Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье вы узнаете основные понятия контроля доступа на основе ролей (RBAC) для Microsoft Foundry, включая области действия, встроенные роли и распространенные шаблоны назначения в корпоративной среде.
Подсказка
Роли RBAC применяются при проверке подлинности с помощью Microsoft Entra ID. Если используется аутентификация с использованием ключей, ключ предоставляет полный доступ без ограничений ролей. Корпорация Майкрософт рекомендует использовать аутентификацию Entra ID для повышения безопасности и детализированного управления доступом.
Дополнительные сведения о проверке подлинности и авторизации в Microsoft Foundry см. в разделе "Проверка подлинности и авторизация".
Минимальные назначения ролей для начала работы
Чтобы новые пользователи Azure и Microsoft Foundry начали работу, выполните эти минимальные назначения, чтобы субъект-пользователь и управляемое удостоверение проекта могли получать доступ к функциям Foundry.
Текущие назначения можно проверить с помощью Проверить доступ пользователя к одному ресурсу Azure.
- Назначьте роль пользователь Azure AI на вашем ресурсе Foundry вашему основному пользователю.
- Назначьте роль Azure AI User в ресурсе Foundry управляемому удостоверению вашего проекта.
Если пользователь, создавший project, может назначать роли (например, имея роль Azure Owner в области подписки или группы ресурсов), оба назначения добавляются автоматически.
Чтобы назначить эти роли вручную, выполните следующие быстрые действия.
Назначьте роль вашему субъекту-пользователю
В Azure portal откройте ресурс Foundry и перейдите к Access control (IAM). Создайте назначение роли для пользователя Azure AI, установите для параметра Members значение пользователь, группа или основной объект службы, выберите основной объект пользователя, а затем выберите Просмотр и назначение.
Назначьте роль управляемому удостоверению вашего проекта
В Azure portal откройте project Foundry и перейдите к Access control (IAM). Создайте назначение ролей для Azure AI User, установите для Members значение Managed identity, выберите управляемое удостоверение вашего проекта, а затем выберите Review + assign ("Просмотр и назначить").
Терминология для ролевого управления доступом в Foundry
Чтобы понять ролевое управление доступом в Microsoft Foundry, рассмотрите два вопроса для вашего предприятия.
- Какие права я хочу предоставить своей команде при работе в Microsoft Foundry?
- В какой области я хочу назначить разрешения моей команде?
Чтобы ответить на эти вопросы, ниже приведены описания некоторых терминологий, используемых в этой статье.
- Разрешения: разрешенные или отклоненные действия, которые личность может выполнять над ресурсом, такие как чтение, запись, удаление или управление операциями контрольной плоскости и плоскости данных.
- Scope: набор ресурсов Azure, к которым применяется назначение роли. Типичные области включают подписку, группу ресурсов, ресурс Foundry или Project Foundry.
- Role: именованная коллекция разрешений, которая определяет, какие действия можно выполнять на Azure ресурсах в заданной области.
Удостоверение получает роль с определенными разрешениями в выбранной области действия на основании требований вашего предприятия.
В Microsoft Foundry рассмотрите два аспекта при выполнении назначений ролей.
- Ресурс Foundry: область верхнего уровня, которая определяет границу администрирования, безопасности и мониторинга для среды Microsoft Foundry.
- Foundry project: подобласть в рамках ресурса Foundry, используемая для упорядочивания работы и применения и соблюдения контроля доступа для API, инструментов и разработческих рабочих процессов.
Встроенные роли
Встроенная роль в Foundry — это роль, созданная Microsoft, которая охватывает распространенные сценарии доступа, которые можно назначить участникам команды. Ключевые встроенные роли, используемые в Azure, включают владельца, участника и читателя. Эти роли не являются исключительными для разрешений ресурсов Foundry.
