Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В настоящее время просмотр:
Версия портала Foundry (классическая версия) - Переключиться на версию для нового портала Foundry
Совет
Эта статья предназначена для типа проекта Foundry. Доступна альтернативная статья RBAC для проектов, основанных на концентраторах: Управление доступом на основе ролей для Microsoft Foundry (Концентраторы и проекты).
В этой статье вы узнаете об управлении доступом на основе ролей (RBAC) в ресурсе Microsoft Foundry и о назначении ролей, которые управляют доступом к ресурсам.
Совет
Роли RBAC применяются при проверке подлинности с помощью Microsoft Entra ID. Если вместо этого используется проверка подлинности на основе ключей, ключ предоставляет полный доступ без ограничений ролей. Microsoft рекомендует использовать проверку подлинности Entra ID для улучшения безопасности и детального управления доступом.
Минимальные назначения ролей для начала работы
Для новых пользователей Azure и Microsoft Foundry начните с этих минимально необходимых назначений, чтобы как пользовательский субъект, так и управляемое удостоверение проекта могли получить доступ к возможностям Foundry.
Вы можете проверить текущие назначения с помощью функции Проверить доступ для пользователя к отдельному ресурсу Azure.
- Назначьте роль Пользователь Azure AI на ресурсе Foundry для вашего принципала пользователя.
- Назначьте роль пользователя Azure AI на вашем ресурсе Foundry для управляемого удостоверения вашего проекта.
Если пользователь, создавший проект, может назначать роли (например, имея роль Azure Owner в области подписки или группы ресурсов), оба назначения добавляются автоматически.
Чтобы назначить эти роли вручную, выполните следующие быстрые действия.
Назначение роли субъекту-пользователю
На портале Azure откройте ресурс Foundry и перейдите в Управление доступом (IAM). Создайте назначение ролей для пользователя Azure AI, задайте для параметра Members значение User, group или service principal, выберите принципал пользователя, а затем выберите Review + assign.
Назначьте роль управляемой идентификации проекта
На портале Azure откройте проект Foundry и перейдите к управлению доступом Access control (IAM). Создайте назначение роли для пользователя ИИ Azure, задайте для Members значение Managed identity, выберите управляемое удостоверение вашего проекта, а затем выберите Review + assign.
Терминология для управления доступом на основе ролей в Foundry
Чтобы понять управление доступом на основе ролей в Microsoft Foundry, рассмотрите два вопроса для вашего предприятия.
- Какие разрешения у моей команды должны быть при создании в Microsoft Foundry?
- На каком уровне я хочу дать разрешения моей команде?
Чтобы ответить на эти вопросы, ниже приведены описания некоторых терминологий, используемых в этой статье.
- Разрешения: Разрешенные или отклоненные действия, которые идентификация может выполнять с ресурсом, например, чтение, запись, удаление или управление операциями как управляющей плоскости, так и плоскости данных.
- Scope: набор ресурсов Azure, к которым применяется назначение роли. Типичные области включают подписку, группу ресурсов, ресурс Foundry или проект Foundry.
- Role: именованная коллекция разрешений, которая определяет, какие действия можно выполнять на Azure ресурсах в заданной области.
Учётная запись получает роль с определёнными разрешениями в выбранной области на основе ваших корпоративных требований.
В Microsoft Foundry рассмотрите два аспекта при распределении ролей.
- ресурс Foundry: область верхнего уровня, которая определяет границу администрирования, безопасности и мониторинга для среды Microsoft Foundry.
- Проект Foundry: подраздел в ресурсе Foundry, используемый для упорядочивания работы и управления доступом к API, инструментам и рабочим процессам разработчиков.
Встроенные роли
Встроенная роль в Foundry — это роль, созданная Microsoft, которая охватывает распространенные сценарии доступа и может быть назначена членам команды. Ключевые встроенные роли, используемые в Azure, включают владельца, участника и читателя. Эти роли не имеют отношения к разрешениям на ресурсы в Foundry.
