Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Note
Этот документ относится к порталу Microsoft Foundry (классическая модель).
Note
Этот документ относится к порталу Microsoft Foundry (new).
Подсказка
Доступна альтернативная статья о RBAC, сфокусированная на хабах: Управление доступом на основе ролей для Microsoft Foundry (Центры и проекты).
Из этой статьи вы узнаете, как управлять доступом к ресурсам Foundry . Используйте управление доступом на основе ролей Azure (Azure RBAC) для управления доступом к ресурсам Azure, таким как создание новых ресурсов или использование существующих. В идентификаторе Microsoft Entra назначьте роли пользователей, предоставляющие доступ к ресурсам. Azure предоставляет встроенные роли и позволяет создавать пользовательские роли.
В этой статье вы узнаете, как управлять доступом к ресурсам Microsoft Foundry . Используйте управление доступом на основе ролей Azure (Azure RBAC) для управления доступом к ресурсам Azure, таким как создание новых ресурсов или использование существующих. В идентификаторе Microsoft Entra назначьте роли пользователей, предоставляющие доступ к ресурсам. Azure предоставляет встроенные роли и позволяет создавать пользовательские роли.
Если встроенная роль пользователя ИИ Azure не соответствует вашим потребностям, можно создать пользовательскую роль.
Warning
Применение некоторых ролей может ограничить функциональные возможности пользовательского интерфейса на портале Foundry для других пользователей. Например, если у роли пользователя нет разрешения на создание вычислительного экземпляра, параметр создания недоступен на портале. Это поведение ожидается и запрещает пользователю запускать действия, возвращающие ошибку отказа в доступе.
Роли проекта Foundry
На портале Foundry есть два уровня доступа:
- Учетная запись: Учетная запись служит основой для инфраструктуры (включая настройку виртуальной сети, ключи, управляемые клиентом, управляемые удостоверения и политики) для вашего ресурса Foundry.
- Проект: Проект — это место, где разработчик начинает работу с Foundry, например, сборку агентов, запуск оценок и многое другое. Ресурс Foundry имеет встроенные роли, доступные по умолчанию для учетной записи и проекта. Ниже приведена таблица встроенных ролей и их разрешений.
| Role | Description |
|---|---|
| Пользователь Azure AI | Предоставляет читателю доступ к проектам ИИ, доступу читателя к учетным записям ИИ и действиям с данными для проекта ИИ. Если вы можете назначить роли, эта роль назначается вам автоматически. В противном случае владелец подписки или пользователь с разрешениями назначения ролей предоставляет его. |
| Диспетчер проектов Azure AI | Позволяет выполнять действия по управлению проектами Foundry, создавать и разрабатывать проекты, а также условно назначать роль пользователя ИИ Azure другим субъектам пользователей. |
| Владелец учетной записи ИИ Azure | Предоставляет полный доступ к управлению проектами и учетными записями ИИ и позволяет условно назначить роль пользователя ИИ Azure другим субъектам-пользователям. |
| Владелец ИИ Azure | Предоставляет полный доступ к управляемым проектам и учетным записям ИИ, а также созданию и разработке с помощью проектов. |
Note
Роль владельца ИИ Azure в настоящее время недоступна для назначения, но в ближайшее время будет доступна для назначения на портале Azure и Foundry.
Note
Чтобы просмотреть и очистить удаленные учетные записи Foundry, необходимо иметь назначенную роль Сотрудника в области подписки.
Помимо этих встроенных назначений ролей, существуют привилегированные роли администратора Azure, такие как владелец, участник и читатель. Эти роли не относятся к разрешениям ресурса Foundry, поэтому используйте ранее описанные встроенные роли для минимального доступа.
