Управление доступом на основе ролей в Azure AI Studio
Внимание
Некоторые функции, описанные в этой статье, могут быть доступны только в предварительной версии. Эта предварительная версия предоставляется без соглашения об уровне обслуживания, и мы не рекомендуем ее для рабочих нагрузок. Некоторые функции могут не поддерживаться или их возможности могут быть ограничены. Дополнительные сведения см. в статье Дополнительные условия использования Предварительных версий Microsoft Azure.
Из этой статьи вы узнаете, как управлять доступом (авторизацией) к центру Azure AI Studio. Управление доступом на основе ролей Azure (Azure RBAC) используется для управления доступом к ресурсам Azure, например управления возможностью создавать новые ресурсы или использовать существующие. Пользователям в Microsoft Entra ID назначены определенные роли, которые предоставляют доступ к ресурсам. Azure предоставляет как встроенные роли, так и возможность создания настраиваемых ролей.
Предупреждение
Применение некоторых ролей может ограничить функциональность пользовательского интерфейса в Azure AI Studio для других пользователей. Например, если роль пользователя не может создавать вычислительные экземпляры, то функция создания вычислительного экземпляра будет недоступна в студии. Это ожидаемое поведение, которое не дает пользователю инициировать операции, приводящие к ошибке "отказано в доступе".
Центр AI Studio и проект
В Студии искусственного интеллекта Azure есть два уровня доступа: концентратор и проект. Центр является домом для инфраструктуры (включая настройку виртуальной сети, ключи, управляемые клиентом, управляемые удостоверения и политики) и где вы настраиваете службы ИИ Azure. Доступ к концентратору позволяет изменять инфраструктуру, создавать центры и создавать проекты. Проекты — это подмножество концентратора, которое выступает в качестве рабочих областей, позволяющих создавать и развертывать системы искусственного интеллекта. В проекте можно разрабатывать потоки, развертывать модели и управлять ресурсами проекта. Доступ к проекту позволяет разрабатывать комплексный ИИ, используя преимущества настройки инфраструктуры в центре.
Одним из ключевых преимуществ связи концентратора и проекта является то, что разработчики могут создавать собственные проекты, наследующие параметры безопасности концентратора. У вас также могут быть разработчики, которые являются участниками проекта и не могут создавать новые проекты.
Роли по умолчанию для концентратора
Центр AI Studio имеет встроенные роли, доступные по умолчанию.
Ниже приведена таблица встроенных ролей и их разрешений для концентратора:
| Роль | Description |
|---|---|
| Ответственный | Полный доступ к концентратору, включая возможность управления и создания новых центров и назначения разрешений. Эта роль автоматически назначается создателю центра. |
| Участник | Пользователь имеет полный доступ к концентратору, включая возможность создания новых центров, но не может управлять разрешениями концентратора на существующем ресурсе. |
| Разработчик ИИ Azure | Выполните все действия, кроме создания новых центров и управления разрешениями концентратора. Например, пользователи могут создавать проекты, вычисления и подключения. Пользователи могут назначать разрешения в своем проекте. Пользователи могут взаимодействовать с существующими ресурсами ИИ Azure, такими как Azure OpenAI, поиск ИИ Azure и службы ИИ Azure. |
| Оператор развертывания вывода искусственного интеллекта Azure | Выполните все действия, необходимые для создания развертывания ресурсов в группе ресурсов. |
| Читатель | Доступ только для чтения к концентратору. Эта роль автоматически назначается всем членам проекта в центре. |
Ключевым различием между участником и разработчиком ИИ Azure является возможность создания новых центров. Если вы не хотите, чтобы пользователи создали новые центры (из-за квоты, стоимости или простого управления количеством центров, которые у вас есть), назначьте роль разработчика ИИ Azure.
Только роли владельца и участника позволяют создавать концентратор. В настоящее время пользовательские роли не могут предоставить вам разрешение на создание центров.
Полный набор разрешений для новой роли разработчика ИИ Azure выглядит следующим образом:
{
"Permissions": [
{
"Actions": [
"Microsoft.MachineLearningServices/workspaces/*/read",
"Microsoft.MachineLearningServices/workspaces/*/action",
"Microsoft.MachineLearningServices/workspaces/*/delete",
"Microsoft.MachineLearningServices/workspaces/*/write"
],
"NotActions": [
"Microsoft.MachineLearningServices/workspaces/delete",
"Microsoft.MachineLearningServices/workspaces/write",
"Microsoft.MachineLearningServices/workspaces/listKeys/action",
"Microsoft.MachineLearningServices/workspaces/hubs/write",
"Microsoft.MachineLearningServices/workspaces/hubs/delete",
"Microsoft.MachineLearningServices/workspaces/featurestores/write",
"Microsoft.MachineLearningServices/workspaces/featurestores/delete"
],
"DataActions": [
"Microsoft.CognitiveServices/accounts/OpenAI/*",
"Microsoft.CognitiveServices/accounts/SpeechServices/*",
"Microsoft.CognitiveServices/accounts/ContentSafety/*"
],
"NotDataActions": [],
"Condition": null,
"ConditionVersion": null
}
]
}
Роли по умолчанию для проектов
Проекты в AI Studio имеют встроенные роли, доступные по умолчанию.
Ниже приведена таблица встроенных ролей и их разрешений для проекта:
| Роль | Description |
|---|---|
| Ответственный | Полный доступ к проекту, включая возможность назначать разрешения пользователям проекта. |
| Участник | Пользователь имеет полный доступ к проекту, но не может назначать разрешения пользователям проекта. |
| Разработчик ИИ Azure | Пользователь может выполнять большинство действий, включая создание развертываний, но не может назначать разрешения пользователям проекта. |
| Оператор развертывания вывода искусственного интеллекта Azure | Выполните все действия, необходимые для создания развертывания ресурсов в группе ресурсов. |
| Читатель | Доступ только для чтения к проекту. |
Когда пользователю предоставляется доступ к проекту (например, через управление разрешениями AI Studio), две другие роли автоматически назначаются пользователю. Первая роль — читатель в центре. Вторая роль — роль оператора развертывания вывода, которая позволяет пользователю создавать развертывания в группе ресурсов, в которой находится проект. Эта роль состоит из этих двух разрешений: "Microsoft.Authorization/*/read" и "Microsoft.Resources/deployments/*".
Чтобы завершить сквозную разработку и развертывание искусственного интеллекта, пользователям требуются только эти две автоматически указанные роли, а также роль участника или разработчика ИИ Azure в проекте.
Минимальные разрешения, необходимые для создания проекта, — это роль, которая имеет допустимое действие Microsoft.MachineLearningServices/workspaces/hubs/join на концентраторе. Встроенная роль разработчика ИИ Azure имеет это разрешение.
Разрешения службы зависимостей Azure RBAC
Центр имеет зависимости от других служб Azure. В следующей таблице перечислены разрешения, необходимые для этих служб при создании концентратора. Пользователь, создающий концентратор, нуждается в этих разрешениях. Человек, создающий проект из центра, не нуждается в них.
| Разрешение | Характер использования |
|---|---|
Microsoft.Storage/storageAccounts/write |
Создайте учетную запись хранения с указанными параметрами или обновите свойства или теги или добавляет личный домен для указанной учетной записи хранения. |
Microsoft.KeyVault/vaults/write |
Создайте новое хранилище ключей или обновите свойства существующего хранилища ключей. Для некоторых свойств может потребоваться больше разрешений. |
Microsoft.CognitiveServices/accounts/write |
Запись учетных записей API. |
Microsoft.MachineLearningServices/workspaces/write |
Создайте новую рабочую область или обновите свойства существующей рабочей области. |
Пример настройки корпоративного RBAC
В следующей таблице приведен пример настройки управления доступом на основе ролей для Azure AI Studio для предприятия.
| Пользователь | Роль | Характер использования |
|---|---|---|
| Администрирование ИТ-инфраструктуры | Владелец концентратора | ИТ-администратор может убедиться, что центр настроен в соответствии со своими корпоративными стандартами. Они могут назначать менеджерам роль участника в ресурсе, если они хотят, чтобы руководители могли создавать новые центры. Или они могут назначить менеджерам роль разработчика ИИ Azure в ресурсе, чтобы не разрешать создание нового концентратора. |
| Managers | Участник или разработчик ИИ Azure в центре | Руководители могут управлять концентратором, выполнять аудит вычислительных ресурсов, выполнять аудит подключений и создавать общие подключения. |
| Руководитель группы и разработчик потенциальных разработчиков | Разработчик ИИ Azure в центре | Ведущие разработчики могут создавать проекты для своей команды и создавать общие ресурсы (например, вычисления и подключения) на уровне концентратора. После создания проекта владельцы проектов могут приглашать других участников. |
| Участники группы и разработчики | Участник или разработчик ИИ Azure в проекте | Разработчики могут создавать и развертывать модели ИИ в проекте и создавать ресурсы, которые позволяют разрабатывать такие ресурсы, как вычисления и подключения. |
Доступ к ресурсам, созданным за пределами концентратора
При создании концентратора встроенные разрешения управления доступом на основе ролей предоставляют доступ к ресурсу. Однако если вы хотите использовать ресурсы вне того, что было создано от вашего имени, необходимо убедиться, что оба:
- Ресурс, который вы пытаетесь использовать, имеет разрешения, настроенные для предоставления доступа к нему.
- Доступ к центру разрешен.
Например, если вы пытаетесь использовать новое хранилище BLOB-объектов, необходимо убедиться, что управляемое удостоверение концентратора добавляется в роль читателя хранилища BLOB-объектов для большого двоичного объекта. Если вы пытаетесь использовать новый источник поиска ИИ Azure, возможно, потребуется добавить концентратор в назначения ролей поиска ИИ Azure.
Управление доступом с помощью ролей
Если вы являетесь владельцем концентратора, вы можете добавить и удалить роли для AI Studio. Перейдите на домашнюю страницу в AI Studio и выберите центр. Затем выберите "Пользователи", чтобы добавить и удалить пользователей для концентратора. Вы также можете управлять разрешениями из портал Azure в контроль доступа (IAM) или с помощью Azure CLI. Например, используйте Azure CLI для назначения ролиjoe@contoso.com разработчика ИИ Azure "" для группы ресурсов "this-rg" со следующей командой:
az role assignment create --role "Azure AI Developer" --assignee "joe@contoso.com" --resource-group this-rg
Создание настраиваемых ролей
Примечание.
Чтобы создать новый концентратор, вам потребуется роль владельца или участника. В настоящее время пользовательская роль, даже с разрешенными действиями, не позволит вам сделать концентратор.
Если встроенных ролей недостаточно, можно создать пользовательские роли. Пользовательские роли могут иметь разрешения на чтение, запись, удаление и вычислительные ресурсы в этой студии AI Studio. Вы можете сделать роль доступной на определенном уровне проекта, определенном уровне группы ресурсов или определенном уровне подписки.
Примечание.
Чтобы создавать настраиваемые роли в ресурсе, вы должны быть владельцем ресурса на соответствующем уровне.
Сценарий. Использование управляемого клиентом ключа
При настройке концентратора для использования ключа, управляемого клиентом (CMK), azure Key Vault используется для хранения ключа. Пользователь или субъект-служба, используемые для создания рабочей области, должны иметь доступ владельца или участника к хранилищу ключей.
Если центр AI Studio настроен с управляемым удостоверением, назначенным пользователем, удостоверение должно быть предоставлено следующим ролям. Эти роли позволяют управляемому удостоверению создавать служба хранилища Azure, Azure Cosmos DB и ресурсы поиска Azure, используемые при использовании управляемого клиентом ключа:
Microsoft.Storage/storageAccounts/writeMicrosoft.Search/searchServices/writeMicrosoft.DocumentDB/databaseAccounts/write
В хранилище ключей пользователю или субъекту-службе необходимо создать, получить, удалить и очистить доступ к ключу с помощью политики доступа к хранилищу ключей. Дополнительные сведения см. в статье Безопасность Azure Key Vault.
Сценарий. Использование существующего ресурса Azure OpenAI
При создании подключения к существующему ресурсу Azure OpenAI необходимо также назначить роли пользователям, чтобы они могли получить доступ к ресурсу. Необходимо назначить роль участника OpenAI в Cognitive Services или Cognitive Services OpenAI в зависимости от задач, которые они должны выполнять. Сведения об этих ролях и задачах, которые они позволяют, см. в статье "Роли Azure OpenAI".
Сценарий: использование Реестр контейнеров Azure
Экземпляр Реестр контейнеров Azure является необязательной зависимостью для Центра Azure AI Studio. В следующей таблице перечислены матрицы поддержки при проверке подлинности концентратора в Реестр контейнеров Azure в зависимости от метода проверки подлинности и конфигурации доступа к общедоступной сети Реестр контейнеров Azure.
| Authentication method | Доступ к общедоступной сети отключен |
включен сетевой доступ Реестр контейнеров Azure Public |
|---|---|---|
| Администратор | ✓ | ✓ |
| Управляемое удостоверение, назначаемое системой центра AI Studio | ✓ | ✓ |
| Управляемое удостоверение , назначаемое пользователем центром AI Studio, с ролью ACRPull , назначенной удостоверению |
✓ |
Управляемое удостоверение, назначаемое системой, автоматически назначается правильным ролям при создании концентратора. Если вы используете управляемое удостоверение, назначаемое пользователем, необходимо назначить роль ACRPull удостоверению.
Сценарий. Использование аналитики приложение Azure для ведения журнала
приложение Azure Insights — это необязательное зависимость для центра Azure AI Studio. В следующей таблице перечислены необходимые разрешения, если вы хотите использовать Application Insights при создании концентратора. Пользователь, создающий концентратор, нуждается в этих разрешениях. Пользователь, создающий проект из центра, не нуждается в этих разрешениях.
| Разрешение | Характер использования |
|---|---|
Microsoft.Insights/Components/Write |
Запись в конфигурацию компонента Application Insights. |
Microsoft.OperationalInsights/workspaces/write |
Создайте новую рабочую область или ссылки на существующую рабочую область, предоставив идентификатор клиента из существующей рабочей области. |