Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описаны основные понятия управления доступом на основе ролей (RBAC) для Microsoft Foundry, включая области, встроенные роли и распространенные шаблоны назначения предприятия.
Подсказка
Роли RBAC применяются при проверке подлинности с помощью идентификатора Microsoft Entra. Если вместо этого используется проверка подлинности на основе ключей, ключ предоставляет полный доступ без ограничений ролей. Корпорация Майкрософт рекомендует использовать проверку подлинности Entra ID для улучшения безопасности и детального управления доступом.
Дополнительные сведения о проверке подлинности и авторизации в Microsoft Foundry см. в разделе "Проверка подлинности и авторизация".
Минимальные назначения ролей для начала работы
Для новых пользователей Azure и Microsoft Foundry начните с этих минимальных назначений, чтобы как ваша пользовательская учетная запись, так и управляемая удостоверяющая личность проекта могли получить доступ к функциям Foundry.
Текущие назначения можно проверить с помощью проверки доступа пользователя к одному ресурсу Azure.
- Назначьте роль пользователя ИИ Azure в ресурсе Foundry субъекту-пользователю.
- Назначьте роль Azure AI User на вашем ресурсе Foundry управляемой идентичности проекта.
Если пользователь, создавший проект, может назначать роли (например, имея роль владельца Azure в подписке или области группы ресурсов), оба назначения добавляются автоматически.
Чтобы назначить эти роли вручную, выполните следующие быстрые действия.
Назначьте роль вашему субъекту-пользователю
На портале Azure откройте ресурс Foundry и перейдите к элементу управления доступом (IAM). Создайте назначение ролей для пользователя ИИ Azure, задайте членам значение "Пользователь", "Группа" или служебный принципал, выберите вашего пользователя, а затем нажмите Проверка + назначение.
Назначьте роль управляемому удостоверению вашего проекта
На портале Azure откройте проект Foundry и перейдите к элементу управления доступом (IAM). Создайте назначение роли для пользователя Azure AI, установите параметр участники на управляемое удостоверение, выберите управляемое удостоверение вашего проекта, а затем нажмите Проверить + назначить.
Терминология для управления доступом на основе ролей в Foundry
Чтобы понять управление доступом на основе ролей в Microsoft Foundry, рассмотрите два вопроса для вашего предприятия.
- Какие права я хочу предоставить своей команде при работе в Microsoft Foundry?
- В какой области я хочу назначить разрешения моей команде?
Чтобы ответить на эти вопросы, ниже приведены описания некоторых терминологий, используемых в этой статье.
- Разрешения: разрешенные или отклоненные действия, которые личность может выполнять над ресурсом, такие как чтение, запись, удаление или управление операциями контрольной плоскости и плоскости данных.
- Область: набор ресурсов Azure, к которым применяется назначение ролей. Типичные области включают подписку, группу ресурсов, ресурс Foundry или проект Foundry.
- Роль: именованная коллекция разрешений, определяющих, какие действия можно выполнять в ресурсах Azure в заданной области.
Удостоверение получает роль с определенными разрешениями в выбранной области действия на основании требований вашего предприятия.
В Microsoft Foundry рассмотрите два аспекта при выполнении назначений ролей.
- Ресурс Foundry: область верхнего уровня, которая определяет границу администрирования, безопасности и мониторинга для среды Microsoft Foundry.
- Проект Foundry: подобласть в ресурсе Foundry, используемая для организации работы и управления доступом к API, инструментам и процессам разработки.
Встроенные роли
Встроенная роль в Foundry — это роль, созданная корпорацией Майкрософт, которая охватывает распространенные сценарии доступа, которые можно назначить участникам команды. Встроенные роли, используемые в Azure, включают владельца, участника и читателя. Эти роли не являются исключительными для разрешений ресурсов Foundry.
