Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule poznasz podstawowe pojęcia kontroli dostępu opartej na rolach (RBAC) dla usługi Microsoft Foundry, w tym zakresy, wbudowane role i typowe wzorce przypisań przedsiębiorstwa.
Wskazówka
Role RBAC mają zastosowanie podczas uwierzytelniania przy użyciu identyfikatora Entra firmy Microsoft. Jeśli zamiast tego używasz uwierzytelniania opartego na kluczach, klucz udziela pełnego dostępu bez ograniczeń roli. Firma Microsoft zaleca korzystanie z uwierzytelniania entra ID w celu zwiększenia bezpieczeństwa i szczegółowej kontroli dostępu.
Aby uzyskać więcej informacji na temat uwierzytelniania i autoryzacji w rozwiązaniu Microsoft Foundry, zobacz Uwierzytelnianie i autoryzacja.
Minimalne wymagania dotyczące przypisania ról do rozpoczęcia pracy
W przypadku nowych użytkowników na platformie Azure i platformie Microsoft Foundry zacznij od tych minimalnych przypisań, aby zarówno jednostka użytkownika, jak i tożsamość zarządzana projektu mogły uzyskiwać dostęp do funkcji rozwiązania Foundry.
Bieżące przypisania można zweryfikować przy użyciu opcji Sprawdź dostęp użytkownika do pojedynczego zasobu platformy Azure.
- Przypisz rolę Azure AI User w zasobie Foundry do user principal.
- Przypisz rolę użytkownika usługi Azure AI w zasobie Foundry do zarządzanej tożsamości projektu.
Jeśli użytkownik, który utworzył projekt, może przypisywać role (na przykład przez rolę właściciela platformy Azure w zakresie subskrypcji lub grupy zasobów), oba przypisania zostaną dodane automatycznie.
Aby ręcznie przypisać te role, wykonaj następujące szybkie kroki.
Przypisz rolę do głównego użytkownika
W Azure Portal otwórz zasób Foundry i przejdź do pozycji Kontrola dostępu (IAM). Utwórz przypisanie roli dla użytkownika usługi Azure AI, ustaw pozycję Członkowie na Wartość Użytkownik, grupa lub jednostka usługi, wybierz jednostkę użytkownika, a następnie wybierz pozycję Przejrzyj i przypisz.
Przypisz rolę do zarządzanej tożsamości projektu
W witrynie Azure Portal otwórz projekt Foundry i przejdź do pozycji Kontrola dostępu (Zarządzanie dostępem i tożsamościami). Utwórz przypisanie roli dla Użytkownik Azure AI, ustaw opcję Członkowie na Tożsamość zarządzana, wybierz tożsamość zarządzaną projektu, a następnie wybierz Przejrzyj + przypisz.
Terminologia dotycząca kontroli dostępu opartej na rolach w rozwiązaniu Foundry
Aby zrozumieć kontrolę dostępu opartą na rolach w rozwiązaniu Microsoft Foundry, rozważ dwa pytania dotyczące przedsiębiorstwa.
- Jakie uprawnienia chcę mieć mój zespół podczas kompilowania w rozwiązaniu Microsoft Foundry?
- W jakim zakresie chcę przypisać uprawnienia do mojego zespołu?
Aby uzyskać odpowiedzi na te pytania, poniżej przedstawiono opisy niektórych terminologii używanych w tym artykule.
- Uprawnienia: Dozwolone lub blokowane akcje, które tożsamość może wykonywać w zasobie, takie jak odczytywanie, zapisywanie, usuwanie lub zarządzanie operacjami płaszczyzny sterowania i płaszczyzny danych.
- Zakres: zestaw zasobów platformy Azure, do którego ma zastosowanie przypisanie roli. Typowe zakresy obejmują subskrypcję, grupę zasobów, zasób foundry lub projekt Foundry.
- Rola: nazwana kolekcja uprawnień definiujących, które akcje można wykonywać w zasobach platformy Azure w danym zakresie.
Tożsamość otrzymuje rolę z określonymi uprawnieniami w określonym zakresie zgodnie z wymaganiami przedsiębiorstwa.