Для ресурсов Foundry используйте дополнительные встроенные роли для выполнения принципов минимальных привилегий доступа. В следующей таблице перечислены ключевые встроенные роли для Foundry и приведены ссылки на точные определения ролей в разделе встроенные роли для AI + Machine Learning.
| Role | Description |
|---|---|
| Пользователь Azure AI | Предоставляет права доступа на чтение к проекту Foundry, ресурсам Foundry и действиям с данными вашего проекта Foundry. Если вы можете назначить роли, эта роль назначается вам автоматически. В противном случае владелец подписки или пользователь с разрешениями назначения ролей предоставляет его. Роль с минимальными привилегиями доступа в Foundry. |
| Менеджер проекта Azure ИИ | Позволяет выполнять действия по управлению проектами Foundry, создавать и разрабатывать проекты и условно назначать роль пользователя Azure ИИ другим субъектам пользователей. |
| Владелец учетной записи Azure AI | Предоставляет полный доступ для управления проектами и ресурсами и позволяет условно назначать роль пользователя Azure AI другим принципалам пользователей. |
| Владелец Azure ИИ | Предоставляет полный доступ к управляемым проектам и ресурсам, а также возможность их создания и развития. Роль с высокими привилегиями и функцией самообслуживания, предназначенная для цифровых пользователей. |
Разрешения для каждой встроенной роли
Используйте следующую таблицу, чтобы просмотреть разрешения, разрешенные для каждой встроенной роли в Microsoft Foundry.
| Встроенная роль | Создание проектов Foundry | Создание учетных записей Foundry | Создавайте и развивайте в проекте (действия с данными) | Завершите назначения ролей | Доступ для чтения к проектам и учетным записям | Manage models in the repository (Управление моделями в репозитории) |
|---|---|---|---|---|---|---|
| Пользователь Azure AI | ✔ | ✔ | ||||
| Менеджер проекта Azure ИИ | ✔ | ✔ (только назначьте роль пользователя ИИ Azure) | ✔ | |||
| Владелец учетной записи Azure AI | ✔ | ✔ | ✔ (только назначьте роль пользователя ИИ Azure) | ✔ | ✔ | |
| Владелец Azure ИИ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
Используйте следующую таблицу, чтобы просмотреть разрешения, разрешенные для каждого ключа встроенных ролей Azure (владелец, участник, читатель).
| Встроенная роль | Создание проектов Foundry | Создание учетных записей Foundry | Создавайте и развивайте в проекте (действия с данными) | Завершите назначения ролей | Доступ для чтения к проектам и учетным записям | Manage models in the repository (Управление моделями в репозитории) |
|---|---|---|---|---|---|---|
| Owner | ✔ | ✔ | ✔ (назначение любой роли любому пользователю) | ✔ | ✔ | |
| Contributor | ✔ | ✔ | ✔ | ✔ | ||
| Reader | ✔ |
Дополнительные сведения о встроенных ролях в Azure и Foundry см. в разделе Azure встроенные роли. Дополнительные сведения об условном делегировании полномочий, используемом в роли Владельца учетной записи Azure ИИ и Менеджера проекта Azure ИИ, см. в разделе Delegate Azure управление назначениями ролей другим пользователям с условиями.
Примеры сопоставлений корпоративных RBAC для проектов
Вот пример того, как реализовать управление доступом на основе ролей (RBAC) для ресурса Enterprise Foundry.
| Persona | Роль и область | Цель |
|---|---|---|
| Администрирование ИТ-инфраструктуры | Владелец области подписки | ИТ-администратор гарантирует, что ресурс Foundry соответствует корпоративным стандартам. Назначьте менеджерам роль владельца учетной записи Azure AI на ресурсе, чтобы позволить им создавать новые учетные записи Foundry. Назначьте менеджерам роль Azure AI Project Manager на ресурсе, чтобы они могли создавать проекты в учетной записи. |
| Managers | Владелец учетной записи Azure AI в области ресурса Foundry | Руководители управляют ресурсом Foundry, развёртывают модели, проверяют вычислительные ресурсы и подключения, а также создают общие подключения. Они не могут создавать проекты, но могут назначить себе и другим роль пользователя Azure AI, чтобы начать разработку. |
| Руководитель команды или ведущий разработчик | Менеджер проекта ИИ Azure в области ресурсов Foundry | Ведущие разработчики создают проекты для своей команды и начинают работать в этих проектах. После создания проекта владельцы проекта приглашают других участников и назначают роль Azure AI User. |
| Участники группы или разработчики | пользователь Azure AI в области проекта Foundry и читатель в области ресурсов Foundry | Разработчики создают агентов в проекте с предварительно развернутыми моделями Foundry и заранее созданными подключениями. |
Управление назначением ролей
Для управления ролями в Foundry необходимо иметь разрешение на назначение и удаление ролей в Azure. Встроенная роль Azure Owner включает это разрешение. Роли можно назначить с помощью портала Foundry (страница администрирования), Azure portal IAM или Azure CLI. Вы можете удалить роли с помощью Azure portal IAM или Azure CLI.
На портале Foundry управляйте разрешениями:
- Откройте страницу Admin в Foundry выберите Operate>Admin.
- Выберите имя проекта.
- Выберите Добавить пользователя для управления доступом к проекту. Это действие доступно только в том случае, если у вас есть разрешения на назначение ролей.
- Примените тот же подход для доступа к ресурсам уровня Foundry.
Разрешения можно управлять в Azure portal в разделе Access Control (IAM) или с помощью Azure CLI.
Например, следующая команда назначает роль пользователя Azure AI joe@contoso.com для группы ресурсов this-rg в подписке 00000000-0000-0000-0000-000000000000:
az role assignment create --role "Azure AI User" --assignee "joe@contoso.com" --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/this-rg
Создание настраиваемых ролей для проектов
Если встроенные роли не соответствуют вашим корпоративным требованиям, создайте пользовательскую роль, которая позволяет точно контролировать разрешенные действия и области. Ниже приведен пример определения настраиваемой роли на уровне подписки:
{
"properties": {
"roleName": "My Enterprise Foundry User",
"description": "Custom role for Foundry at my enterprise to only allow building Agents. Assign at subscription level.",
"assignableScopes": ["/subscriptions/<your-subscription-id>"],
"permissions": [ {
"actions": ["Microsoft.CognitiveServices/*/read", "Microsoft.Authorization/*/read", "Microsoft.CognitiveServices/accounts/listkeys/action","Microsoft.Resources/deployments/*"],
"notActions": [],
"dataActions": ["Microsoft.CognitiveServices/accounts/AIServices/agents/*"],
"notDataActions": []
} ]
}
}
Дополнительные сведения о создании настраиваемой роли см. в следующих статьях.
- Портал Azure
- Azure CLI
- Azure PowerShell
- Отключите предварительные версии функций в Microsoft Foundry. В этой статье содержатся дополнительные сведения о конкретных разрешениях в Foundry в области управления и плоскости данных, которые можно использовать при создании пользовательских ролей.
Заметки и ограничения
- Чтобы просмотреть и очистить удаленные учетные записи Foundry, необходимо назначить роль соавтора в области подписки.
- Пользователи с ролью участника могут развертывать модели в Foundry.
- Для создания пользовательских ролей в ресурсе требуется роль владельца для данного ресурса.
- Если у вас есть разрешения на назначение роли в Azure (например, роль владельца, назначенная в области учетной записи) субъекту-пользователю, и вы развертываете ресурс Foundry из пользовательского интерфейса портала Azure portal или Foundry, то роль пользователя ИИ Azure автоматически назначается субъекту-пользователю. Это назначение не применяется при развертывании Foundry из пакета SDK или CLI.
- При создании ресурса Foundry встроенные разрешения на основе ролевого контроля доступа (RBAC) предоставляют доступ к ресурсу. Чтобы использовать ресурсы, созданные за пределами Foundry, убедитесь, что ресурс имеет разрешения, которые позволяют получать к нему доступ. Ниже приведены некоторые примеры.
- Чтобы использовать новую учетную запись Azure Blob Storage, добавьте управляемое удостоверение ресурса учетной записи Foundry в роль "Чтение данных BLOB-хранилища" для этой учетной записи хранения.
- Чтобы использовать новый источник Azure AI Search, добавьте Foundry в назначения ролей Azure AI Search.
