Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Применяется только к:
Портал Foundry (классический). Эта статья недоступна для нового портала Foundry.
Дополнительные сведения о новом портале.
Примечание
Содержание в новой документации Microsoft Foundry может открываться по ссылкам в этой статье вместо документации Foundry (классической версии), которую вы просматриваете сейчас.
Важно
Эта статья предоставляет устаревшую поддержку для проектов на основе концентраторов. Он не будет работать для проектов Foundry. Узнайте , какой у меня тип проекта?
примечание о совместимости SDK. Для примеров кода требуется определенная версия пакета SDK для Foundry Microsoft. При возникновении проблем совместимости рассмотрите возможность миграции из концентратора в проект Foundry.
Совет
Доступна другая статья о проекте Foundry, использующем RBAC: Role-based access control for Microsoft Foundry.
В этой статье вы узнаете, как управлять доступом на уровне концентратора и проекта Foundry. Используйте Azure управление доступом на основе ролей (Azure RBAC) для управления доступом к ресурсам Azure. Azure предоставляет встроенные роли и позволяет создавать пользовательские роли.
Центр Foundry и проект
На портале Foundry доступ имеет два уровня: узел и проект. Концентратор размещает инфраструктуру (включая настройку виртуальной сети, управляемые клиентом ключи, управляемые идентичности и политики). Здесь вы настраиваете средства Foundry. Доступ к концентратору позволяет изменять инфраструктуру, создавать центры и создавать проекты. Проекты — это подмножество центра и выступают в качестве рабочих областей для создания и развертывания систем искусственного интеллекта. В проекте разрабатываются потоки, развертываются модели и управляются ресурсами проекта. Доступ к проекту позволяет создавать и развертывать ИИ полный цикл при использовании инфраструктуры концентратора.
Ключевое преимущество связи концентратора и проекта заключается в том, что разработчики могут создавать проекты, наследующие параметры безопасности концентратора. Некоторые разработчики являются участниками проекта и не могут создавать новые проекты.
Роли по умолчанию для хаба
Центр Foundry имеет встроенные роли, доступные по умолчанию.
| Роль | Описание |
|---|---|
| Владелец | Полный доступ к концентратору, включая возможность управления центрами, создание новых центров и назначение разрешений. Эта роль автоматически назначается создателю центра. |
| Автор | Пользователь имеет полный доступ к концентратору, включая возможность создания новых центров, но не может управлять разрешениями концентратора на существующем ресурсе. |
| Администратор ИИ Azure | Автоматически назначается управляемому удостоверению, привязанному к системе хаба. Предоставляет минимальные разрешения, необходимые для выполнения задач с управляемой идентичностью. |
| разработчик Azure ИИ | Выполняйте все действия, кроме создания новых хабов или управления разрешениями хаба. Пользователи могут назначать разрешения в своем проекте. |
| Оператор развертывания операций вывода Azure ИИ | Выполните все действия, необходимые для создания развертывания ресурсов в группе ресурсов. |
| Читатель | Доступ только для чтения к хабу. Эта роль автоматически назначается всем членам проекта в центре. |
Ключевое различие между участником и разработчиком Azure AI заключается в способности создавать новые центры. Только роли владельца и участника позволяют создавать концентратор. Пользовательские роли не могут предоставлять создание хаба.
роль администратора ИИ Azure
Центры, созданные после 19.11.2024, имеют управляемое системой удостоверение, назначаемое на роль Администратор Azure ИИ вместо Contributor.
{
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.CognitiveServices/*",
"Microsoft.ContainerRegistry/registries/*",
"Microsoft.DocumentDb/databaseAccounts/*",
"Microsoft.Features/features/read",
"Microsoft.Features/providers/features/read",
"Microsoft.Features/providers/features/register/action",
"Microsoft.Insights/alertRules/*",
"Microsoft.Insights/components/*",
"Microsoft.Insights/diagnosticSettings/*",
"Microsoft.Insights/generateLiveToken/read",
"Microsoft.Insights/logDefinitions/read",
"Microsoft.Insights/metricAlerts/*",
"Microsoft.Insights/metricdefinitions/read",
"Microsoft.Insights/metrics/read",
"Microsoft.Insights/scheduledqueryrules/*",
"Microsoft.Insights/topology/read",
"Microsoft.Insights/transactions/read",
"Microsoft.Insights/webtests/*",
"Microsoft.KeyVault/*",
"Microsoft.MachineLearningServices/workspaces/*",
"Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/deployments/operations/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourcegroups/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Storage/storageAccounts/*",
"Microsoft.Support/*",
"Microsoft.Search/searchServices/write",
"Microsoft.Search/searchServices/read",
"Microsoft.Search/searchServices/delete",
"Microsoft.Search/searchServices/indexes/*",
"Microsoft.DataFactory/factories/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
роль разработчика ИИ Azure
{
"permissions": [
{
"actions": [
"Microsoft.MachineLearningServices/workspaces/*/read",
"Microsoft.MachineLearningServices/workspaces/*/action",
"Microsoft.MachineLearningServices/workspaces/*/delete",
"Microsoft.MachineLearningServices/workspaces/*/write",
"Microsoft.MachineLearningServices/locations/*/read",
"Microsoft.Authorization/*/read",
"Microsoft.Resources/deployments/*"
],
"notActions": [
"Microsoft.MachineLearningServices/workspaces/delete",
"Microsoft.MachineLearningServices/workspaces/write",
"Microsoft.MachineLearningServices/workspaces/listKeys/action",
"Microsoft.MachineLearningServices/workspaces/hubs/write",
"Microsoft.MachineLearningServices/workspaces/hubs/delete",
"Microsoft.MachineLearningServices/workspaces/featurestores/write",
"Microsoft.MachineLearningServices/workspaces/featurestores/delete"
],
"dataActions": [
"Microsoft.CognitiveServices/accounts/OpenAI/*",
"Microsoft.CognitiveServices/accounts/SpeechServices/*",
"Microsoft.CognitiveServices/accounts/ContentSafety/*"
],
"notDataActions": []
}
]
}
Роли по умолчанию для проектов
При предоставлении пользователю доступа к проекту система также назначает роль Reader на hub и роль Inference Deployment Operator, чтобы разрешить развертывания в группе ресурсов.
| Роль | Описание |
|---|---|
| Владелец | Полный доступ к проекту, включая назначение разрешений пользователям проекта. |
| Автор | Полный доступ, но не может назначать разрешения. |
| Администратор ИИ Azure | Автоматически назначается управляемой удостоверяющей записи концентратора. |
| разработчик Azure ИИ | Создание развертываний; не удается назначить разрешения. |
| Оператор развертывания операций вывода Azure ИИ | Действия, необходимые для создания развертываний ресурсов. |
| Читатель | Доступ только для чтения. |
Чтобы создать проект, роль должна включать Microsoft.MachineLearningServices/workspaces/hubs/join на хабе (включенном в Azure AI Developer).
Разрешения службы зависимостей
| Разрешение | Цель |
|---|---|
Microsoft.Storage/storageAccounts/write |
Создание и обновление учетной записи хранения. |
Microsoft.KeyVault/vaults/write |
Создание и обновление хранилища ключей. |
Microsoft.CognitiveServices/accounts/write |
Создание учетных записей API. |
Microsoft.MachineLearningServices/workspaces/write |
Создание и обновление рабочей области. |
Пример настройки корпоративного RBAC для центров
| Персона | Роль | Цель |
|---|---|---|
| ИТ-администратор | Владелец | Обеспечивает соответствие стандартам хаба. Назначает роли руководителя. |
| Менеджеры | Участник или разработчик Azure ИИ | Управление концентратором, аудитом общих ресурсов. |
| Руководитель команды | разработчик Azure ИИ | Создание проектов и общих ресурсов. |
| Разработчики | Участник или разработчик ИИ на платформе Azure (проект) | Создание и развертывание моделей. |
Доступ к внешним ресурсам
Убедитесь, что управляемому удостоверению концентратора предоставлены необходимые роли во внешних службах (например, в хранилище, поиске) до начала использования.
Управление доступом
Чтобы назначить роли, используйте портал Foundry (колонка "Пользователи") или Azure портал IAM или CLI.
Пример интерфейса командной строки:
az role assignment create --role "Azure AI Developer" --assignee "user@contoso.com" --scope /subscriptions/<sub-id>/resourceGroups/<rg-name>
Пользовательские роли
Определите пользовательские роли, если встроенные роли не соответствуют потребностям. Пример кастомной роли на уровне подписки:
{
"properties": {
"roleName": "Foundry Developer",
"description": "Custom role for Foundry. At subscription level",
"assignableScopes": ["/subscriptions/<your-subscription-id>"],
"permissions": [ { "actions": ["Microsoft.MachineLearningServices/workspaces/write", "Microsoft.MachineLearningServices/workspaces/endpoints/write"], "notActions": [], "dataActions": ["Microsoft.CognitiveServices/accounts/OpenAI/*/read"], "notDataActions": [] } ]
}
}
Назначение ролей на портале
В центре управления выберите "Пользователи " на уровне концентратора или проекта, а затем новый пользователь.
Основные моменты сценария
- Управляемый клиентом ключ: предоставьте создателю рабочей области доступ к Key Vault; если используется удостоверение, назначаемое пользователем, предоставьте необходимые разрешения на плоскость данных.
- Связи с Microsoft Entra ID: Назначьте необходимые роли RBAC Azure (например, вкладчик данных хранилища Blob, вкладчик данных индекса поиска).
- Реестр контейнеров Azure: используйте управляемое удостоверение, назначаемое системой, или назначьте
ACRPullудостоверению, назначенному пользователем. - Application Insights: требуется
Microsoft.Insights/Components/WriteиMicrosoft.OperationalInsights/workspaces/writeво время создания хаба.
Устранение неполадок
Если новые центры, использующие роль администратора ИИ Azure, сталкиваются с проблемами, вы можете временно вернуться к роли участника (см. исходную статью для подробного описания шагов).