Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье вы узнаете основные понятия управления доступом на основе ролей (RBAC) для Microsoft Foundry, включая области, встроенные роли и распространенные шаблоны назначения предприятия.
Совет
Роли RBAC применяются при проверке подлинности с помощью Microsoft Entra ID. Если вместо этого используется проверка подлинности на основе ключей, ключ предоставляет полный доступ без ограничений ролей. Microsoft рекомендует использовать проверку подлинности Entra ID для улучшения безопасности и детального управления доступом.
Дополнительные сведения о проверке подлинности и авторизации в Microsoft Foundry см. в разделе Authentication and Authorization.
Минимальные назначения ролей для начала работы
Для новых пользователей платформ Azure и Microsoft Foundry начните с этих минимальных назначений, чтобы и учётная запись пользователя, и управляемое удостоверение проекта могли получить доступ к функциям Foundry.
Текущие назначения можно проверить с помощью проверки доступа пользователя к отдельному ресурсу Azure.
Назначьте роль "Пользователь Foundry" в ресурсе Foundryсубъекту-пользователю.
Important
Недавно были переименованы роли RBAC в Foundry. Foundry User, Foundry Owner, Foundry Account Owner и Foundry Project Manager ранее назывались пользователь Azure AI, владелец Azure AI, владелец учетной записи Azure AI и руководитель проекта Azure AI. Пока новое название внедряется, в некоторых местах вы всё ещё можете видеть прежние названия. Идентификаторы ролей и основные разрешения не меняются из-за переименования.
Назначьте роль Foundry User для управляемого удостоверения проекта на ресурсе Foundry.
Если пользователь, создавший проект, может назначать роли (например, имея роль Azure Owner в области подписки или группы ресурсов), оба назначения добавляются автоматически.
Чтобы назначить эти роли вручную, выполните следующие быстрые действия.
Назначение роли субъекту-пользователю
На портале Azure откройте ресурс Foundry и перейдите к элементу управления Контроль доступа (IAM). Создайте назначение роли для пользователя Foundry, задайте для Участники значение Пользователь, группа или субъект-служба, выберите своего пользователя, а затем выберите Проверить и назначить.
Назначьте роль управляемому удостоверению проекта
На портале Azure откройте проект Foundry и перейдите к разделу Управление доступом (IAM). Создайте назначение роли для пользователя Foundry, установите в поле Участники значение Управляемое удостоверение, выберите управляемое удостоверение вашего проекта, а затем выберите Проверить и назначить.
Терминология для управления доступом на основе ролей в Foundry
Чтобы понять управление доступом на основе ролей в Microsoft Foundry, рассмотрите два вопроса для вашего предприятия.
- Какие разрешения у моей команды должны быть при создании в Microsoft Foundry?
- В какой области я хочу назначить разрешения моей команде?
Чтобы ответить на эти вопросы, ниже приведены описания некоторых терминологий, используемых в этой статье.
- Разрешения: разрешенные или отклоненные действия, которые удостоверение может выполнять над ресурсом, например чтение, запись, удаление или управление операциями плоскости управления и плоскости данных.
- Scope: набор ресурсов Azure, к которым применяется назначение роли. Типичные области включают подписку, группу ресурсов, ресурс Foundry или проект Foundry.
- Role: именованная коллекция разрешений, которая определяет, какие действия можно выполнять на Azure ресурсах в заданной области.
Удостоверение получает роль с определенными разрешениями в выбранной области на основании требований вашего предприятия.
В Microsoft Foundry рассмотрите две области при выполнении назначений ролей.
- ресурс Foundry: область верхнего уровня, которая определяет границу администрирования, безопасности и мониторинга для среды Microsoft Foundry.
- Проект Foundry: подобласть в ресурсе Foundry, которая используется для упорядочивания работы и обеспечения управления доступом к API, инструментам и рабочим процессам разработчиков.
Встроенные роли
Встроенная роль в Foundry — это роль, созданная Microsoft, которая охватывает распространенные сценарии доступа, чтобы назначить их участникам команды. Основные встроенные роли, используемые в Azure, включают владельца (Owner), участника (Contributor) и читателя (Reader). Эти роли не связаны с разрешениями ресурсов Foundry.
Для ресурсов Foundry используйте дополнительные встроенные роли для выполнения принципов доступа с минимальными привилегиями. В следующей таблице перечислены ключевые встраиваемые роли для Foundry и ссылки на точные определения ролей в встраиваемых ролях для AI + Машинное обучение.
| Роль | Описание |
|---|---|
| Пользователь Foundry | Предоставляет читателю доступ к проекту Foundry, ресурсу Foundry и действиям с данными в вашем проекте Foundry. Если вы можете назначить роли, эта роль назначается вам автоматически. В противном случае владелец подписки или пользователь с разрешениями назначения ролей предоставляет его. Роль минимального доступа к привилегиям в Foundry. |
| Менеджер проектов Foundry | Позволяет выполнять действия по управлению проектами Foundry, создавать и разрабатывать с помощью проектов, а также условно назначать роль "Пользователь Foundry" другим субъектам-пользователям. |
| Владелец учетной записи Foundry | Предоставляет полный доступ к управлению проектами и ресурсами, а также позволяет условно назначать роли "Пользователь Foundry", ACR и мониторинг для других субъектов-пользователей. |
| Владелец Foundry | Предоставляет полный доступ к управлению проектами и ресурсами и созданию и разработке с помощью проектов. Позволяет условно назначать роли пользователя Foundry, ACR и мониторинга. Высоко привилегированная роль с функциями самообслуживания, предназначенная для цифровых аборигенов. |
Примечание
Не назначайте встроенные роли, начинающиеся с Cognitive Services. Эти роли предназначены для доступа к ресурсам служб ИИ напрямую и не применяются к сценариям Foundry. Аналогично, не используйте роль Azure AI Developer для работы Foundry. Несмотря на название, эта роль распространяется только на рабочие области Машинное обучение Azure и центры Foundry, а не на проекты Foundry или размещённые в Foundry агенты. Для доступа к проекту Foundry используйте имя пользователя Foundry или владельца Foundry .
Разрешения для каждой встроенной роли
Используйте следующую таблицу, чтобы просмотреть разрешения, разрешенные для каждой встроенной роли в Microsoft Foundry.
| Встроенная роль | Создание проектов Foundry | Создание учетных записей Foundry | Создание и разработка в проекте (действия с данными) | Завершить назначение ролей | Доступ читателя к проектам и учетным записям | Управление моделями | Публикация агентов |
|---|---|---|---|---|---|---|---|
| Пользователь Foundry | ✔ | ✔ | |||||
| Менеджер проектов Foundry | ✔ | ✔ (только назначьте роль пользователя Foundry) | ✔ | ✔ | |||
| Владелец учетной записи Foundry | ✔ | ✔ | ✔ (назначение ролей Foundry User, ACR и мониторинга) | ✔ | ✔ | ||
| Владелец Foundry | ✔ | ✔ | ✔ | ✔ (назначение ролей Foundry User, ACR и мониторинга) | ✔ | ✔ | ✔ |
Important
Недавно были переименованы роли RBAC в Foundry. Foundry User, Foundry Owner, Foundry Account Owner и Foundry Project Manager ранее назывались пользователь Azure AI, владелец Azure AI, владелец учетной записи Azure AI и руководитель проекта Azure AI. Пока новое название внедряется, в некоторых местах вы всё ещё можете видеть прежние названия. Идентификаторы ролей и основные разрешения не меняются из-за переименования.
Используйте следующую таблицу, чтобы увидеть предоставленные разрешения для каждой из основных встроенных ролей Azure (Владелец, Участник, Читатель).
| Встроенная роль | Создание проектов Foundry | Создание учетных записей Foundry | Создание и разработка в проекте (действия с данными) | Завершить назначение ролей | Доступ читателя к проектам и учетным записям | Управление моделями | Публикация агентов |
|---|---|---|---|---|---|---|---|
| Владелец | ✔ | ✔ | ✔ (назначение любой роли любому пользователю) | ✔ | ✔ | ✔ | |
| Вклад | ✔ | ✔ | ✔ | ✔ | |||
| Читатель | ✔ |
Чтобы публиковать агентов, вам нужна роль Foundry Project Manager как минимум для ресурса Foundry. Дополнительные сведения см. в разделе Agent applications в Microsoft Foundry.
Используйте эти вкладки для изучения различий между встроенными ролями, назначенными на уровне ресурса Foundry (за исключением владельца, который назначается на уровне подписки).
- Владелец
- Владелец Foundry
- Владелец учетной записи Foundry
- Менеджер проектов Foundry
- Пользователь Foundry
Примеры сопоставлений корпоративных RBAC для проектов
Ниже приведен пример реализации управления доступом на основе ролей (RBAC) для корпоративного ресурса Foundry.
| Персона | Роль и область | Цель |
|---|---|---|
| ИТ-администратор | Владелец уровня подписки | ИТ-администратор гарантирует, что ресурс Foundry соответствует корпоративным стандартам. Назначьте менеджерам роль владельца учетной записи Foundry в ресурсе, чтобы позволить им создавать новые учетные записи Foundry. Назначьте менеджерам роль Foundry Project Manager на ресурсе, чтобы позволить им создавать проекты в учетной записи. |
| Менеджеры | Владелец учетной записи Foundry для области ресурсов Foundry | Руководители управляют ресурсами Foundry, развертывают модели, проверяют вычислительные ресурсы, контролируют подключения и создают общие подключения. Они не могут работать в проектах, но могут назначить себе и другим роль Foundry User, чтобы начать работу. |
| Руководитель команды или ведущий разработчик | Foundry Project Manager в рамках области ресурсов Foundry | Ведущие разработчики создают проекты для своей команды и начинают работать над ними. После создания проекта владельцы проектов приглашают других участников и назначают роль "Пользователь Foundry ". |
| Участники группы или разработчики | Foundry User для области проекта Foundry и Читатель для области ресурса Foundry | Разработчики создают агентов в проекте с предварительно развернутыми моделями Foundry и предварительно настроенными подключениями. |
Управление назначениями ролей
Для управления ролями в Foundry необходимо иметь разрешение на назначение и удаление ролей в Azure. Встроенная роль Azure Owner включает это разрешение. Роли можно назначать с помощью портала Foundry (страница администрирования), Azure портала IAM или Azure CLI. Роли можно удалить с помощью Azure портала IAM или Azure CLI.
На портале Foundry управляйте разрешениями:
- Откройте страницу "Администратор" в Foundry, а затем выберите "Управление администратором>".
- Выберите имя проекта.
- Выберите "Добавить пользователя " для управления доступом к проекту. Это действие доступно только в том случае, если у вас есть разрешения на назначение ролей.
- Примените тот же процесс для доступа на уровне ресурсов Foundry.
Разрешения можно управлять на портале Azure в разделе контроль доступа (IAM) или с помощью Azure CLI.
Например, следующая команда назначает роль joe@contoso.com "Пользователь Foundry" для группы this-rg ресурсов в подписке 00000000-0000-0000-0000-000000000000:
az role assignment create --role "53ca6127-db72-4b80-b1b0-d745d6d5456d" --assignee "joe@contoso.com" --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/this-rg
Примечание
Так как роли Foundry RBAC были недавно переименованы, используйте идентификатор определения роли (GUID) вместо имени роли в коде, чтобы избежать проблем во время развертывания переименования:
-
Пользователь Foundry:
53ca6127-db72-4b80-b1b0-d745d6d5456d -
Владелец Foundry:
c883944f-8b7b-4483-af10-35834be79c4a -
Владелец учетной записи Foundry:
e47c6f54-e4a2-4754-9501-8e0985b135e1 -
Менеджер проектов Foundry:
eadc314b-1a2d-4efa-be10-5d325db5065e
Создание настраиваемых ролей для проектов
Если встроенные роли не соответствуют вашим корпоративным требованиям, создайте пользовательскую роль, которая позволяет точно контролировать разрешенные действия и области. Ниже приведен пример определения настраиваемой роли на уровне подписки:
{
"properties": {
"roleName": "My Enterprise Foundry User",
"description": "Custom role for Foundry at my enterprise to only allow building Agents. Assign at subscription level.",
"assignableScopes": ["/subscriptions/<your-subscription-id>"],
"permissions": [ {
"actions": ["Microsoft.CognitiveServices/*/read", "Microsoft.Authorization/*/read", "Microsoft.CognitiveServices/accounts/listkeys/action","Microsoft.Resources/deployments/*"],
"notActions": [],
"dataActions": ["Microsoft.CognitiveServices/accounts/AIServices/agents/*"],
"notDataActions": []
} ]
}
}
Дополнительные сведения о создании настраиваемой роли см. в следующих статьях.
- портал Azure
- Azure CLI;
- Azure PowerShell
- Отключите функции предварительного просмотра в Microsoft Foundry. В этой статье содержатся дополнительные сведения о конкретных разрешениях в Foundry в области управления и плоскости данных, которые можно использовать при создании пользовательских ролей.
Заметки и ограничения
Чтобы просматривать и очищать удаленные учетные записи Foundry, необходимо назначить роль Контрибьютора на уровне подписки.
Пользователи с ролью Контрибьютора могут развертывать модели в Foundry.
Вам нужна роль владельца в области действия ресурса, чтобы создавать пользовательские роли в этом ресурсе.
Если у вас есть разрешения на назначение роли в Azure (например, роль владельца, назначенная в области учетной записи) субъекту-пользователю, и вы развертываете ресурс Foundry на портале Azure или пользовательском интерфейсе портала Foundry, роль пользователя Foundry автоматически назначается субъекту-пользователю. Это назначение не применяется при развертывании Foundry из пакета SDK или CLI.
Important
Недавно были переименованы роли RBAC в Foundry. Foundry User, Foundry Owner, Foundry Account Owner и Foundry Project Manager ранее назывались пользователь Azure AI, владелец Azure AI, владелец учетной записи Azure AI и руководитель проекта Azure AI. Пока новое название внедряется, в некоторых местах вы всё ещё можете видеть прежние названия. Идентификаторы ролей и основные разрешения не меняются из-за переименования.
При создании ресурса Foundry встроенные разрешения управления доступом на основе ролей (RBAC) предоставляют доступ к ресурсу. Чтобы использовать ресурсы, созданные за пределами Foundry, убедитесь, что ресурс имеет разрешения, которые позволяют получить к нему доступ. Ниже приведены некоторые примеры.
- Чтобы использовать новую учетную запись хранилища BLOB в Azure, добавьте управляемое удостоверение ресурса учетной записи Foundry в роль «Чтение данных хранилища BLOB» в этой учетной записи.
- Чтобы воспользоваться новым источником Поиск с использованием ИИ Azure, добавьте Foundry в список назначений ролей Поиск с использованием ИИ Azure.
Для точной настройки модели в Foundry требуются разрешения на уровень данных и уровень управления. Развертывание точно настроенной модели — это разрешение уровня управления. Таким образом, единственной встроенной ролью с разрешениями как уровня данных, так и уровня управления является роль Foundry Owner. Или, если вы предпочитаете, вы также можете назначить роль "Пользователь Foundry" для разрешений плоскости данных и роль владельца учетной записи Foundry для разрешений уровня управления.
Связанное содержимое
- Создайте проект.
- Проверка доступа пользователя к отдельному ресурсу в Azure.
- Проверка подлинности и авторизация в Foundry.
- Отключите функции предварительного просмотра в Microsoft Foundry.
- Справочник по разрешениям агента в облаке.
Приложение
Примеры изоляции доступа
Каждая организация может иметь разные требования к изоляции доступа в зависимости от пользователей в своей организации. Изоляция доступа ссылается на то, какие пользователи в вашей организации получают назначения ролей для разделения разрешений с помощью встроенных ролей или унифицированной, высокоразрешительной роли. Существует три варианта изоляции доступа для Foundry, которые можно выбрать для вашей организации в зависимости от требований к изоляции доступа.
Изоляция доступа отсутствует. Это означает, что у вас нет каких-либо требований, разделяющих разрешения между разработчиком, менеджером проектов или администратором. Разрешения для этих ролей можно назначать между командами.
Таким образом, вы должны...
Предоставьте всем пользователям вашей организации роль владельца Foundry в области ресурсов
Important
Недавно были переименованы роли RBAC в Foundry. Foundry User, Foundry Owner, Foundry Account Owner и Foundry Project Manager ранее назывались пользователь Azure AI, владелец Azure AI, владелец учетной записи Azure AI и руководитель проекта Azure AI. Пока новое название внедряется, в некоторых местах вы всё ещё можете видеть прежние названия. Идентификаторы ролей и основные разрешения не меняются из-за переименования.
Изоляция частичного доступа. Это означает, что руководитель проектов в вашей организации должен иметь возможность разрабатывать проекты, а также создавать проекты. Но администраторы не должны иметь возможности разрабатываться в Foundry, создавать только проекты и учетные записи Foundry.
Таким образом, вы должны...
- Назначьте администратору роль владельца учетной записи Foundry на уровне ресурса
- Назначьте разработчикам и менеджерам проектов роль Foundry Project Manager для ресурса
Полная изоляция доступа. Это означает, что администраторы, руководители проектов и разработчики имеют ясно выделенные разрешения, которые не пересекаются между различными функциями в предприятии.
Поэтому вы должны...
- Назначьте своему администратору роль владельца учетной записи Foundry на уровне ресурса
- Назначьте разработчику роль Reader для ресурса Foundry и роль Foundry User для проекта
- Назначьте руководителю проекта роль Foundry Project Manager на уровне ресурса
Использование групп Microsoft Entra с Foundry
Microsoft Entra ID предоставляет несколько способов управления доступом к ресурсам, приложениям и задачам. Используя группы Microsoft Entra, вы можете предоставлять доступ и разрешения группе пользователей вместо каждого отдельного пользователя. ИТ-администраторы предприятия могут создавать группы Microsoft Entra на портале Azure, чтобы упростить процесс назначения ролей разработчикам. При создании группы Microsoft Entra можно свести к минимуму количество назначений ролей, необходимых для новых разработчиков, работающих над проектами Foundry, назначив группе требуемое назначение ролей в необходимом ресурсе.
Выполните следующие действия, чтобы использовать группы Microsoft Entra ID с Foundry:
- Создайте группу Security в Groups на портале Azure.
- Добавьте владельца и участников-пользователей в организации, которым требуется общий доступ.
- Откройте целевой ресурс и перейдите к элементу управления доступом (IAM).
- Назначьте требуемую роль пользователю, группе или субъекту-службе и выберите новую группу безопасности.
- Выберите "Проверить и назначить ", чтобы назначение роли применялось ко всем членам группы.
Распространенные примеры:
- Чтобы создавать агенты, выполнять трассировки и использовать основные возможности Foundry, назначьте Foundry User группе Microsoft Entra.
- Чтобы использовать функции трассировки и мониторинга, назначьте роль Reader для подключенного ресурса Application Insights в той же группе.
Дополнительные сведения о группах Microsoft Entra ID, предварительных требованиях и ограничениях см. в следующей статье:
- Узнайте о группах, членстве в группах и доступе в Microsoft Entra.
- Как управлять группами в Microsoft Entra.