Для ресурсов Foundry используйте дополнительные встроенные роли для выполнения принципов доступа с минимальными привилегиями. В следующей таблице перечислены ключевые встроенные роли для Foundry и представлены ссылки на точные определения ролей в «встроенные роли AI + Машинное обучение».
| Роль | Описание |
|---|---|
| пользователь Azure искусственного интеллекта | Предоставляет доступ читающей аудитории к проекту Foundry, ресурсу Foundry и действиям с данными для вашего проекта Foundry. Если вы можете назначить роли, эта роль назначается вам автоматически. В противном случае владелец подписки или пользователь с разрешениями на назначение ролей предоставляет их. Роль минимального доступа к привилегиям в Foundry. |
| Менеджер проекта Azure ИИ | Позволяет выполнять действия по управлению проектами Foundry, создавать и разрабатывать проекты и условно назначать роль пользователя Azure ИИ другим субъектам пользователей. |
| Владелец учетной записи ИИ Azure | Предоставляет полный доступ к управлению проектами и ресурсами и позволяет условно назначить роль пользователя Azure ИИ другим субъектам пользователей. |
| Владелец Azure AI | Предоставляет полный доступ к управляемым проектам и ресурсам и созданию и разработке с помощью проектов. Высоко привилегированная роль для самообслуживания, предназначенная для цифрового поколения. |
Разрешения для каждой встроенной роли
Используйте следующую таблицу и схему, чтобы просмотреть разрешения, предоставленные для каждой встроенной роли в Foundry, включая ключевые встроенные роли Azure.
| Встроенная роль | Создание проектов Foundry | Создание учетных записей Foundry | Создание и разработка в проекте (действия с данными) | Завершите назначение ролей | Доступ читателя к проектам и учетным записям | Управление моделями |
|---|---|---|---|---|---|---|
| пользователь Azure искусственного интеллекта | ✔ | ✔ | ||||
| Менеджер проектов ИИ Azure | ✔ | ✔ | ✔ (только назначьте роль пользователя ИИ Azure) | ✔ | ||
| владелец учетной записи Azure AI | ✔ | ✔ | ✔ (только назначьте роль пользователя ИИ Azure) | ✔ | ✔ | |
| Владелец Azure AI | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Владелец | ✔ | ✔ | ✔ (назначение любой роли любому пользователю) | ✔ | ✔ | |
| Вклад | ✔ | ✔ | ✔ | ✔ | ||
| Читатель | ✔ |
Дополнительные сведения о встроенных ролях в Azure и Foundry см. в разделе Azure встроенные роли. Дополнительные сведения о делегировании с условиями, используемом в роли владельца учетной записи Azure AI и роли диспетчера проекта Azure AI, см. в статье Delegate Azure управление назначениями ролей другим пользователям с условиями.
Примеры сопоставлений корпоративных систем управления доступом на основе ролей (RBAC) для проектов
Ниже приведен пример реализации управления доступом на основе ролей (RBAC) для корпоративного ресурса Foundry.
| Персона | Роль и область | Цель |
|---|---|---|
| ИТ-администратор | Владелец области подписки | ИТ-администратор гарантирует, что ресурс Foundry соответствует корпоративным стандартам. Назначьте менеджерам роль владельца учетной записи Azure ИИ на ресурсе для создания ими новых учетных записей Foundry. Назначьте менеджерам роль Azure AI Project Manager на ресурсе для возможности создания проектов в учетной записи. |
| Менеджеры | Владелец учетной записи Azure AI в области действия ресурсов Foundry | Руководители управляют ресурсом Foundry, развертывают модели, проверяют вычислительные ресурсы, проверяют подключения и создают общие подключения. Они не могут создавать проекты, но могут назначить роль Azure AI User себе и другим для начала работы. |
| Руководитель команды или ведущий разработчик | Azure ИИ менеджер проекта на области ресурсов Foundry | Ведущие разработчики разрабатывают проекты для своей команды и начинают работать над ними. После создания проекта владельцы проектов приглашают других участников и назначают роль пользователя Azure AI. |
| Участники группы или разработчики | пользователь Azure AI в пределах объема проекта Foundry и читатель на уровне ресурсов Foundry | Разработчики создают агентов в проекте, используя предварительно развернутые модели Foundry и готовые подключения. |
Управление назначениями ролей
Для управления ролями в Foundry необходимо иметь разрешение на назначение и удаление ролей в Azure. Встроенная роль Azure Owner включает это разрешение. Роли можно назначать с помощью портала Foundry (страница администрирования), Azure портала IAM или Azure CLI. Роли можно удалить с помощью Azure портала IAM или Azure CLI.
На портале Foundry управляйте разрешениями:
- На домашней странице в Foundry выберите ресурс Foundry.
- Выберите "Пользователи", чтобы добавить или удалить пользователей для ресурса.
Разрешения можно управлять на портале Azure в разделе контроль доступа (IAM) или с помощью Azure CLI.
Например, следующая команда назначает роль пользователя Azure AI joe@contoso.com для группы ресурсов this-rg в подписке 00000000-0000-0000-0000-000000000000:
az role assignment create --role "Azure AI User" --assignee "joe@contoso.com" --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/this-rg
Создание настраиваемых ролей для проектов
Если встроенные роли не соответствуют вашим корпоративным требованиям, создайте пользовательскую роль, которая позволяет точно контролировать разрешенные действия и области. Ниже приведен пример определения настраиваемой роли на уровне подписки:
{
"properties": {
"roleName": "My Enterprise Foundry User",
"description": "Custom role for Foundry at my enterprise to only allow building Agents. Assign at subscription level.",
"assignableScopes": ["/subscriptions/<your-subscription-id>"],
"permissions": [ {
"actions": ["Microsoft.CognitiveServices/*/read", "Microsoft.Authorization/*/read", "Microsoft.CognitiveServices/accounts/listkeys/action","Microsoft.Resources/deployments/*"],
"notActions": [],
"dataActions": ["Microsoft.CognitiveServices/accounts/AIServices/agents/*"],
"notDataActions": []
} ]
}
}
Дополнительные сведения о создании настраиваемой роли см. в следующих статьях.
- портал Azure
- Azure CLI
- Azure PowerShell
- Отключение функций предварительного просмотра в Microsoft Foundry. В этой статье содержатся дополнительные сведения о конкретных разрешениях в Foundry в области управления и плоскости данных, которые можно использовать при создании пользовательских ролей.
Заметки и ограничения
- Чтобы просматривать и удалять удаленные учетные записи Foundry, у вас должна быть назначена роль "Участник" в области подписки.
- Пользователи с ролью участника могут развертывать модели в Foundry.
- Для создания пользовательских ролей в ресурсе вам требуется роль владельца на уровне ресурса.
- Если у вас есть разрешения на назначение роли в Azure (например, роль владельца, назначенная в области учетной записи) субъекту-пользователю, и вы развертываете ресурс Foundry на портале Azure или пользовательском интерфейсе портала Foundry, то роль пользователя ИИ Azure автоматически назначается субъекту-пользователю. Это назначение не применяется при развертывании Foundry из пакета SDK или CLI.
- При создании ресурса Foundry встроенные разрешения управления доступом на основе ролей (RBAC) предоставляют доступ к ресурсу. Чтобы использовать ресурсы, созданные за пределами Foundry, убедитесь, что ресурс имеет разрешения, которые позволяют получить к нему доступ. Ниже приведены некоторые примеры.
- Чтобы использовать новую учетную запись Хранилище BLOB-объектов Azure, добавьте управляемое удостоверение ресурса учетной записи Foundry в роль «Читатель данных хранилища Blob» для этой учетной записи хранения.
- Чтобы использовать новый источник Поиск с использованием ИИ Azure, добавьте Foundry в назначения ролей Поиск с использованием ИИ Azure.
- Для точной настройки модели в Foundry требуются разрешения для плоскости данных и плоскости управления. Развертывание точно настроенной модели — это разрешение уровня управления. Поэтому единственная встроенная роль с разрешениями уровня данных и уровня управления — это роль Azure владельца ИИ. Или, если вы предпочитаете, можно также назначить роль Пользователь Azure AI для разрешений плоскости данных и роль Владелец учетной записи Azure AI для разрешений плоскости управления.
Связанное содержимое
- Создайте проект.
- Добавьте подключение на портале Foundry.
- Проверка подлинности и авторизация в Foundry.
- Отключение функций предварительного просмотра в Microsoft Foundry.
Приложение
Примеры изоляции доступа
Каждая организация может иметь разные требования к изоляции доступа в зависимости от пользователей в своей организации. Изоляция доступа означает, какие пользователи в вашей организации получают назначения ролей для разграничения прав доступа с помощью предустановленных ролей или унифицированной, высокоразрешительной роли. Существует три варианта изоляции доступа для Foundry, которые можно выбрать для вашей организации в зависимости от требований к изоляции доступа.
Изоляция доступа отсутствует. Это означает, что у вас нет каких-либо требований, разделяющих разрешения между разработчиком, менеджером проектов или администратором. Разрешения для этих ролей можно назначать между командами.
Таким образом, вы должны...
- Предоставьте всем пользователям в вашей организации роль владелец Azure AI на уровне ресурса.
Изоляция частичного доступа. Это означает, что руководитель проектов в вашей организации должен иметь возможность разрабатывать проекты, а также создавать проекты. Но администраторы не должны иметь возможности разрабатываться в Foundry, создавать только проекты и учетные записи Foundry.
Таким образом, вы должны...
- Предоставьте своему администратору роль владельца учетной записи Azure AI в пределах области ресурсов.
- Предоставьте разработчикам и менеджерам проектов роль Azure AI Project Manager для ресурса
Полная изоляция доступа. Это означает, что администраторы, руководители проектов и разработчики имеют четкие разрешения, которые не перекрываются для выполнения их различных функций в предприятии.
Поэтому вам следует...
- Предоставьте администратору роль владельца учетной записи Azure AI для области ресурсов.
- Предоставьте разработчику роль Читатель в области ресурса Foundry и роль Пользователь Azure ИИ в области проекта.
- Назначьте вашему руководителю проекта роль Azure AI Project Manager на уровне ресурсов.
Использование групп Microsoft Entra с Foundry
Microsoft Entra ID предоставляет несколько способов управления доступом к ресурсам, приложениям и задачам. Используя группы Microsoft Entra, вы можете предоставлять доступ и разрешения группе пользователей вместо каждого отдельного пользователя. ИТ-администраторы предприятия могут создавать группы Microsoft Entra на портале Azure, чтобы упростить процесс назначения ролей разработчикам. При создании группы Microsoft Entra можно свести к минимуму количество назначений ролей, необходимых для новых разработчиков, работающих над проектами Foundry, назначив группе требуемое назначение ролей в необходимом ресурсе.
Выполните следующие действия, чтобы использовать группы Microsoft Entra ID с Foundry:
- Создайте группу Security в Groups на портале Azure.
- Добавьте владельца и участников-пользователей в организации, которым требуется общий доступ.
- Откройте целевой ресурс и перейдите к элементу управления доступом (IAM).
- Назначьте требуемую роль пользователю, группе или субъекту-службе и выберите новую группу безопасности.
- Выберите "Проверить и назначить ", чтобы назначение роли применялось ко всем членам группы.
Распространенные примеры:
- Чтобы создавать агенты, выполнять трассировки и использовать основные возможности Foundry, назначьте Azure пользователя ИИ группе Microsoft Entra.
- Чтобы использовать функции трассировки и мониторинга, назначьте Reader на подключенный ресурс Application Insights в ту же группу.
Дополнительные сведения о группах Microsoft Entra ID, предварительных требованиях и ограничениях см. в следующей статье: