucznej inteligencji platformy Azure ani zmienianie uprawnień istniejącego zasobu centrum AI platformy Azure.
Oto tabela wbudowanych ról i ich uprawnień dla zasobu centrum AI platformy Azure:
| Rola | Opis |
|---|---|
| Właściciel | Pełny dostęp do zasobu centrum AI platformy Azure, w tym możliwość zarządzania i tworzenia nowych zasobów centrum sztucznej inteligencji platformy Azure oraz przypisywania uprawnień. Ta rola jest automatycznie przypisywana do twórcy zasobów centrum sztucznej inteligencji platformy Azure |
| Współautor | Użytkownik ma pełny dostęp do zasobu centrum AI platformy Azure, w tym możliwość tworzenia nowych zasobów centrum sztucznej inteligencji platformy Azure, ale nie może zarządzać uprawnieniami zasobów centrum AI platformy Azure w istniejącym zasobie. |
| Deweloper sztucznej inteligencji platformy Azure | Wykonaj wszystkie akcje z wyjątkiem tworzenia nowych zasobów centrum sztucznej inteligencji platformy Azure i zarządzania uprawnieniami zasobów centrum sztucznej inteligencji platformy Azure. Na przykład użytkownicy mogą tworzyć projekty, obliczenia i połączenia. Użytkownicy mogą przypisywać uprawnienia w projekcie. Użytkownicy mogą korzystać z istniejących zasobów sztucznej inteligencji platformy Azure, takich jak Azure OpenAI, Azure AI Search i Azure AI Services. |
| Czytelnik | Dostęp tylko do odczytu do zasobu centrum AI platformy Azure. Ta rola jest automatycznie przypisywana do wszystkich członków projektu w ramach zasobu centrum AI platformy Azure. |
Kluczową różnicą między współautorem i deweloperem sztucznej inteligencji platformy Azure jest możliwość tworzenia nowych zasobów centrum sztucznej inteligencji platformy Azure. Jeśli nie chcesz, aby użytkownicy mogli tworzyć nowe zasoby centrum sztucznej inteligencji platformy Azure (ze względu na limit przydziału, koszt lub zarządzanie liczbą posiadanych zasobów centrum sztucznej inteligencji platformy Azure), przypisz rolę dewelopera sztucznej inteligencji.
Tylko role Właściciel i Współautor umożliwiają tworzenie zasobu centrum AI platformy Azure. Obecnie role niestandardowe nie mogą udzielać uprawnień do tworzenia zasobów centrum AI platformy Azure.
Pełny zestaw uprawnień dla nowej roli "Deweloper sztucznej inteligencji platformy Azure" jest następujący:
{
"Permissions": [
{
"Actions": [
"Microsoft.MachineLearningServices/workspaces/*/read",
"Microsoft.MachineLearningServices/workspaces/*/action",
"Microsoft.MachineLearningServices/workspaces/*/delete",
"Microsoft.MachineLearningServices/workspaces/*/write"
],
"NotActions": [
"Microsoft.MachineLearningServices/workspaces/delete",
"Microsoft.MachineLearningServices/workspaces/write",
"Microsoft.MachineLearningServices/workspaces/listKeys/action",
"Microsoft.MachineLearningServices/workspaces/hubs/write",
"Microsoft.MachineLearningServices/workspaces/hubs/delete",
"Microsoft.MachineLearningServices/workspaces/featurestores/write",
"Microsoft.MachineLearningServices/workspaces/featurestores/delete"
],
"DataActions": [
"Microsoft.CognitiveServices/accounts/OpenAI/*",
"Microsoft.CognitiveServices/accounts/SpeechServices/*",
"Microsoft.CognitiveServices/accounts/ContentSafety/*"
],
"NotDataActions": [],
"Condition": null,
"ConditionVersion": null
}
]
}
Role domyślne dla projektów sztucznej inteligencji platformy Azure
Projekty w programie Azure AI Studio mają wbudowane role, które są domyślnie dostępne. Oprócz ról Czytelnik, Współautor i Właściciel projekty mają również rolę dewelopera usługi Azure AI.
Oto tabela wbudowanych ról i ich uprawnień dla projektu usługi Azure AI:
| Rola | Opis |
|---|---|
| Właściciel | Pełny dostęp do projektu usługi Azure AI, w tym możliwość przypisywania uprawnień do użytkowników projektu. |
| Współautor | Użytkownik ma pełny dostęp do projektu usługi Azure AI, ale nie może przypisać uprawnień do użytkowników projektu. |
| Deweloper sztucznej inteligencji platformy Azure | Użytkownik może wykonywać większość akcji, w tym tworzyć wdrożenia, ale nie może przypisywać uprawnień użytkownikom projektu. |
| Czytelnik | Dostęp tylko do odczytu do projektu sztucznej inteligencji platformy Azure. |
Gdy użytkownik otrzymuje dostęp do projektu (na przykład za pośrednictwem zarządzania uprawnieniami programu AI Studio), do użytkownika są automatycznie przypisywane dwie kolejne role. Pierwszą rolą jest Czytelnik w zasobie centrum sztucznej inteligencji platformy Azure. Drugą rolą jest rola Operator wdrażania wnioskowania, która umożliwia użytkownikowi tworzenie wdrożeń w grupie zasobów, w której znajduje się projekt. Ta rola składa się z tych dwóch uprawnień: "Microsoft.Authorization/*/read" i "Microsoft.Resources/deployments/*".
Aby ukończyć kompleksowe opracowywanie i wdrażanie sztucznej inteligencji, użytkownicy potrzebują tylko tych dwóch automatycznie przypisanych ról oraz roli Współautor lub Deweloper sztucznej inteligencji platformy Azure w projekcie.
Minimalne uprawnienia wymagane do utworzenia zasobu projektu sztucznej inteligencji to rola, która ma dozwoloną akcję Microsoft.MachineLearningServices/workspaces/hubs/join w zasobie centrum sztucznej inteligencji. Wbudowana rola dewelopera sztucznej inteligencji platformy Azure ma to uprawnienie.
Uprawnienia kontroli dostępu opartej na rolach usługi zależności
Zasób centrum sztucznej inteligencji platformy Azure ma zależności od innych usług platformy Azure. W poniższej tabeli wymieniono uprawnienia wymagane dla tych usług podczas tworzenia zasobu centrum sztucznej inteligencji platformy Azure. Te uprawnienia są wymagane przez osobę, która tworzy centrum sztucznej inteligencji. Nie są one potrzebne przez osobę, która tworzy projekt sztucznej inteligencji z centrum sztucznej inteligencji.
| Uprawnienie | Purpose |
|---|---|
Microsoft.Storage/storageAccounts/write |
Utwórz konto magazynu z określonymi parametrami lub zaktualizuj właściwości lub tagi albo dodaj domenę niestandardową dla określonego konta magazynu. |
Microsoft.KeyVault/vaults/write |
Utwórz nowy magazyn kluczy lub zaktualizuj właściwości istniejącego magazynu kluczy. Niektóre właściwości mogą wymagać większej liczby uprawnień. |
Microsoft.CognitiveServices/accounts/write |
Zapisywanie kont interfejsu API. |
Microsoft.Insights/Components/Write |
Zapisywanie w konfiguracji składnika usługi Application Insights. |
Microsoft.OperationalInsights/workspaces/write |
Utwórz nowy obszar roboczy lub linki do istniejącego obszaru roboczego, podając identyfikator klienta z istniejącego obszaru roboczego. |
Przykładowa konfiguracja kontroli dostępu opartej na rolach przedsiębiorstwa
Poniżej przedstawiono przykład konfigurowania kontroli dostępu opartej na rolach dla programu Azure AI Studio dla przedsiębiorstwa.
| Osoba | Rola | Purpose |
|---|---|---|
| Administrator systemu informatycznego | Właściciel zasobu centrum AI platformy Azure | Administrator IT może upewnić się, że zasób centrum sztucznej inteligencji platformy Azure jest skonfigurowany do standardów przedsiębiorstwa i przypisuje menedżerom rolę Współautor w zasobie, jeśli chce umożliwić menedżerom tworzenie nowych zasobów centrum sztucznej inteligencji platformy Azure lub może przypisać menedżerom rolę dewelopera sztucznej inteligencji platformy Azure w zasobie, aby nie zezwalać na tworzenie nowych zasobów centrum sztucznej inteligencji platformy Azure. |
| Menedżerowie | Współautor lub deweloper sztucznej inteligencji platformy Azure w zasobie usługi Azure AI Hub | Menedżerowie mogą zarządzać centrum sztucznej inteligencji, przeprowadzać inspekcję zasobów obliczeniowych, przeprowadzać inspekcję połączeń i tworzyć połączenia udostępnione. |
| Lider zespołu/główny deweloper | Deweloper sztucznej inteligencji platformy Azure w zasobie centrum sztucznej inteligencji platformy Azure | Potencjalni deweloperzy mogą tworzyć projekty dla swojego zespołu i tworzyć udostępnione zasoby (np. obliczenia i połączenia) na poziomie zasobów centrum sztucznej inteligencji platformy Azure. Po utworzeniu projektu właściciele projektów mogą zapraszać innych członków. |
| Członkowie zespołu/deweloperzy | Współautor lub deweloper sztucznej inteligencji platformy Azure w projekcie sztucznej inteligencji platformy Azure | Deweloperzy mogą tworzyć i wdrażać modele sztucznej inteligencji w projekcie i tworzyć zasoby, które umożliwiają programowanie, takie jak obliczenia i połączenia. |
Dostęp do zasobów utworzonych poza zasobem usługi Azure AI Hub
Podczas tworzenia zasobu centrum sztucznej inteligencji platformy Azure wbudowane uprawnienia kontroli dostępu opartej na rolach zapewniają dostęp do korzystania z zasobu. Jeśli jednak chcesz używać zasobów spoza tego, co zostało utworzone w Twoim imieniu, musisz upewnić się, że oba te elementy:
- Zasób, którego próbujesz użyć, ma skonfigurowane uprawnienia, aby umożliwić mu dostęp.
- Zasób centrum AI platformy Azure może uzyskać do niego dostęp.
Jeśli na przykład próbujesz użyć nowego magazynu obiektów blob, musisz upewnić się, że tożsamość zarządzana zasobu centrum sztucznej inteligencji platformy Azure zostanie dodana do roli Czytelnik usługi Blob Storage dla obiektu blob. Jeśli próbujesz użyć nowego źródła usługi Azure AI Search, może być konieczne dodanie zasobu centrum AI platformy Azure do przypisań ról usługi Azure AI Search.
Zarządzanie dostępem za pomocą ról
Jeśli jesteś właścicielem zasobu centrum sztucznej inteligencji platformy Azure, możesz dodawać i usuwać role dla programu Studio. W usłudze Azure AI Studio przejdź do obszaru Zarządzanie i wybierz zasób centrum AI platformy Azure. Następnie wybierz pozycję Uprawnienia , aby dodać i usunąć użytkowników dla zasobu centrum AI platformy Azure. Możesz również zarządzać uprawnieniami z witryny Azure Portal w obszarze Kontrola dostępu (Zarządzanie dostępem i tożsamościami) lub za pośrednictwem interfejsu wiersza polecenia platformy Azure. Na przykład użyj interfejsu wiersza polecenia platformy Azure, aby przypisać rolę dewelopera usługi Azure AI dojoe@contoso.com "" dla grupy zasobów "this-rg" za pomocą następującego polecenia:
az role assignment create --role "Azure AI Developer" --assignee "joe@contoso.com" --resource-group this-rg
Tworzenie ról niestandardowych
Uwaga
Aby utworzyć nowy zasób centrum sztucznej inteligencji platformy Azure, potrzebujesz roli Właściciel lub Współautor. W tej chwili rola niestandardowa, nawet w przypadku wszystkich dozwolonych akcji, nie umożliwi utworzenia zasobu centrum AI platformy Azure.
Jeśli wbudowane role nie są wystarczające, można tworzyć role niestandardowe. Role niestandardowe mogą mieć uprawnienia do odczytu, zapisu, usuwania i zasobów obliczeniowych w tym programie AI Studio. Rolę można udostępnić na określonym poziomie projektu, określonym poziomie grupy zasobów lub określonym poziomie subskrypcji.
Uwaga
Musisz być właścicielem zasobu na tym poziomie, aby utworzyć role niestandardowe w ramach tego zasobu.
Scenariusz: używanie klucza zarządzanego przez klienta
W przypadku korzystania z klucza zarządzanego przez klienta usługa Azure Key Vault jest używana do przechowywania klucza. Użytkownik lub jednostka usługi używana do tworzenia obszaru roboczego musi mieć dostęp właściciela lub współautora do magazynu kluczy.
Jeśli centrum azure AI jest skonfigurowane z tożsamością zarządzaną przypisaną przez użytkownika, tożsamość musi mieć przyznane następujące role. Te role umożliwiają tożsamości zarządzanej tworzenie zasobów usługi Azure Storage, usługi Azure Cosmos DB i usługi Azure Search używanych podczas korzystania z klucza zarządzanego przez klienta:
Microsoft.Storage/storageAccounts/writeMicrosoft.Search/searchServices/writeMicrosoft.DocumentDB/databaseAccounts/write
W magazynie kluczy użytkownik lub jednostka usługi musi mieć uprawnienia do tworzenia, pobierania, usuwania i przeczyszczania klucza za pośrednictwem zasad dostępu do magazynu kluczy. Aby uzyskać więcej informacji, zobacz Zabezpieczenia usługi Azure Key Vault.
Scenariusz: korzystanie z istniejącego zasobu usługi Azure OpenAI
Podczas tworzenia połączenia z istniejącym zasobem usługi Azure OpenAI należy również przypisać role do użytkowników, aby mogli uzyskiwać dostęp do zasobu. W zależności od zadań, które muszą wykonać, należy przypisać rolę Użytkownik OpenAI usług Cognitive Services lub Współautor openAI usług Cognitive Services. Aby uzyskać informacje o tych rolach i zadaniach, które włączają, zobacz Role usługi Azure OpenAI.
Scenariusz: Korzystanie z usługi Azure Container Registry
Wystąpienie usługi Azure Container Registry to opcjonalna zależność dla centrum azure AI Studio. W poniższej tabeli wymieniono macierz obsługi podczas uwierzytelniania centrum w usłudze Azure Container Registry w zależności od metody uwierzytelniania i konfiguracji dostępu do sieci publicznej usługi Azure Container Registry.
| Metoda uwierzytelniania | Dostęp do sieci publicznej jest wyłączony |
Włączono dostęp do sieci publicznej usługi Azure Container Registry |
|---|---|---|
| Administrator | ✓ | ✓ |
| Tożsamość zarządzana przypisana przez system w usłudze AI Studio | ✓ | ✓ |
| Tożsamość zarządzana przypisana przez użytkownika centrum AI Studio z rolą ACRPull przypisaną do tożsamości |
✓ |
Tożsamość zarządzana przypisana przez system jest automatycznie przypisywana do odpowiednich ról podczas tworzenia centrum azure AI. Jeśli używasz tożsamości zarządzanej przypisanej przez użytkownika, musisz przypisać rolę ACRPull do tożsamości.