Используйте следующую таблицу, чтобы просмотреть привилегии для каждой встроенной роли, включая роли привилегированного администратора Azure:
| Встроенная роль | Создание проектов Foundry | Создание учетных записей Foundry | Создание и разработка в проекте (действия с данными) | Завершение назначений ролей | Доступ читателя к проектам и учетным записям | Manage models in the repository (Управление моделями в репозитории) |
|---|---|---|---|---|---|---|
| Пользователь Azure AI | ✔ | ✔ | ||||
| Диспетчер проектов Azure AI | ✔ | ✔ | ✔ (только назначьте роль пользователя ИИ Azure) | ✔ | ||
| Владелец учетной записи ИИ Azure | ✔ | ✔ | ✔ (только назначьте роль пользователя ИИ Azure) | ✔ | ✔ | |
| Владелец ИИ Azure | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Owner | ✔ | ✔ | ✔ (назначение любой роли любому пользователю) | ✔ | ✔ | |
| Contributor | ✔ | ✔ | ✔ | ✔ | ||
| Reader | ✔ |
Встроенные роли для проекта
Пользователь Azure AI
Роль пользователя Искусственного интеллекта Azure — это роль доступа к наименьшим привилегиям в Foundry, предоставляя доступ только к требуемой плоскости управления. Ниже приведены разрешения для роли пользователя ИИ Azure :
{
"id": "/providers/Microsoft.Authorization/roleDefinitions/53ca6127-db72-4b80-b1b0-d745d6d5456d",
"properties": {
"roleName": "Azure AI User",
"description": "Grants reader access to AI projects, reader access to AI accounts, and data actions for an AI project.",
"assignableScopes": ["/"],
"permissions": [
{
"actions": [
"Microsoft.CognitiveServices/*/read",
"Microsoft.CognitiveServices/accounts/listkeys/action",
"Microsoft.Insights/alertRules/read",
"Microsoft.Insights/diagnosticSettings/read",
"Microsoft.Insights/logDefinitions/read",
"Microsoft.Insights/metricdefinitions/read",
"Microsoft.Insights/metrics/read",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": ["Microsoft.CognitiveServices/*"],
"notDataActions": []
}
]
}
}
Note
Если у вас есть права на назначение ролей в Azure (например, роль владельца, назначенная на уровне учетной записи) вашему принципалу пользователя, и вы развертываете ресурс Foundry через портал Azure или интерфейс портала Foundry, роль Azure AI User автоматически назначается вашему принципалу пользователя. Это неприменимо при развертывании Foundry из пакета SDK или CLI. Кроме того, на портале Foundry единственным назначением ролей, которые можно предоставить другим участникам команды, является сочетание роли пользователя ИИ Azure и роли владельца учетной записи ИИ Azure. Рекомендации по назначению ролей в зависимости от требований к изоляции доступа см. в разделе "Изоляция доступа".
Диспетчер проектов Azure AI
Роль Azure AI Project Manager использует условное делегирование ролей Azure. С помощью условного делегирования роль может назначать только роль пользователя ИИ Azure субъектам в группе ресурсов. Условное делегирование позволяет администраторам делегировать назначения ролей, чтобы команды могли создавать проекты Foundry. Дополнительные сведения см. в статье "Делегирование управления назначениями ролей Azure другим пользователям с условиями".
Ниже приведены разрешения для роли Azure AI Project Manager :
{
"id": "/providers/Microsoft.Authorization/roleDefinitions/eadc314b-1a2d-4efa-be10-5d325db5065e",
"properties": {
"roleName": "Azure AI Project Manager",
"description": "Lets you perform developer actions and management actions on Foundry Projects. Allows for making role assignments, but limited to Cognitive Service User role.",
"assignableScopes": [
"/"
],
"permissions": [
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete",
"Microsoft.CognitiveServices/accounts/*/read",
"Microsoft.CognitiveServices/accounts/projects/*",
"Microsoft.CognitiveServices/locations/*/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.CognitiveServices/*"
],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{53ca6127-db72-4b80-b1b0-d745d6d5456d})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{53ca6127-db72-4b80-b1b0-d745d6d5456d}))"
}
]
}
}
Владелец учетной записи ИИ Azure
Роль владельца учетной записи искусственного интеллекта Azure использует делегированное управление назначением ролей Azure другим пользователям с условиями. Из-за условного делегирования роль владельца учетной записи ИИ Azure может назначать только роль пользователя ИИ Azure другим субъектам в группе ресурсов. Условное делегирование позволяет администратору вашей компании делегировать задачи по назначению ролей, чтобы начать создание и развитие проектов Foundry. Дополнительные сведения о назначениях ролей с условиями см. в статье "Делегирование управления назначениями ролей Azure" другим пользователям с условиями.