Для ресурсов Foundry используйте дополнительные встроенные роли для выполнения принципов доступа с минимальными привилегиями. В следующей таблице перечислены ключевые встроенные роли для Foundry и ссылки на точные определения ролей в встроенных ролях искусственного интеллекта и машинного обучения.
| Role | Description |
|---|---|
| Пользователь Azure AI | Предоставляет читателю доступ к проекту Foundry, ресурсу Foundry и манипуляциям с данными для вашего проекта Foundry. Если вы можете назначить роли, эта роль назначается вам автоматически. В противном случае владелец подписки или пользователь с разрешениями назначения ролей предоставляет его. Роль минимального доступа к привилегиям в Foundry. |
| Диспетчер проектов Azure AI | Позволяет выполнять действия по управлению проектами Foundry, создавать и разрабатывать проекты, а также условно назначать роль пользователя ИИ Azure другим субъектам пользователей. |
| Владелец учетной записи ИИ Azure | Предоставляет полный доступ к управлению проектами и ресурсами и позволяет условно назначить роль пользователя ИИ Azure другим субъектам-пользователям. |
| Владелец ИИ Azure | Предоставляет полный доступ к управляемым проектам и ресурсам и созданию и разработке с помощью проектов. Роль с высокими привилегиями и функцией самообслуживания, предназначенная для цифровых пользователей. |
Разрешения для каждой встроенной роли
Используйте следующую таблицу и схему, чтобы просмотреть разрешения, разрешенные для каждой встроенной роли в Foundry, включая ключевые встроенные роли Azure.
| Встроенная роль | Создание проектов Foundry | Создание учетных записей Foundry | Создание и разработка в проекте (действия с данными) | Завершите назначения ролей | Доступ читателя к проектам и учетным записям | Manage models in the repository (Управление моделями в репозитории) |
|---|---|---|---|---|---|---|
| Пользователь Azure AI | ✔ | ✔ | ||||
| Диспетчер проектов Azure AI | ✔ | ✔ | ✔ (только назначьте роль пользователя ИИ Azure) | ✔ | ||
| Владелец учетной записи ИИ Azure | ✔ | ✔ | ✔ (только назначьте роль пользователя ИИ Azure) | ✔ | ✔ | |
| Владелец ИИ Azure | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Owner | ✔ | ✔ | ✔ (назначение любой роли любому пользователю) | ✔ | ✔ | |
| Contributor | ✔ | ✔ | ✔ | ✔ | ||
| Reader | ✔ |
Дополнительные сведения о встроенных ролях в Azure и Foundry см. в статье о встроенных ролях Azure. Дополнительные сведения об условном делегировании, используемом в роли владельца учетной записи ИИ Azure и роли Azure AI Project Manager, см. в статье "Делегирование управления назначениями ролей Azure другим пользователям с условиями".
Примеры сопоставлений корпоративных RBAC для проектов
Ниже приведен пример реализации управления доступом на основе ролей (RBAC) для корпоративного ресурса Foundry.
| Persona | Роль и область | Цель |
|---|---|---|
| Администрирование ИТ-инфраструктуры | Владелец области подписки | ИТ-администратор гарантирует, что ресурс Foundry соответствует корпоративным стандартам. Назначьте менеджерам роль владельца учетной записи ИИ Azure для ресурса, чтобы позволить им создавать новые учетные записи Foundry. Назначьте менеджерам роль Диспетчера проектов Azure ai в ресурсе, чтобы позволить им создавать проекты в учетной записи. |
| Managers | Владелец учетной записи Azure AI на уровне ресурсов Foundry | Руководители управляют ресурсом Foundry, развёртывают модели, проверяют вычислительные ресурсы и подключения, а также создают общие подключения. Они не могут работать над проектами, но могут назначить себе и другим пользователям роль пользователя ИИ Azure, чтобы начать работу над проектами. |
| Руководитель команды или ведущий разработчик | Менеджер проекта Azure AI в области применения ресурсов Foundry | Ведущие разработчики создают проекты для своей команды и начинают работать в этих проектах. После создания проекта владельцы проектов приглашают других участников и назначают роль пользователя ИИ Azure . |
| Участники группы или разработчики | Пользователь Azure AI в рамках проекта Foundry и Читатель в области ресурсов Foundry | Разработчики создают агентов в проекте с заранее развернутыми моделями Foundry и готовыми подключениями. |
Управление назначением ролей
Для управления ролями в Foundry необходимо иметь разрешение на назначение и удаление ролей в Azure. Встроенная роль владельца Azure включает это разрешение. Роли можно назначить с помощью портала Foundry (страница администрирования), портала Azure IAM или Azure CLI. Вы можете удалить роли с помощью IAM портала Azure или Azure CLI.
На портале Foundry управляйте разрешениями:
- Откройте страницу "Администратор" в Foundry, а затем выберите "Управление администратором>".
- Выберите имя проекта.
- Выберите "Добавить пользователя " для управления доступом к проекту. Это действие доступно только в том случае, если у вас есть разрешения на назначение ролей.
- Примените аналогичный процесс для доступа к ресурсам уровня Foundry.
Вы можете управлять разрешениями на портале Azure в разделе управления доступом (IAM) или с помощью Azure CLI.
Например, следующая команда назначает роль joe@contoso.com пользователя ИИ Azure для группы this-rg ресурсов в подписке 00000000-0000-0000-0000-000000000000:
az role assignment create --role "Azure AI User" --assignee "joe@contoso.com" --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/this-rg
Создание настраиваемых ролей для проектов
Если встроенные роли не соответствуют вашим корпоративным требованиям, создайте пользовательскую роль, которая позволяет точно контролировать разрешенные действия и области. Ниже приведен пример определения настраиваемой роли на уровне подписки:
{
"properties": {
"roleName": "My Enterprise Foundry User",
"description": "Custom role for Foundry at my enterprise to only allow building Agents. Assign at subscription level.",
"assignableScopes": ["/subscriptions/<your-subscription-id>"],
"permissions": [ {
"actions": ["Microsoft.CognitiveServices/*/read", "Microsoft.Authorization/*/read", "Microsoft.CognitiveServices/accounts/listkeys/action","Microsoft.Resources/deployments/*"],
"notActions": [],
"dataActions": ["Microsoft.CognitiveServices/accounts/AIServices/agents/*"],
"notDataActions": []
} ]
}
}
Дополнительные сведения о создании настраиваемой роли см. в следующих статьях.
- Портал Azure
- Azure CLI
- Azure PowerShell
- Отключите функции предварительного просмотра с доступом на основе ролей. В этой статье содержатся дополнительные сведения о конкретных разрешениях в Foundry в области управления и плоскости данных, которые можно использовать при создании пользовательских ролей.
Заметки и ограничения
- Чтобы просмотреть и очистить удаленные учетные записи Foundry, необходимо назначить роль соавтора в области подписки.
- Пользователи с ролью участника могут развертывать модели в Foundry.
- Для создания пользовательских ролей в ресурсе требуется роль владельца для данного ресурса.
- Если у вас есть разрешения на назначение ролей в Azure (например, роль владельца, назначенная в области учетной записи) субъекту-пользователю, и вы развертываете ресурс Foundry на портале Azure или пользовательском интерфейсе портала Foundry, роль пользователя ИИ Azure автоматически назначается субъекту-пользователю. Это назначение не применяется при развертывании Foundry из пакета SDK или CLI.
- При создании ресурса Foundry встроенные разрешения управления доступом на основе ролей (RBAC) предоставляют доступ к ресурсу. Чтобы использовать ресурсы, созданные за пределами Foundry, убедитесь, что ресурс имеет разрешения, которые позволяют получить к нему доступ. Ниже приведены некоторые примеры.
- Чтобы использовать новую учетную запись хранения BLOB-объектов Azure, добавьте управляемое удостоверение ресурса учетной записи Foundry в роль читателя данных BLOB-объектов хранилища в этой учетной записи хранения.
- Чтобы использовать новый источник поиска ИИ Azure, добавьте Foundry в назначения ролей поиска ИИ Azure.
- Для точной настройки модели в Foundry требуются разрешения на доступ к плоскости данных и плоскости управления. Развертывание точно настроенной модели — это разрешение на уровне контрольной плоскости. Таким образом, единственная встроенная роль с разрешениями как для плоскости данных, так и для плоскости управления — это роль Azure AI Owner. Или, если вы предпочитаете, вы также можете назначить роль пользователя ИИ Azure для разрешений плоскости данных и роль владельца учетной записи ИИ Azure для разрешений уровня управления.
Связанный контент
- Создайте проект.
- Проверьте доступ пользователя к одному ресурсу Azure.
- Проверка подлинности и авторизация в Foundry.
- Отключите функции предварительного просмотра с доступом на основе ролей.
Приложение
Примеры изоляции доступа
Каждая организация может иметь разные требования к изоляции доступа в зависимости от пользователей в своей организации. Изоляция доступа означает, какие пользователи в вашем предприятии получают назначения ролей для либо разделения разрешений с использованием наших встроенных ролей, либо получения единой роли с широкими полномочиями. Существует три варианта изоляции доступа для Foundry, которые можно выбрать для вашей организации в зависимости от требований к изоляции доступа.
Изоляция доступа отсутствует. Это означает, что у вас нет каких-либо требований, разделяющих разрешения между разработчиком, менеджером проектов или администратором. Разрешения для этих ролей можно назначать между командами.
Таким образом, вам следует...
- Предоставьте всем пользователям вашей организации роль владельца ИИ Azure в области ресурсов
Изоляция частичного доступа. Это означает, что руководитель проектов в вашей организации должен иметь возможность разрабатывать проекты, а также создавать проекты. Но администраторы не должны иметь возможности разрабатываться в Foundry, создавать только проекты и учетные записи Foundry.
Таким образом, вам следует...
- Предоставьте вашему администратору роль владельца учетной записи Azure AI в рамках ресурса
- Предоставьте разработчикам и менеджерам проектов роль Azure AI Project Manager в ресурсе
Полная изоляция доступа. Это означает, что администраторы, руководители проектов и разработчики имеют четкие разрешения, которые не пересекаются для различных ролей в корпорации.
Поэтому вы должны...
- Предоставьте администратору владельца учетной записи Azure AI на уровне ресурсов
- Предоставьте разработчику роль читателя в области ресурсов Foundry и роль пользователя ИИ Azure в области проекта.
- Предоставление диспетчеру проектов роли Azure AI Project Manager в области ресурсов
Использование групп Microsoft Entra с Foundry
Идентификатор Microsoft Entra предоставляет несколько способов управления доступом к ресурсам, приложениям и задачам. С помощью групп Microsoft Entra можно предоставить доступ и разрешения для группы пользователей вместо каждого отдельного пользователя. Корпоративные ИТ-администраторы могут создавать группы Microsoft Entra на портале Azure, чтобы упростить процесс назначения ролей для разработчиков. При создании группы Microsoft Entra можно свести к минимуму количество назначений ролей, необходимых для новых разработчиков, работающих над проектами Foundry, назначив группе требуемое назначение ролей для необходимого ресурса.
Выполните следующие действия, чтобы использовать группы идентификаторов Microsoft Entra с Foundry:
- Создайте группу безопасности в группах на портале Azure.
- Добавьте владельца и участников-пользователей в организации, которым требуется общий доступ.
- Откройте целевой ресурс и перейдите к элементу управления доступом (IAM).
- Назначьте требуемую роль пользователю, группе или субъекту-службе и выберите новую группу безопасности.
- Выберите "Проверить и назначить ", чтобы назначение роли применялось ко всем членам группы.
Распространенные примеры:
- Чтобы создать агенты, запустить трассировку и использовать основные возможности Foundry, назначьте пользователя ИИ Azure группе Microsoft Entra.
- Чтобы использовать функции трассировки и мониторинга, назначьте читателю подключенного ресурса Application Insights одну и ту же группу.
Дополнительные сведения о группах идентификаторов Microsoft Entra, предварительных требованиях и ограничениях см. в следующих статье: