Rollbaserad åtkomstkontroll i Azure AI Studio
Viktigt!
Vissa av de funktioner som beskrivs i den här artikeln kanske bara är tillgängliga i förhandsversionen. Den här förhandsversionen tillhandahålls utan ett serviceavtal och vi rekommenderar det inte för produktionsarbetsbelastningar. Vissa funktioner kanske inte stöds eller kan vara begränsade. Mer information finns i Kompletterande villkor för användning av Microsoft Azure-förhandsversioner.
I den här artikeln får du lära dig hur du hanterar åtkomst (auktorisering) till en Azure AI Studio-hubb. Rollbaserad åtkomstkontroll i Azure (Azure RBAC) används för att hantera åtkomst till Azure-resurser, till exempel möjligheten att skapa nya eller använda befintliga resurser. Användare i ditt Microsoft Entra-ID tilldelas specifika roller som ger åtkomst till resurser. Azure ger både inbyggda roller och möjlighet att skapa anpassade roller.
Varning
Om vissa roller tillämpas kan användargränssnittsfunktionerna i Azure AI Studio begränsas för andra användare. Om en användares roll till exempel inte har möjlighet att skapa en beräkningsinstans blir alternativet att skapa en beräkningsinstans inte tillgängligt i studio. Det här beteendet förväntas och förhindrar att användaren försöker utföra åtgärder som returnerar ett fel om nekad åtkomst.
AI Studio hub vs project
I Azure AI Studio finns det två åtkomstnivåer: hubben och projektet. Hubben är hem för infrastrukturen (inklusive konfiguration av virtuellt nätverk, kundhanterade nycklar, hanterade identiteter och principer) och där du konfigurerar dina Azure AI-tjänster. Med hubbåtkomst kan du ändra infrastrukturen, skapa nya hubbar och skapa projekt. Projekt är en delmängd av hubben som fungerar som arbetsytor som gör att du kan skapa och distribuera AI-system. I ett projekt kan du utveckla flöden, distribuera modeller och hantera projekttillgångar. Med projektåtkomst kan du utveckla AI från slutpunkt till slutpunkt samtidigt som du drar nytta av infrastrukturkonfigurationen på hubben.
En av de viktigaste fördelarna med hubb- och projektrelationen är att utvecklare kan skapa egna projekt som ärver hubbens säkerhetsinställningar. Du kan också ha utvecklare som är deltagare i ett projekt och inte kan skapa nya projekt.
Standardroller för hubben
AI Studio-hubben har inbyggda roller som är tillgängliga som standard.
Här är en tabell med de inbyggda rollerna och deras behörigheter för hubben:
| Roll | beskrivning |
|---|---|
| Ägare | Fullständig åtkomst till hubben, inklusive möjligheten att hantera och skapa nya hubbar och tilldela behörigheter. Den här rollen tilldelas automatiskt till hubbskapare |
| Deltagare | Användaren har fullständig åtkomst till hubben, inklusive möjligheten att skapa nya hubbar, men kan inte hantera hubbbehörigheter för den befintliga resursen. |
| Azure AI-utvecklare | Utför alla åtgärder förutom att skapa nya hubbar och hantera hubbbehörigheterna. Användare kan till exempel skapa projekt, beräkning och anslutningar. Användare kan tilldela behörigheter i sitt projekt. Användare kan interagera med befintliga Azure AI-resurser som Azure OpenAI, Azure AI Search och Azure AI-tjänster. |
| Läsare | Skrivskyddad åtkomst till hubben. Den här rollen tilldelas automatiskt till alla projektmedlemmar i hubben. |
Den största skillnaden mellan Deltagare och Azure AI Developer är möjligheten att skapa nya hubbar. Om du inte vill att användarna ska skapa nya hubbar (på grund av kvot, kostnad eller bara hantera hur många hubbar du har) tilldelar du rollen Azure AI Developer.
Endast rollerna Ägare och Deltagare gör att du kan skapa en hubb. För närvarande kan anpassade roller inte ge dig behörighet att skapa hubbar.
Den fullständiga uppsättningen behörigheter för den nya rollen "Azure AI Developer" är följande:
{
"Permissions": [
{
"Actions": [
"Microsoft.MachineLearningServices/workspaces/*/read",
"Microsoft.MachineLearningServices/workspaces/*/action",
"Microsoft.MachineLearningServices/workspaces/*/delete",
"Microsoft.MachineLearningServices/workspaces/*/write"
],
"NotActions": [
"Microsoft.MachineLearningServices/workspaces/delete",
"Microsoft.MachineLearningServices/workspaces/write",
"Microsoft.MachineLearningServices/workspaces/listKeys/action",
"Microsoft.MachineLearningServices/workspaces/hubs/write",
"Microsoft.MachineLearningServices/workspaces/hubs/delete",
"Microsoft.MachineLearningServices/workspaces/featurestores/write",
"Microsoft.MachineLearningServices/workspaces/featurestores/delete"
],
"DataActions": [
"Microsoft.CognitiveServices/accounts/OpenAI/*",
"Microsoft.CognitiveServices/accounts/SpeechServices/*",
"Microsoft.CognitiveServices/accounts/ContentSafety/*"
],
"NotDataActions": [],
"Condition": null,
"ConditionVersion": null
}
]
}
Standardroller för projekt
Projekt i AI Studio har inbyggda roller som är tillgängliga som standard.
Här är en tabell med de inbyggda rollerna och deras behörigheter för projektet:
| Roll | beskrivning |
|---|---|
| Ägare | Fullständig åtkomst till projektet, inklusive möjligheten att tilldela behörigheter till projektanvändare. |
| Deltagare | Användaren har fullständig åtkomst till projektet men kan inte tilldela behörigheter till projektanvändare. |
| Azure AI-utvecklare | Användaren kan utföra de flesta åtgärder, inklusive att skapa distributioner, men kan inte tilldela behörigheter till projektanvändare. |
| Läsare | Skrivskyddad åtkomst till projektet. |
När en användare beviljas åtkomst till ett projekt (till exempel via AI Studio-behörighetshantering) tilldelas ytterligare två roller automatiskt till användaren. Den första rollen är Läsare på hubben. Den andra rollen är rollen inferensdistributionsoperator, som gör att användaren kan skapa distributioner i resursgruppen som projektet finns i. Den här rollen består av följande två behörigheter: "Microsoft.Authorization/*/read" och "Microsoft.Resources/deployments/*".
För att slutföra utveckling och distribution av AI från slutpunkt till slutpunkt behöver användarna bara dessa två automatiskt tilldelade roller och antingen rollen Deltagare eller Azure AI Developer i ett projekt.
Den minsta behörighet som krävs för att skapa ett projekt är en roll som har den tillåtna åtgärden Microsoft.MachineLearningServices/workspaces/hubs/join på hubben. Den inbyggda rollen Azure AI Developer har den här behörigheten.
Azure RBAC-behörigheter för beroendetjänsten
Hubben har beroenden för andra Azure-tjänster. I följande tabell visas de behörigheter som krävs för dessa tjänster när du skapar en hubb. Den person som skapar hubben behöver dessa behörigheter. Personen som skapar ett projekt från hubben behöver dem inte.
| Behörighet | Syfte |
|---|---|
Microsoft.Storage/storageAccounts/write |
Skapa ett lagringskonto med de angivna parametrarna eller uppdatera egenskaperna eller taggarna eller lägg till en anpassad domän för det angivna lagringskontot. |
Microsoft.KeyVault/vaults/write |
Skapa ett nytt nyckelvalv eller uppdatera egenskaperna för ett befintligt nyckelvalv. Vissa egenskaper kan kräva fler behörigheter. |
Microsoft.CognitiveServices/accounts/write |
Skriva API-konton. |
Microsoft.MachineLearningServices/workspaces/write |
Skapa en ny arbetsyta eller uppdatera egenskaperna för en befintlig arbetsyta. |
Exempel på RBAC-installation för företag
Följande tabell är ett exempel på hur du konfigurerar rollbaserad åtkomstkontroll för din Azure AI Studio för ett företag.
| Persona | Roll | Syfte |
|---|---|---|
| IT-administratör | Hubbens ägare | IT-administratören kan se till att hubben är konfigurerad enligt företagets standarder. De kan tilldela chefer rollen Deltagare på resursen om de vill göra det möjligt för chefer att skapa nya hubbar. Eller så kan de tilldela chefer rollen Azure AI Developer på resursen för att inte tillåta skapande av ny hubb. |
| Chefer | Deltagare eller Azure AI-utvecklare på hubben | Chefer kan hantera hubben, granska beräkningsresurser, granska anslutningar och skapa delade anslutningar. |
| Teamledare/Leadutvecklare | Azure AI Developer på hubben | Ledande utvecklare kan skapa projekt för sitt team och skapa delade resurser (t.ex. beräkning och anslutningar) på hubbnivå. När projektet har skapats kan projektägare bjuda in andra medlemmar. |
| Teammedlemmar/utvecklare | Deltagare eller Azure AI Developer i projektet | Utvecklare kan skapa och distribuera AI-modeller i ett projekt och skapa tillgångar som möjliggör utveckling, till exempel beräkningar och anslutningar. |
Åtkomst till resurser som skapats utanför hubben
När du skapar en hubb ger de inbyggda rollbaserade åtkomstkontrollbehörigheterna dig åtkomst för att använda resursen. Men om du vill använda resurser utanför det som skapades för din räkning måste du se till att båda:
- Resursen som du försöker använda har behörigheter konfigurerade så att du kan komma åt den.
- Hubben har åtkomst till den.
Om du till exempel försöker använda en ny Blob Storage måste du se till att hubbens hanterade identitet läggs till i bloblagringsläsarrollen för bloben. Om du försöker använda en ny Azure AI Search-källa kan du behöva lägga till hubben i Rolltilldelningarna för Azure AI Search.
Hantera åtkomst med roller
Om du är ägare till en hubb kan du lägga till och ta bort roller för Studio. I Azure AI Studio går du till Hantera och väljer din hubb. Välj sedan Behörigheter för att lägga till och ta bort användare för hubben. Du kan också hantera behörigheter från Azure-portalen under Åtkomstkontroll (IAM) eller via Azure CLI. Använd till exempel Azure CLI för att tilldela rollen Azure AI Developer till "joe@contoso.com" för resursgruppen "this-rg" med följande kommando:
az role assignment create --role "Azure AI Developer" --assignee "joe@contoso.com" --resource-group this-rg
Skapa anpassade roller
Kommentar
För att kunna skapa en ny hubb behöver du rollen Ägare eller Deltagare. För närvarande gör inte en anpassad roll, även med alla åtgärder tillåtna, att du kan skapa en hubb.
Om de inbyggda rollerna är otillräckliga kan du skapa anpassade roller. Anpassade roller kan ha behörigheter för läs-, skriv-, borttagnings- och beräkningsresurser i AI Studio. Du kan göra rollen tillgänglig på en specifik projektnivå, en specifik resursgruppsnivå eller en viss prenumerationsnivå.
Kommentar
Du måste vara ägare till resursen på den nivån för att kunna skapa anpassade roller i resursen.
Scenario: Använda en kundhanterad nyckel
När du konfigurerar en hubb för att använda en kundhanterad nyckel (CMK) används ett Azure Key Vault för att lagra nyckeln. Användaren eller tjänstens huvudnamn som används för att skapa arbetsytan måste ha ägar- eller deltagaråtkomst till nyckelvalvet.
Om ai Studio-hubben har konfigurerats med en användartilldelad hanterad identitet måste identiteten beviljas följande roller. Med de här rollerna kan den hanterade identiteten skapa de Azure Storage-, Azure Cosmos DB- och Azure Search-resurser som används när du använder en kundhanterad nyckel:
Microsoft.Storage/storageAccounts/writeMicrosoft.Search/searchServices/writeMicrosoft.DocumentDB/databaseAccounts/write
I nyckelvalvet måste användaren eller tjänstens huvudnamn ha åtkomsten till nyckeln genom en åtkomstprincip för nyckelvalvet. Mer information finns i Azure Key Vault-säkerhet.
Scenario: Använda en befintlig Azure OpenAI-resurs
När du skapar en anslutning till en befintlig Azure OpenAI-resurs måste du även tilldela roller till dina användare så att de kan komma åt resursen. Du bör tilldela rollen Cognitive Services OpenAI-användare eller Cognitive Services OpenAI-deltagare , beroende på vilka uppgifter de behöver utföra. Information om dessa roller och de uppgifter som de aktiverar finns i Azure OpenAI-roller.
Scenario: Använda Azure Container Registry
En Azure Container Registry-instans är ett valfritt beroende för Azure AI Studio Hub. I följande tabell visas stödmatrisen när du autentiserar en hubb till Azure Container Registry, beroende på autentiseringsmetoden och Azure Container Registryskonfiguration för offentlig nätverksåtkomst.
| Autentiseringsmetod | Åtkomst till offentligt nätverk har inaktiverats |
Offentlig nätverksåtkomst i Azure Container Registry är aktiverad |
|---|---|---|
| Administratörsanvändare | ✓ | ✓ |
| AI Studio Hub systemtilldelad hanterad identitet | ✓ | ✓ |
| Användartilldelad hanterad identitet i AI Studio Hub med ACRPull-rollen tilldelad till identiteten |
✓ |
En systemtilldelad hanterad identitet tilldelas automatiskt till rätt roller när hubben skapas. Om du använder en användartilldelad hanterad identitet måste du tilldela ACRPull-rollen till identiteten.
Scenario: Använda Azure Application Insights för loggning
Azure Application Insights är ett valfritt beroende för Azure AI Studio Hub. I följande tabell visas de behörigheter som krävs om du vill använda Application Insights när du skapar en hubb. Den person som skapar hubben behöver dessa behörigheter. Den person som skapar ett projekt från hubben behöver inte dessa behörigheter.
| Behörighet | Syfte |
|---|---|
Microsoft.Insights/Components/Write |
Skriv till en application insights-komponentkonfiguration. |
Microsoft.OperationalInsights/workspaces/write |
Skapa en ny arbetsyta eller länkar till en befintlig arbetsyta genom att ange kund-ID:t från den befintliga arbetsytan. |