Полный набор разрешений для новой роли владельца учетной записи искусственного интеллекта Azure:
{
"id": "/providers/Microsoft.Authorization/roleDefinitions/e47c6f54-e4a2-4754-9501-8e0985b135e1",
"properties": {
"roleName": "Azure AI Account Owner",
"description": "Grants full access to manage AI projects and accounts. Grants conditional assignment of the Azure AI User role to other user principals.",
"assignableScopes": [
"/"
],
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete",
"Microsoft.CognitiveServices/*",
"Microsoft.Features/features/read",
"Microsoft.Features/providers/features/read",
"Microsoft.Features/providers/features/register/action",
"Microsoft.Insights/alertRules/*",
"Microsoft.Insights/diagnosticSettings/*",
"Microsoft.Insights/logDefinitions/read",
"Microsoft.Insights/metricdefinitions/read",
"Microsoft.Insights/metrics/read",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/deployments/operations/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourcegroups/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{53ca6127-db72-4b80-b1b0-d745d6d5456d})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{53ca6127-db72-4b80-b1b0-d745d6d5456d}))"
}
]
}
}
Владелец ИИ Azure
Роль владельца ИИ Azure предназначена для предприятий, которые ищут встроенную роль с возможностью самообслуживания, позволяющую выполнять все действия, начиная с создания ресурса Foundry и развертывания моделей до создания агентов и проведения оценок в Foundry. Эта роль вскоре будет доступна для назначения.
Полный набор разрешений для новой роли владельца ИИ Azure:
{
"id": "/providers/Microsoft.Authorization/roleDefinitions/",
"properties": {
"roleName": "Azure AI Owner",
"description": " Grants full to manage AI project and accounts. Grants reader access to AI projects, reader access to AI accounts, and data actions for an AI project.",
"assignableScopes": [
"/"
],
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.CognitiveServices/*",
"Microsoft.Features/features/read",
"Microsoft.Features/providers/features/read",
"Microsoft.Features/providers/features/register/action",
"Microsoft.Insights/alertRules/*",
"Microsoft.Insights/diagnosticSettings/*",
"Microsoft.Insights/logDefinitions/read",
"Microsoft.Insights/metricdefinitions/read",
"Microsoft.Insights/metrics/read",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/deployments/operations/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourcegroups/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.CognitiveServices/*"
],
"notDataActions": []
}
]
}
}
Пример настройки корпоративного RBAC для проектов
В этой таблице показан пример управления доступом на основе ролей (RBAC) для ресурса Enterprise Foundry.
| Persona | Role | Purpose |
|---|---|---|
| Администрирование ИТ-инфраструктуры | Владелец подписки | ИТ-администратор гарантирует, что ресурс Foundry соответствует корпоративным стандартам. Назначьте менеджерам роль владельца учетной записи ИИ Azure для ресурса, чтобы позволить им создавать новые учетные записи Foundry. Назначьте менеджерам роль Диспетчера проектов Azure ai в ресурсе, чтобы позволить им создавать проекты в учетной записи. |
| Managers | Владелец учетной записи Искусственного интеллекта Azure в ресурсе Foundry | Руководители управляют ресурсом Foundry, развёртывают модели, проверяют вычислительные ресурсы и подключения, а также создают общие подключения. Они не могут создавать проекты, но они могут назначить роль пользователя ИИ Azure для себя и других пользователей, чтобы начать сборку. |
| Руководитель команды или ведущий разработчик | Azure AI Project Manager в ресурсе Foundry | Ведущие разработчики создают проекты для своей команды и начинают создавать в этих проектах. После создания проекта владельцы проектов приглашают других участников и назначают роль пользователя ИИ Azure . |
| Участники группы или разработчики | Проект Azure AI User on Foundry | Разработчики создают агенты в проекте. |
Important
Пользователи с ролью участника могут развертывать модели в Foundry.
Примеры изоляции доступа
Каждая организация может иметь разные требования к изоляции доступа в зависимости от пользователей в своей организации. Изоляция доступа означает, какие пользователи в вашем предприятии получают назначения ролей для либо разделения разрешений с использованием наших встроенных ролей, либо получения единой роли с широкими полномочиями. Существует три варианта изоляции доступа для Foundry, которые можно выбрать для вашей организации в зависимости от требований к изоляции доступа. Эти назначения ролей могут быть назначены различным областям, учетной записи Foundry или проекту Foundry.
- Изоляция доступа отсутствует. Это означает, что в вашей организации нет каких-либо требований, разделяющих разрешения между разработчиком, диспетчером проектов или администратором. Разрешения для этих ролей можно назначать между командами.
Таким образом, вам следует...
- Предоставьте всем пользователям вашей организации роль участника и пользователя ИИ Azure на уровне учетной записи
- Изоляция частичного доступа. Это означает, что руководитель проектов в вашей организации должен иметь возможность разрабатывать проекты, а также создавать проекты. Но администраторы не должны иметь возможности разрабатываться в Foundry, создавать только проекты и учетные записи Foundry.
Таким образом, вам следует...
- Предоставьте вашему администратору права **владельца учетной записи Azure AI** на уровне учетной записи
- Предоставьте разработчикам и менеджерам проектов роль Azure AI Project Manager и роль читателя на уровне учетной записи
- Полная изоляция доступа. Это означает, что администраторы, руководители проектов и разработчики имеют четкие права доступа, которые не перекрываются для различных функций в предприятии.
Поэтому вы должны...
- Предоставьте администратору роль владельца учетной записи Azure AI на уровне учетной записи
- Предоставьте разработчику роль читателя учетной записи и пользователя ИИ Azure на уровне проекта
- Предоставьте руководителю проектов роль Диспетчера проектов Azure на уровне учетной записи
Доступ к ресурсам, созданным за пределами Foundry
При создании ресурса Foundry встроенные разрешения управления доступом на основе ролей (RBAC) предоставляют доступ к ресурсу. Чтобы использовать ресурсы, созданные за пределами Foundry, убедитесь, что оба из следующих утверждений истинны:
- Ресурс имеет разрешения, позволяющие получить доступ к нему. Например, чтобы использовать новую учетную запись Azure Blob Storage, добавьте управляемое удостоверение ресурса учетной записи Foundry в роль Storage Blob Data Reader в этой учетной записи хранения. Чтобы использовать новый источник поиска ИИ Azure, добавьте Foundry в назначения ролей поиска ИИ Azure.
Управление доступом с помощью ролей для проектов
Если вы являетесь владельцем ресурса учетной записи Foundry, добавьте или удалите роли.
На портале ИИ Azure Foundry можно управлять разрешениями:
- На домашней странице в Foundry выберите ресурс Foundry.
- Выберите "Пользователи", чтобы добавить или удалить пользователей для ресурса.
Вы можете управлять разрешениями на портале Azure в разделе управления доступом (IAM) или с помощью Azure CLI.
Например, следующая команда назначает роль [email protected] пользователя ИИ Azure для группы this-rg ресурсов в подписке с идентификатором 00000000-0000-0000-0000-000000000000:
az role assignment create --role "Azure AI User" --assignee "[email protected]" --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/this-rg
Создание настраиваемых ролей для проектов
Если встроенные роли недостаточно, создайте пользовательскую роль. Пользовательские роли могут включать разрешения на чтение, запись и удаление ресурсов Foundry. Сделайте роль доступной в проекте, группе ресурсов или области подписки.
Note
Для создания пользовательских ролей в этом ресурсе требуется роль владельца.
Чтобы создать пользовательскую роль, важно знать, какие разрешения в Foundry блокируют определенные сценарии или функции в Foundry. Ниже приведена коллекция разрешений для каждого сценария или компонента, которые можно добавить в notActions или notDataActions настраиваемой роли, созданной для более ограниченной роли пользователя.
Разрешения на предоставление ресурсов
Следующие разрешения связаны с предоставлением ресурсов. Разрешения в основном относятся к плоскости управления или операциям.
Разрешения на создание ресурса Foundry
Пользователь подготавливает новый ресурс или проект Foundry. Они могут настроить рабочую область для новой команды или определить параметры группы ресурсов и подписки.
Действия
- */write (предоставлено ролью контрибьютора)
- Microsoft.CognitiveServices/accounts/*
- Microsoft.Resources/subscriptions/resourceGroups/write*
Разрешения на создание проекта Foundry
Пользователь подготавливает новый проект Foundry. Действия
- Microsoft.CognitiveServices/accounts/projects/read
- Microsoft.CognitiveServices/accounts/projects/write
- Microsoft.CognitiveServices/accounts/projects/delete
Разрешения для просмотра управления затратами
Пользователь проверяет отчеты о расходах и использовании. Они могут проверить разбивку затрат для обучения модели и вывода, проанализировать тенденции потребления для бюджетирования или экспортировать данные о затратах для финансовых групп.
Действия
- Microsoft.CostManagement/*/read
- Microsoft.Consumption/*/read
Разрешения для развертывания агента в веб-приложении
Пользователь публикует Агента в виде веб-приложения. Они могут развертываться в Службе приложений Azure для взаимодействия с клиентами, настраивать параметры проверки подлинности и масштабирования или интегрироваться с корпоративным удостоверением (Entra ID).
Действия
- Microsoft.Web/sites/* (для службы приложений)
- Microsoft.Resources/deployments/*
- Microsoft.Authorization/*/read
Разрешения на развертывание модели (каталог моделей)
Пользователь принимает обученную или точно настроенную модель и делает ее доступной для вывода. Они могут развертываться в качестве конечной точки в режиме реального времени, настраивать правила автомасштабирования и сети или применять политики управления для использования в рабочей среде.
Действия
- Microsoft.CognitiveServices/accounts/deployments/read
- Microsoft.CognitiveServices/accounts/deployments/write
- Microsoft.CognitiveServices/accounts/deployments/delete
Действия с данными
- Microsoft.CognitiveServices/accounts/AIServices/deployments/read
Разрешения на создание и чтение подключений
Пользователь интегрирует Foundry с внешними или внутренними ресурсами с помощью подключений в Foundry.
Действия с данными
- Microsoft.CognitiveServices/accounts/AIServices/connections/read
- Microsoft.CognitiveServices/accounts/AIServices/connections/listSecrets/action Действия
- Microsoft.CognitiveServices/accounts/connections/*
- Microsoft.CognitiveServices/accounts/projects/connections/*
Разрешения на использование
Следующие разрешения связаны с использованием Foundry. Разрешения в основном относятся к плоскости данных или действиям с данными (dataActions).
Note
Для любого из этих сценариев требуется базовое разрешение на чтение учетной записи или проекта Foundry. Поэтому необходимо учитывать, что требуемое действие во всех сценариях — это наличие данного разрешения, в дополнение к необходимым действиям с данными: "Microsoft.CognitiveServices/accounts/*/read"
Разрешения для просмотра телеметрии и трассировки
Пользователь хочет отслеживать работоспособность системы и производительность ресурсов Foundry. Они могут проверять журналы для устранения неполадок при развертывании моделей, просматривать метрики, такие как задержка, скорость ошибок или пропускная способность, диагностические данные запросов в Application Insights.
Действия с данными
- Microsoft.OperationalInsights/workspaces/search/action
- Microsoft.Support/*
- Microsoft.Insights/alertRules/read
- Microsoft.Insights/diagnosticSettings/read
- Microsoft.Insights/logDefinitions/read
- Microsoft.Insights/metricdefinitions/read
- Microsoft.Insights/metrics/read
Действия
- Microsoft.Insights/*/read (для доступа на уровне управления к ресурсам мониторинга)
Назначение других встроенных ролей для ресурса App Insights:
- Устройство для чтения данных мониторинга
- Участник мониторинга
Дополнительные сведения о встроенных ролях для мониторинга см. в статье о встроенных ролях Azure для Monitor.
Разрешения для точной настройки модели
Пользователь настраивает базовую модель для данных, относящихся к домену. Они могут загружать обучающие наборы данных, запускать процесс тонкой настройки большой языковой модели (LLM), отслеживать ход выполнения и получать настроенную модель для развертывания.
Действия с данными
- Microsoft.CognitiveServices/accounts/AIServices/fine_tuning/read
- Microsoft.CognitiveServices/accounts/AIServices/fine_tuning/write
- Microsoft.CognitiveServices/accounts/AIServices/fine_tuning/delete
Разрешения на создание агентов
Пользователь создает агенты в Foundry. Они могут развертывать агент с помощью модели, добавлять инструменты или соединители (например, поиск ИИ Azure, Logic Apps) или настраивать логику оркестрации для многоэтапных задач.
Действия с данными
- Microsoft.CognitiveServices/accounts/AIServices/agent/read
- Microsoft.CognitiveServices/accounts/AIServices/agent/write
- Microsoft.CognitiveServices/accounts/AIServices/agents/delete
Разрешения для пакетного инференсирования в Foundry
Пользователь отправляет запросы в развернутую модель для прогнозирования. Они могут вызывать REST API для оценки, выполнять пакетный вывод данных на больших наборах данных, проверять выходные данные на точность и соответствие требованиям.
DataActions:
- Microsoft.CognitiveServices/accounts/OpenAI/batch-jobs/read
- Microsoft.CognitiveServices/accounts/OpenAI/batches/read
- Microsoft.CognitiveServices/accounts/OpenAI/batches/delete
- Microsoft.CognitiveServices/accounts/OpenAI/batches/cancel/action
Действия:
- Microsoft.CognitiveServices/accounts/deployments/read
- Microsoft.CognitiveServices/accounts/deployments/write
- Microsoft.CognitiveServices/accounts/deployments/completions/action
Разрешения с использованием Azure AI Search
Пользователь включает поиск на основе поиска для агентов или приложений Foundry. Они могут создавать индексы и управлять ими или запрашивать документы для сценариев RAG (Retrieval-Augmented Generation).
Действия с данными
- Microsoft.Search/searchServices/indexes/*
- Microsoft.Search/searchServices/query/action
Действия
- Microsoft.Search/searchServices/*/read
- Microsoft.Search/searchServices/*/write
Назначение других встроенных ролей на ресурсе поиска:
- Участник службы поиска (управление индексами и параметрами)
- Соавтор данных индекса поиска (чтение/запись данных индекса)
- Средство чтения данных индексов поиска (доступ только для чтения с минимальными привилегиями для запросов)
Дополнительные сведения о встроенных ролях службы "Поиск ИИ Azure" см. в статье "Подключение с помощью ролей Azure — службы поиска ИИ Azure".
Разрешения на вызов Logic Apps в Foundry
Пользователь интегрирует автоматизацию рабочих процессов в Foundry. Они могут активировать приложение логики, когда агент завершает задачу, вызывать внешние API через соединитель приложения логики или автоматизировать уведомления или перемещение данных.
Действия с данными
- Microsoft.Logic/workflows/run/action
- Microsoft.Logic/workflows/read
Действия
- Microsoft.Logic/workflows/*/read
- Microsoft.Logic/workflows/*/write
- Microsoft.Logic/workflows/*/action
Назначение встроенных ролей для ресурса Logic Apps:
- Контрибьютор приложения Logic
- Оператор приложения логики
Дополнительные сведения о создании пользовательской роли см. в одной из следующих статей:
Использование групп Microsoft Entra с Foundry
Идентификатор Microsoft Entra предоставляет несколько способов управления доступом к ресурсам, приложениям и задачам. С помощью групп Microsoft Entra можно предоставить доступ и разрешения группе пользователей вместо каждого отдельного пользователя. Группы Microsoft Entra можно создать на портале Azure для КОРПОРАТИВНЫх ИТ-администраторов, чтобы упростить процесс назначения ролей разработчикам. При создании группы Microsoft Entra можно свести к минимуму количество назначений ролей, необходимых для новых разработчиков, работающих над проектами Foundry, назначив группе требуемое назначение ролей для необходимого ресурса.
Выполните следующие действия, чтобы использовать группы идентификаторов Entra с Foundry:
Перейдите к группам на портале Azure.
Создайте группу безопасности на портале "Группы".
Назначьте владельца группы Microsoft Entra и добавьте отдельных пользователей вашей организации в группу в качестве участников. Сохраните группу.
Перейдите к ресурсу, которому требуется назначение роли.
- Пример: Чтобы создать агенты, запустить трассировки и многое другое в Foundry, роль минимальной привилегии "Пользователь ИИ Azure" должна быть назначена вашему принципу пользователя. Назначьте роль «Пользователь ИИ Azure» новой группе Microsoft Entra, чтобы все пользователи в вашей организации могли работать в Foundry.
- Пример: Чтобы использовать функции трассировки и мониторинга в Azure AI Foundry, требуется назначение роли читателя для подключенного ресурса Application Insights. Назначьте новой группе Microsoft Entra роль "Читатель", чтобы все пользователи в вашей организации могли использовать функцию отслеживания и мониторинга.
Перейдите в раздел "Контроль доступа" (IAM).
Выберите роль для назначения.
Назначьте доступ к принципу "Пользователь, группа или служба" и выберите новую группу безопасности.
Проверьте и назначьте. Назначение ролей теперь применяется ко всем учетным записям пользователей, назначенным группе.
Дополнительные сведения о группах Entra ID, предварительных условиях и ограничениях см. в следующей статье:
- Сведения о группах, членстве в группах и доступе в Microsoft Entra.
- Управление группами в Microsoft Entra.