W rozwiązaniu Microsoft Foundry należy wziąć pod uwagę dwa zakresy podczas wykonywania przypisań ról.
- Zasób Foundry: najwyższy poziom zakresu, który definiuje granice administracyjne, bezpieczeństwa i monitorowania dla środowiska Microsoft Foundry.
- Projekt Foundry: podzakres w zasobie Foundry, używany do organizowania pracy i egzekwowania kontroli dostępu dla API, narzędzi i workflowów deweloperów.
Wbudowane role
Wbudowana rola w narzędziu Foundry jest rolą utworzoną przez firmę Microsoft, która obejmuje typowe scenariusze dostępu, które można przypisać członkom zespołu. Kluczowe wbudowane role używane na platformie Azure obejmują właściciela, współautora i czytelnika. Te role nie są specyficzne dla uprawnień zasobów usługi Foundry.
W przypadku zasobów usługi Foundry użyj dodatkowych wbudowanych ról, aby postępować zgodnie z zasadami dostępu z najmniejszymi uprawnieniami. W poniższej tabeli wymieniono wbudowane role funkcji Foundry i linki do dokładnych definicji ról w wbudowanych rolach sztucznej inteligencji i uczenia maszynowego.
| Role | Opis |
|---|---|
| Użytkownik sztucznej inteligencji platformy Azure | Udziela czytelnikowi dostępu do projektu Foundry, zasobu Foundry i działań na danych dla projektu Foundry. Jeśli masz możliwość przypisywania ról, ta rola zostanie ci przypisana automatycznie. W przeciwnym razie właściciel subskrypcji lub użytkownik z uprawnieniami do przypisywania ról ją przyznaje. Rola dostępu z najmniejszymi uprawnieniami w narzędziu Foundry. |
| Menedżer projektów sztucznej inteligencji platformy Azure | Umożliwia wykonywanie operacji zarządzania w projektach Foundry, tworzenie i rozwijanie projektów oraz warunkowe przypisywanie roli użytkownika usługi Azure AI innym użytkownikom. |
| Właściciel konta usługi Azure AI | Udziela pełnego dostępu do zarządzania projektami i zasobami oraz umożliwia warunkowe przypisanie roli użytkownika usługi Azure AI do innych podmiotów zabezpieczeń użytkowników. |
| Właściciel sztucznej inteligencji platformy Azure | Udziela pełnego dostępu do zarządzanych projektów i zasobów oraz umożliwia budowę i rozwój projektów. Wysoce uprzywilejowana rola samoobsługowa przeznaczona dla cyfrowych tubylców. |
Uprawnienia dla każdej roli wbudowanej
Poniższa tabela i diagram umożliwiają wyświetlanie uprawnień dozwolonych dla każdej wbudowanej roli w narzędziu Foundry, w tym kluczowych ról wbudowanych platformy Azure.
| Rola wbudowana | Utwórz projekty foundry | Tworzenie kont usługi Foundry | Budowanie i rozwijanie w projekcie (akcje danych) | Ukończenie przypisań ról | Dostęp czytelnika do projektów i kont | Zarządzaj modelami |
|---|---|---|---|---|---|---|
| Użytkownik sztucznej inteligencji platformy Azure | ✔ | ✔ | ||||
| Menedżer projektów sztucznej inteligencji platformy Azure | ✔ | ✔ | ✔ (przypisz tylko rolę użytkownika usługi Azure AI) | ✔ | ||
| Właściciel konta usługi Azure AI | ✔ | ✔ | ✔ (przypisz tylko rolę użytkownika usługi Azure AI) | ✔ | ✔ | |
| Właściciel sztucznej inteligencji platformy Azure | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Owner | ✔ | ✔ | ✔ (przypisz dowolną rolę do dowolnego użytkownika) | ✔ | ✔ | |
| Contributor | ✔ | ✔ | ✔ | ✔ | ||
| Reader | ✔ |
Aby uzyskać więcej informacji na temat ról wbudowanych na platformie Azure i platformy Foundry, zobacz Role wbudowane platformy Azure. Aby dowiedzieć się więcej na temat delegowania warunkowego używanego w roli właściciela konta usługi Azure AI i menedżera projektu usługi Azure AI, zobacz Delegowanie zarządzania przypisaniem ról platformy Azure do innych osób z warunkami.
Przykładowe mapowania kontroli dostępu opartej na rolach przedsiębiorstwa dla projektów
Oto przykład implementacji kontroli dostępu opartej na rolach (RBAC) dla zasobu rozwiązania Foundry przedsiębiorstwa.
| Osoba | Rola i zakres | Przeznaczenie |
|---|---|---|
| Administrator systemu informatycznego | Właściciel zakresu subskrypcji | Administrator IT zapewnia, że zasób Foundry spełnia standardy przedsiębiorstwa. Przypisz menedżerom rolę właściciela konta usługi Azure AI w zasobie, aby umożliwić im tworzenie nowych kont usługi Foundry. Przypisz menedżerom rolę Menedżera projektu usługi Azure AI w zasobie, aby umożliwić im tworzenie projektów na koncie. |
| Managers | Właściciel konta usługi Azure AI w zakresie zasobów usługi Foundry | Menedżerowie zarządzają zasobem Foundry, wdrażają modele, przeprowadzają inspekcję zasobów obliczeniowych, przeprowadzają inspekcję połączeń i tworzą połączenia udostępnione. Nie mogą tworzyć projektów, ale mogą przypisać do siebie i innych użytkowników rolę użytkownika sztucznej inteligencji platformy Azure , aby rozpocząć tworzenie. |
| Lider zespołu lub główny deweloper | Menedżer projektów sztucznej inteligencji platformy Azure w zakresie zasobów rozwiązania Foundry | Główni deweloperzy tworzą projekty dla swojego zespołu i zaczynają budować w tych projektach. Po utworzeniu projektu właściciele projektów zapraszają innych członków i przypisują rolę użytkownika usługi Azure AI . |
| Członkowie zespołu lub deweloperzy | Użytkownik sztucznej inteligencji platformy Azure w zakresie projektu Foundry i Czytelnik w zakresie zasobów usługi Foundry | Deweloperzy tworzą agentów w projekcie, wykorzystując wstępnie wdrożone modele foundry oraz wstępnie skonfigurowane połączenia. |
Zarządzanie przypisaniami ról
Aby zarządzać rolami w narzędziu Foundry, musisz mieć uprawnienia do przypisywania i usuwania ról na platformie Azure. Wbudowana rola właściciela platformy Azure obejmuje to uprawnienie. Role można przypisywać za pomocą portalu Foundry (strony administracyjnej), portalu Azure IAM lub interfejsu wiersza polecenia platformy Azure. Role można usunąć przy użyciu portalu Azure IAM lub interfejsu wiersza polecenia platformy Azure.
W portalu Foundry zarządzaj uprawnieniami, wykonując następujące polecenia:
- Otwórz stronę Administrator w narzędziu Foundry, a następnie wybierz pozycję Operacje>Admin.
- Wybierz nazwę projektu.
- Wybierz pozycję Dodaj użytkownika , aby zarządzać dostępem do projektu. Ta akcja jest dostępna tylko wtedy, gdy masz uprawnienia do przypisywania ról.
- Zastosuj ten sam przepływ dla dostępu na poziomie zasobów platformy Foundry.
Uprawnienia można zarządzać w witrynie Azure Portal w obszarze Kontrola dostępu (Zarządzanie dostępem i tożsamościami) lub przy użyciu interfejsu wiersza polecenia platformy Azure.
Na przykład następujące polecenie przypisuje rolę Użytkownika Sztucznej Inteligencji Azure do joe@contoso.com dla grupy zasobów this-rg w subskrypcji 00000000-0000-0000-0000-000000000000:
az role assignment create --role "Azure AI User" --assignee "joe@contoso.com" --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/this-rg
Tworzenie ról niestandardowych dla projektów
Jeśli wbudowane role nie spełniają wymagań przedsiębiorstwa, utwórz rolę niestandardową, która umożliwia precyzyjną kontrolę nad dozwolonymi akcjami i zakresami. Oto przykładowa definicja roli niestandardowej na poziomie subskrypcji:
{
"properties": {
"roleName": "My Enterprise Foundry User",
"description": "Custom role for Foundry at my enterprise to only allow building Agents. Assign at subscription level.",
"assignableScopes": ["/subscriptions/<your-subscription-id>"],
"permissions": [ {
"actions": ["Microsoft.CognitiveServices/*/read", "Microsoft.Authorization/*/read", "Microsoft.CognitiveServices/accounts/listkeys/action","Microsoft.Resources/deployments/*"],
"notActions": [],
"dataActions": ["Microsoft.CognitiveServices/accounts/AIServices/agents/*"],
"notDataActions": []
} ]
}
}
Aby uzyskać więcej informacji na temat tworzenia roli niestandardowej, zobacz następujące artykuły.
- Portal Azure
- Azure CLI
- Azure PowerShell
- Wyłącz funkcje w wersji zapoznawczej za pomocą programu Role-Based Access. Ten artykuł zawiera więcej szczegółowych informacji na temat określonych uprawnień dostępnych w narzędziu Foundry, zarówno w płaszczyźnie sterowania, jak i danych, które można wykorzystać podczas tworzenia ról niestandardowych.
Uwagi i ograniczenia
- Aby wyświetlić i usunąć usunięte konta usługi Foundry, musisz mieć przypisaną rolę Kontrybutora w zakresie subskrypcji.
- Użytkownicy z rolą Współautor mogą wdrażać modele w narzędziu Foundry.
- Aby utworzyć role niestandardowe w zasobie, należy mieć rolę Właściciela w zakresie tego zasobu.
- Jeśli masz uprawnienia do przypisywania ról w Azure (na przykład rolę właściciela przypisaną w zakresie konta) głównej nazwie użytkownika, i wdrożysz zasób Foundry z portalu Azure lub interfejsu użytkownika portalu Foundry, rola użytkownika Azure AI zostanie automatycznie przypisana do głównej nazwy użytkownika. To zadanie nie ma zastosowania podczas wdrażania Foundry z SDK lub CLI.
- Podczas tworzenia zasobu Foundry, wbudowane uprawnienia kontroli dostępu opartej na rolach (RBAC) zapewniają dostęp do tego zasobu. Aby korzystać z zasobów utworzonych poza usługą Foundry, upewnij się, że zasób ma uprawnienia umożliwiające dostęp do niego. Oto kilka przykładów:
- Aby użyć nowego konta usługi Azure Blob Storage, dodaj tożsamość zarządzaną zasobu konta Foundry do roli Czytelnik danych obiektów blob Storage na tym koncie Storage.
- Aby użyć nowego źródła usługi Azure AI Search, dodaj narzędzie Foundry do przypisań ról usługi Azure AI Search.
- Aby dostroić model w narzędziu Foundry, potrzebne są uprawnienia zarówno płaszczyzny danych, jak i płaszczyzny sterowania. Uprawnienie do wdrażania dostosowanego modelu występuje na płaszczyźnie kontrolnej. W związku z tym jedyną wbudowaną rolą z uprawnieniami płaszczyzny danych i płaszczyzny sterowania jest rola właściciela sztucznej inteligencji platformy Azure . Jeśli wolisz, możesz również przypisać rolę użytkownika AI platformy Azure na potrzeby uprawnień płaszczyzny danych i roli Właściciela konta usługi Azure AI na potrzeby uprawnień płaszczyzny sterowania.
Treści powiązane
- Utwórz projekt.
- Sprawdź dostęp użytkownika do pojedynczego zasobu platformy Azure.
- Uwierzytelnianie i autoryzacja w narzędziu Foundry.
- Wyłącz funkcje w wersji zapoznawczej za pomocą programu Role-Based Access.
Dodatek
Przykłady izolacji dostępu
Każda organizacja może mieć różne wymagania dotyczące izolacji dostępu w zależności od osób użytkowników w przedsiębiorstwie. Izolacja dostępu odnosi się do tego, którzy użytkownicy w przedsiębiorstwie otrzymują przypisania ról pozwalających na rozdzielenie uprawnień przy użyciu naszych wbudowanych ról lub przypisania do ujednoliconej, wysoce permisywnej roli. Istnieją trzy opcje izolacji dostępu dla rozwiązania Foundry, które można wybrać dla organizacji w zależności od wymagań dotyczących izolacji dostępu.
Brak izolacji dostępu. Oznacza to, że w przedsiębiorstwie nie masz żadnych wymagań oddzielających uprawnienia między deweloperem, menedżerem projektu ani administratorem. Uprawnienia do tych ról można przypisać między zespołami.
W związku z tym należy...
- Udzielanie wszystkim użytkownikom w przedsiębiorstwie roli właściciela sztucznej inteligencji platformy Azure w zakresie zasobów
Izolacja dostępu częściowego. Oznacza to, że menedżer projektu w przedsiębiorstwie powinien być w stanie opracowywać projekty, a także tworzyć projekty. Jednakże administratorzy nie powinni być w stanie rozwijać w środowisku Foundry, a jedynie tworzyć projekty i konta w Foundry.
W związku z tym należy...
- Nadaj swojemu administratorowi rolę właściciela konta Azure AI w kontekście zasobów
- Nadaj deweloperom i menedżerom projektów rolę Menedżera projektów sztucznej inteligencji platformy Azure w zasobie.
Całkowita izolacja dostępu. Oznacza to, że administratorzy, menedżerowie projektów i deweloperzy mają przypisane jasne uprawnienia, które nie nakładają się na ich różne funkcje w przedsiębiorstwie.
Dlatego powinieneś...
- Przyznaj swojemu administratorowi rolę właściciela konta Azure AI w zakresie zasobów
- Udziel deweloperowi roli Czytelnik w zakresie zasobów usługi Foundry i użytkownikowi usługi Azure AI w zakresie projektu
- Udzielanie menedżerowi projektu roli Menedżera projektów sztucznej inteligencji platformy Azure w zakresie zasobów
Użycie grup Microsoft Entra z usługą Foundry
Identyfikator Entra firmy Microsoft udostępnia kilka sposobów zarządzania dostępem do zasobów, aplikacji i zadań. Za pomocą grup Firmy Microsoft Entra można udzielić dostępu i uprawnień grupie użytkowników zamiast do poszczególnych użytkowników. Administratorzy IT w przedsiębiorstwie mogą tworzyć grupy firmy Microsoft Entra w witrynie Azure Portal, aby uprościć proces przypisywania ról dla deweloperów. Podczas tworzenia grupy Entra firmy Microsoft można zminimalizować liczbę przypisań ról wymaganych dla nowych deweloperów pracujących nad projektami programu Foundry, przypisując grupie wymagane przypisanie roli do niezbędnego zasobu.
Wykonaj następujące kroki, aby użyć grup Microsoft Entra ID w Foundry.
- Utwórz grupę zabezpieczeń w grupach w witrynie Azure Portal.
- Dodaj właściciela oraz użytkowników w organizacji, którzy potrzebują współdzielonego dostępu.
- Otwórz zasób docelowy i przejdź do pozycji Kontrola dostępu (IAM).
- Przypisz wymaganą rolę do użytkownika, grupy lub jednostki usługi i wybierz nową grupę zabezpieczeń.
- Wybierz Przejrzyj i przypisz, aby przypisać rolę wszystkim członkom grupy.
Typowe przykłady:
- Aby tworzyć agentów, uruchamiać ślady i korzystać z podstawowych funkcji Foundry, przypisz rolę Azure AI User do grupy Microsoft Entra.
- Aby użyć funkcji śledzenia i monitorowania, przypisz czytelnika do połączonego zasobu usługi Application Insights do tej samej grupy.
Aby dowiedzieć się więcej o grupach identyfikatorów entra firmy Microsoft, wymaganiach wstępnych i ograniczeniach, zobacz: