Controlul accesului bazat pe rolul serviciului Azure AI Agent
Controlul accesului bazat pe rol Azure (Azure RBAC) este utilizat pentru a gestiona accesul la resursele Azure, cum ar fi capacitatea de a crea resurse noi sau de a le utiliza pe cele existente. Utilizatorilor din ID-ul Microsoft Entra li se atribuie roluri specifice, care acordă acces la resurse. Azure RBAC vă permite să configurați accesul la hub-urile și proiectele Azure AI Foundry și la agenții de extensie care există în cadrul acestor proiecte.
Hubul Azure AI Foundry are roluri încorporate care sunt disponibile în mod implicit.
| Rol | Descriere |
|---|---|
| Proprietar | Acces complet la hub, inclusiv capacitatea de a gestiona și crea hub-uri noi și de a atribui permisiuni. Acest rol este atribuit automat creatorului hubului |
| Colaborator | Utilizatorul are acces complet la hub, inclusiv capacitatea de a crea hub-uri noi, dar nu poate gestiona permisiunile hub pentru resursa existentă. |
| Azure AI Administrator | Acest rol este atribuit automat identității gestionate atribuite de sistem pentru hub. Rolul Azure AI Administrator are permisiunile minime necesare pentru ca identitatea gestionată să-și îndeplinească sarcinile. |
| Dezvoltator Azure AI | Efectuați toate acțiunile, cu excepția creării de hub-uri noi și a gestionării permisiunilor hub-ului. De exemplu, utilizatorii pot crea proiecte, calcule și conexiuni. Utilizatorii pot atribui permisiuni în cadrul proiectului lor. Utilizatorii pot interacționa cu resursele Azure AI existente, cum ar fi Azure OpenAI, Azure AI Search și serviciile Azure AI. |
| Operator de implementare Azure AI Inference | Efectuați toate acțiunile necesare pentru a crea o implementare de resurse într-un grup de resurse. |
| Reader | Acces doar în citire la hub. Acest rol este atribuit automat tuturor membrilor de proiect din hub. |
Hub-urile au identitatea gestionată atribuită de sistem atribuită rolului de administrator Azure AI. Acest rol este mai restrâns la permisiunile minime necesare pentru ca identitatea gestionată să-și îndeplinească sarcinile. Această identitate gestionată atribuită de sistem este moștenită la nivel de proiect. În funcție de modul în care este configurat un agent Azure AI, procesul va utiliza identitatea gestionată atribuită de sistem atunci când accesează surse de date sau efectuează acțiuni precum rularea codului, rularea unei funcții particularizate sau a unei funcții Azure cu identitatea utilizatorului.
Atunci când unui utilizator i se acordă acces la un proiect (de exemplu, prin gestionarea permisiunilor portalului Azure AI Foundry), încă două roluri sunt atribuite automat utilizatorului. Primul rol este de cititor pe hub. Al doilea rol este rolul Operator de implementare de inferență, care permite utilizatorului să creeze implementări pe grupul de resurse în care se află proiectul.
Următorul tabel este un exemplu despre cum să configurați controlul accesului bazat pe rol pentru Azure AI Foundry pentru o întreprindere.
| Persoană | Rol | Scop |
|---|---|---|
| Administrator IT | Proprietarul hub-ului | Administratorul IT se poate asigura că hub-ul este configurat la standardele de întreprindere. Ei pot atribui managerilor rolul de colaborator pe resursă dacă doresc să le permită managerilor să creeze noi hub-uri. Sau pot atribui managerilor rolul Azure AI Developer pe resursă pentru a nu permite crearea de noi hub-uri. |
| Manageri | Contributor sau Azure AI Developer pe hub | Managerii pot gestiona hub-ul, pot audita resursele de calcul, pot audita conexiunile și pot crea conexiuni partajate. |
| Lider de echipă/Dezvoltator principal | Azure AI Developer pe hub | Dezvoltatorii principali pot crea proiecte pentru echipa lor și pot crea resurse partajate (cum ar fi calcul și conexiuni) la nivel de hub. După crearea proiectului, proprietarii de proiect pot invita alți membri. |
| Membrii echipei/dezvoltatori | Colaborator sau dezvoltator Azure AI în proiect | Dezvoltatorii pot construi și implementa modele AI într-un proiect și pot crea active care permit dezvoltarea, cum ar fi calcule și conexiuni. |
Puteți adăuga utilizatori și atribui roluri direct din Azure AI Foundry la nivel de hub sau de proiect. În centrul de gestionare, selectați Utilizatori în secțiunea hub sau proiect, apoi selectați Utilizator nou pentru a adăuga un utilizator.
Când creați un hub, permisiunile de control al accesului încorporate bazate pe roluri vă acordă acces pentru a utiliza resursa. Cu toate acestea, dacă doriți să utilizați resurse în afara a ceea ce a fost creat în numele dvs., trebuie să vă asigurați că ambele:
- Resursa pe care încercați să o utilizați are permisiuni configurate pentru a vă permite să o accesați.
- Hub-ul tău are voie să-l acceseze.
De exemplu, dacă încercați să consumați un nou spațiu de stocare Blob care nu este găzduit în hubul Azure AI asociat. În această circumstanță, trebuie să vă asigurați că identitatea gestionată a hub-ului este adăugată la rolul Cititor de stocare blob pentru blob. De asemenea, va trebui să vă asigurați că ați configurat accesul de ieșire gestionat de locul de muncă pentru a permite comunicarea de rețea la punctul final asociat cu stocarea blob. Configurația accesului la rețea este acoperită mai detaliat de următoarea unitate.