- Для точной настройки модели в Foundry требуются разрешения на доступ к плоскости данных и плоскости управления. Развертывание точно настроенной модели — это разрешение на уровне контрольной плоскости. Поэтому единственная встроенная роль с разрешениями уровня данных и уровня управления — это роль владелец Azure AI. Или, если вы предпочитаете, можно также назначить роль Azure AI User для разрешений плоскости данных и роль Azure AI Account Owner для разрешений плоскости управления.
Связанный контент
- Create project.
- Проверить доступ пользователя к одному ресурсу Azure.
- Проверка подлинности и авторизация в Foundry.
- Отключите предварительные версии функций в Microsoft Foundry.
Приложение
Примеры изоляции доступа
Каждая организация может иметь разные требования к изоляции доступа в зависимости от пользовательских персонажей в своей организации. Изоляция доступа относится к тому, какие пользователи в вашей организации получают назначения ролей для назначения ролей, обеспечивающего разделение разрешений с помощью предустановленных ролей или единой роли с расширенными разрешениями. Существует три варианта изоляции доступа для Foundry, которые вы можете выбрать для вашей организации в зависимости от ваших требований к изоляции доступа.
Нет изоляции доступа. Это означает, что у вас нет требований, разделяющих разрешения между разработчиком, менеджером project или администратором. Разрешения для этих ролей можно назначать между командами.
Таким образом, вам следует...
- Предоставьте всем пользователям вашего предприятия роль Azure AI Owner в области ресурсов
Частичная изоляция доступа. Это означает, что руководитель проекта в вашем предприятии должен иметь возможность как управлять текущими проектами, так и создавать новые. Но администраторы не должны иметь возможности разрабатываться в Foundry, создавать только проекты и учетные записи Foundry.
Таким образом, вам следует...
- Предоставьте администратору доступ к владельцу учетной записи Azure AI на области ресурсов
- Предоставьте разработчикам и менеджерам проектов роль Azure AI Project Manager в рамках ресурса
Полный доступ изоляции. Это означает, что администраторы, руководители проектов и разработчики имеют четко назначенные разрешения для различных функций в организации, которые не пересекаются.
Поэтому вы должны...
- Назначьте вашему администратору роль владельца учетной записи Azure AI на уровне области ресурсов.
- Предоставьте разработчику роль Reader на уровне доступа к ресурсу Foundry и Azure ИИ Пользователь на уровне проекта.
- Предоставьте менеджеру проекта роль Azure AI Project Manager на уровне ресурсов
Использование групп Microsoft Entra с Foundry
Microsoft Entra ID предоставляет несколько способов управления доступом к ресурсам, приложениям и задачам. С помощью групп Microsoft Entra можно предоставить доступ и разрешения группе пользователей, вместо предоставления каждому отдельному пользователю. ИТ-администраторы предприятия могут создавать группы Microsoft Entra в Azure portal, чтобы упростить процесс назначения ролей разработчикам. При создании группы Microsoft Entra можно свести к минимуму количество назначений ролей, необходимых для новых разработчиков, работающих над проектами Foundry, назначив группе требуемое назначение ролей для необходимого ресурса.
Выполните следующие действия, чтобы использовать группы Microsoft Entra ID с Foundry:
- Создайте группу Security в Groups в Azure portal.
- Добавьте владельца и пользователей в вашей организации, которым нужен общий доступ.
- Откройте целевой ресурс и перейдите к Access control (IAM).
- Назначьте требуемую роль пользователю, группе или субъекту-службе и выберите новую группу безопасности.
- Выберите "Проверить и назначить ", чтобы назначение роли применялось ко всем членам группы.
Распространенные примеры:
- Чтобы создавать агентов, выполнять трассировки и использовать основные возможности Foundry, назначьте пользователя Azure AI группе Microsoft Entra.
- Чтобы использовать функции трассировки и мониторинга, назначьте читателю подключенного ресурса Application Insights одну и ту же группу.
Дополнительные сведения о группах Microsoft Entra ID, предварительных требованиях и ограничениях см. в следующей статье: