비고
이 문서는 Microsoft Foundry(신규) 포털을 참조합니다.
팁 (조언)
대체 허브 중심 RBAC 문서를 사용할 수 있습니다. Microsoft Foundry(허브 및 프로젝트)에 대한 역할 기반 액세스 제어입니다.
이 문서에서는 Microsoft Foundry 리소스의 RBAC(역할 기반 액세스 제어)에 대해 알아봅니다. RBAC를 사용하여 새 리소스를 만들거나 기존 리소스를 사용하는 등 리소스에 대한 액세스를 관리합니다. 리소스에 대한 액세스 권한을 부여하는 사용자 역할을 할당합니다. 이 문서에서는 Microsoft Foundry의 RBAC에 대한 세부 정보와 기업의 역할 할당을 가장 잘 활용하는 방법을 자세히 설명합니다.
이 문서에서는 Microsoft Foundry 리소스에 대한 액세스를 관리하는 방법을 알아봅니다. RBAC(역할 기반 액세스 제어)를 사용하여 새 리소스를 만들거나 기존 리소스를 사용하는 등 리소스에 대한 액세스를 관리합니다. 리소스에 대한 액세스 권한을 부여하는 사용자 역할을 할당합니다. 이 문서에서는 Microsoft Foundry의 RBAC에 대한 세부 정보와 기업의 역할 할당을 가장 잘 활용하는 방법을 자세히 설명합니다.
Microsoft Foundry의 인증 및 권한 부여에 대한 자세한 내용은 인증 및 권한 부여를 참조하세요. 이 문서에서는 이전 문서에서 설명한 용어를 설명합니다.
시작하기
Azure 및 Microsoft Foundry에 대한 새 사용자의 경우 다음 확인 목록을 사용하여 모든 올바른 역할이 Foundry에서 시작하기 위해 사용자 주체 및 프로젝트의 관리 ID에 할당되었는지 확인합니다. 단일 Azure 리소스에 대한 사용자 액세스 확인 지침을 사용하여 역할을 확인할 수 있습니다.
- Foundry 리소스에 대한 Azure AI 사용자 역할을 귀하의 사용자 주체에 할당하세요.
- Foundry 리소스에서 Azure AI 사용자 역할을 프로젝트의 관리 ID에 할당합니다.
프로젝트를 만든 사용자가 구독 또는 리소스 그룹 범위에서 할당된 Azure 소유자 역할과 같은 역할을 할당할 수 있는 경우 이러한 두 역할이 자동으로 할당됩니다.
사용자 주체 또는 프로젝트의 관리 ID에 역할을 할당하려면 다음 섹션의 지침을 따릅니다.
사용자 주체에 역할 할당
- Azure Portal에 로그인합니다.
- Foundry 리소스로 이동합니다.
- 왼쪽 창에서 액세스 제어(IAM)를 선택합니다.
- 추가>역할 할당 추가를 선택합니다.
- 역할에서 Azure AI 사용자를 선택합니다. 구성원 아래에서 사용자, 그룹 또는 서비스 주체를 선택하고 이름 또는 전자 메일을 검색하고 선택합니다.
- 마지막으로, 검토 + 역할을 할당 합니다.
프로젝트의 관리 ID에 역할 할당
- Azure Portal에 로그인합니다.
- Foundry 프로젝트로 이동합니다.
- 왼쪽 창에서 액세스 제어(IAM)를 선택합니다.
- 추가>역할 할당 추가를 선택합니다.
- 역할에서 Azure AI 사용자를 선택합니다. 구성원 아래에서 관리 ID를 선택하고 프로젝트의 관리 ID를 선택하고 선택합니다.
- 마지막으로, 검토 + 역할을 할당 합니다.
자세한 내용은 Microsoft Foundry의 역할 기반 액세스 제어에 대한 자세한 내용은 이 문서의 나머지 부분을 참조하세요.
Foundry의 역할 기반 액세스 제어에 대한 용어
Microsoft Foundry의 역할 기반 액세스 제어를 이해하려면 엔터프라이즈에 대한 두 가지 질문을 고려하세요.
Microsoft Foundry에서 빌드할 때 팀에 어떤 권한을 부여하시겠습니까?
어떤 범위에서 내 팀에 사용 권한을 할당하시겠습니까?
이러한 질문에 대한 답변을 돕기 위해 이 문서 전체에서 사용되는 몇 가지 용어에 대한 설명은 다음과 같습니다.
- 사용 권한: 컨트롤 플레인과 데이터 평면을 모두 읽거나 쓰거나 삭제하거나 관리하는 것과 같이 ID가 리소스에서 수행할 수 있는 허용되거나 거부된 작업입니다. Foundry에서 이 개념에는 읽기, 쓰기 또는 삭제 권한이 포함됩니다.
- 범위: 역할 할당이 적용되는 Azure 리소스 집합입니다. 잠재적인 범위에는 구독, 리소스 그룹, Foundry 리소스 또는 Foundry 프로젝트가 포함됩니다.
- 역할: 지정된 범위에서 Azure 리소스에서 수행할 수 있는 작업을 정의하는 명명된 권한 컬렉션입니다.
이러한 용어를 서로 연결하기 위해 ID에는 Foundry 리소스 및 프로젝트를 만들고 빌드할 수 있는 특정 권한이 있는 역할이 할당됩니다. 엔터프라이즈 요구 사항에 따라 특정 범위를 할당합니다.
Microsoft Foundry에서 역할 할당을 완료할 때 두 가지 범위를 고려합니다.
- Foundry 리소스: Microsoft Foundry 환경에 대한 관리, 보안 및 모니터링 경계를 정의하는 최상위 범위입니다.
- Foundry 프로젝트: Foundry API, 도구 및 개발자 워크플로에 대한 작업을 구성하고 액세스 제어를 적용하는 데 사용되는 Foundry 리소스 내의 하위 범위입니다.
기본 제공 역할
Foundry의 기본 제공 역할은 팀 구성원에게 할당할 수 있는 일반적인 액세스 시나리오를 다루는 Microsoft에서 만든 역할입니다. Azure에서 사용되는 주요 기본 제공 역할에는 소유자, 기여자 및 리더가 포함됩니다. 이러한 역할은 Foundry 리소스 권한과 관련이 없습니다.
Foundry 리소스의 경우 추가 기본 제공 역할을 사용하여 최소 권한 액세스 원칙을 따릅니다. 다음 표에서는 Foundry에 대한 5가지 주요 기본 제공 역할, 간단한 설명 및 AI + Machine Learning 기본 제공 역할 문서의 정확한 역할 정의에 대한 링크를 나열합니다.
| 역할 | Description |
|---|---|
| Azure AI 사용자 | Foundry 프로젝트, Foundry 리소스 및 해당 Foundry 프로젝트의 데이터 작업에 대한 리더 액세스 권한을 부여합니다. 역할을 할당할 수 있는 경우 이 역할이 자동으로 할당됩니다. 그렇지 않으면 구독 소유자 또는 역할 할당 권한이 있는 사용자가 권한을 부여합니다. Foundry에서 최소 권한 액세스 역할입니다. |
| Azure AI Project Manager | Foundry 프로젝트의 관리 작업을 수행하고, 프로젝트를 빌드 및 개발하며, 조건부로 Azure AI 사용자 역할을 다른 사용자 주체에 할당할 수 있습니다. |
| Azure AI 계정 소유자 | 프로젝트 및 리소스를 관리할 수 있는 전체 접근 권한을 부여하고, Azure AI 사용자 역할을 다른 사용자 보안 주체에 조건부로 할당할 수 있습니다. |
| Azure AI 소유자 | 관리되는 프로젝트 및 리소스에 대한 모든 권한을 부여하고 프로젝트를 사용하여 빌드 및 개발합니다. 디지털 네이티브를 위해 설계된 높은 권한의 셀프 서비스 역할. |
각 기본 제공 역할에 대한 권한
다음 표와 다이어그램을 사용하여 주요 Azure 기본 제공 역할을 포함하여 Foundry의 각 기본 제공 역할에 허용되는 권한을 확인합니다.
| 기본 제공 역할 | Foundry 프로젝트 만들기 | Foundry 계정 만들기 | 프로젝트에서 빌드 및 개발(데이터 작업) | 역할 할당 완료 | 프로젝트 및 계정에 대한 읽기 권한자 액세스 | 모델 관리 |
|---|---|---|---|---|---|---|
| Azure AI 사용자 | ✔ | ✔ | ||||
| Azure AI Project Manager | ✔ | ✔ | ✔ (Azure AI 사용자 역할만 할당) | ✔ | ||
| Azure AI 계정 소유자 | ✔ | ✔ | ✔ (Azure AI 사용자 역할만 할당) | ✔ | ✔ | |
| Azure AI 소유자 | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Owner | ✔ | ✔ | ✔ (모든 사용자에게 모든 역할 할당) | ✔ | ✔ | |
| Contributor | ✔ | ✔ | ✔ | ✔ | ||
| Reader | ✔ |
Azure 및 Foundry의 기본 제공 역할에 대한 자세한 내용은 Azure 기본 제공 역할을 참조하세요. Azure AI 계정 소유자 및 Azure AI Project Manager 역할에 사용되는 조건부 위임에 대한 자세한 내용은 조건이 있는 다른 사용자에게 Azure 역할 할당 관리 위임을 참조하세요.
프로젝트에 대한 샘플 엔터프라이즈 RBAC 설정
다음은 엔터프라이즈 Foundry 리소스에 대한 RBAC(역할 기반 액세스 제어)를 구현하는 방법의 예입니다.
| 페르소나 | 역할 및 범위 | 목적 |
|---|---|---|
| IT 관리자 | 구독 범위 내의 소유자 | IT 관리자는 Foundry 리소스가 엔터프라이즈 표준을 충족하는지 확인합니다. 관리자에게 리소스에 대한 Azure AI 계정 소유자 역할을 할당하여 새 Foundry 계정을 만들 수 있도록 합니다. 관리자에게 리소스에 대한 Azure AI 프로젝트 관리자 역할을 할당하여 계정 내에서 프로젝트를 만들 수 있도록 합니다. |
| Managers | Azure AI 계정 소유자 (Foundry 리소스 범위 내) | 관리자는 Foundry 리소스를 관리하고, 모델을 배포하고, 컴퓨팅 리소스를 감사하고, 연결을 감사하고, 공유 연결을 만듭니다. 프로젝트에서 빌드할 수는 없지만 Azure AI 사용자 역할을 자신과 다른 사용자에게 할당하여 빌드를 시작할 수 있습니다. |
| 팀 리더 또는 수석 개발자 | Foundry 리소스 범위 내의 Azure AI 프로젝트 관리자 | 수석 개발자는 팀을 위한 프로젝트를 만들고 해당 프로젝트에서 빌드를 시작합니다. 프로젝트를 만든 후 프로젝트 소유자는 다른 멤버를 초대하고 Azure AI 사용자 역할을 할당합니다. |
| 팀 구성원 또는 개발자 | Azure AI 사용자의 Foundry 프로젝트 범위 및 Foundry 리소스 범위의 reader | 개발자는 미리 배포된 Foundry 모델 및 미리 빌드된 연결을 사용하여 프로젝트에서 에이전트를 빌드합니다. |
역할 관리
Foundry에서 역할을 관리하려면 Azure에서 역할을 할당하고 제거할 수 있는 권한이 있어야 합니다. 소유자의 주요 Azure 기본 제공 역할에는 필요한 권한이 포함됩니다. Foundry 포털(관리 페이지), Azure Portal IAM 또는 Azure CLI를 통해 역할을 할당할 수 있습니다. 역할을 제거하려면 Azure Portal IAM 또는 Azure CLI만 사용할 수 있습니다.
Foundry 포털에서 다음을 통해 사용 권한을 관리합니다.
- Foundry의 홈페이지에서 Foundry 리소스를 선택합니다.
- 리소스에 대한 사용자를 추가하거나 제거하려면 사용자를 선택합니다.
Foundry 포털에서 다음을 통해 사용 권한을 관리합니다.
- Foundry의 관리자 페이지에서 [작동]을 선택한 다음 왼쪽 탐색에서 관리자를 선택합니다.
- 테이블에서 프로젝트 이름을 선택합니다.
- 오른쪽 위에서 사용자 추가를 선택합니다. 이 단추는 역할 할당 권한이 있는 경우에만 클릭할 수 있습니다.
- Foundry 프로젝트에 사용자를 추가합니다. Foundry 리소스에 대해 동일한 지침이 적용됩니다.
Azure Portal에서 액세스 제어(IAM) 또는 Azure CLI를 사용하여 권한을 관리할 수 있습니다.
예를 들어, 다음 명령은 구독 ID가 joe@contoso.com인 경우 리소스 그룹 this-rg에 대해 00000000-0000-0000-0000-000000000000에게 Azure AI 사용자 역할을 할당합니다.
az role assignment create --role "Azure AI User" --assignee "joe@contoso.com" --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/this-rg
프로젝트에 대한 사용자 지정 역할 만들기
기본 제공 역할이 엔터프라이즈 요구 사항을 충족하지 않는 경우 허용되는 작업 및 범위를 정확하게 제어할 수 있는 사용자 지정 역할을 만듭니다. 다음은 구독 수준 사용자 지정 역할 정의의 예입니다.
{
"properties": {
"roleName": "My Enterprise Foundry User",
"description": "Custom role for Foundry at my enterprise to only allow building Agents. Assign at subscription level.",
"assignableScopes": ["/subscriptions/<your-subscription-id>"],
"permissions": [ {
"actions": ["Microsoft.CognitiveServices/*/read", "Microsoft.Authorization/*/read", "Microsoft.CognitiveServices/accounts/listkeys/action","Microsoft.Resources/deployments/*"],
"notActions": [],
"dataActions": ["Microsoft.CognitiveServices/accounts/AIServices/agents/*"],
"notDataActions": []
} ]
}
}
사용자 지정 역할을 만드는 방법에 대한 자세한 내용은 다음 문서를 참조하세요.
- Azure Portal
- Azure CLI
- Azure PowerShell
- Role-Based Access에서 미리 보기 기능을 사용하지 않도록 설정합니다. 이 문서에서는 사용자 지정 역할을 빌드할 때 활용할 수 있는 컨트롤 및 데이터 평면에서 Foundry의 특정 권한에 대해 자세히 설명합니다.
참고 사항 및 제한 사항
- 삭제된 Foundry 계정을 보고 제거하려면 구독 범위에 기여자 역할이 할당되어 있어야 합니다.
- 기여자 역할을 가진 사용자는 Foundry에서 모델을 배포할 수 있습니다.
- 리소스에서 사용자 지정 역할을 만들려면 리소스 범위에서 소유자 역할이 필요합니다.
- Azure에서 사용자 주체에 역할 할당 권한(예: 계정 범위에 할당된 소유자 역할)이 있고 Azure Portal 또는 Foundry 포털 UI에서 Foundry 리소스를 배포하는 경우, Azure AI 사용자 역할이 사용자 주체에 자동으로 할당됩니다. 이 할당은 SDK 또는 CLI에서 Foundry를 배포할 때 적용되지 않습니다.
- Foundry 리소스를 만들 때 기본 제공 RBAC(역할 기반 액세스 제어) 권한을 통해 리소스에 액세스할 수 있습니다. Foundry 외부에서 만든 리소스를 사용하려면 리소스에 액세스할 수 있는 권한이 있는지 확인합니다. 몇 가지 예제는 다음과 같습니다.
- 새 Azure Blob Storage 계정을 사용하려면 Foundry 계정 리소스의 관리 ID를 해당 스토리지 계정의 Storage Blob 데이터 판독기 역할에 추가합니다.
- 새 Azure AI Search 원본을 사용하려면 Azure AI Search 역할 할당에 Foundry를 추가합니다.
관련 콘텐츠
부록
액세스 격리 예제
각 조직은 엔터프라이즈 내 사용자 페르소나에 따라 액세스 격리 요구 사항이 다를 수 있습니다. 액세스 격리란 기업 내 사용자에게 어떤 역할 할당을 하고, 기본 제공 역할을 통해 사용 권한을 분리하거나 통합된 포괄적 역할을 부여하는지를 의미합니다. Foundry에는 액세스 격리 요구 사항에 따라 조직에 대해 선택할 수 있는 세 가지 액세스 격리 옵션이 있습니다.
액세스 격리가 없습니다. 즉, 기업에서는 개발자, 프로젝트 관리자 또는 관리자 간에 사용 권한을 구분하는 요구 사항이 없습니다. 이러한 역할에 대한 사용 권한은 팀 전체에 할당할 수 있습니다.
따라서 여러분은 다음을 수행하는 것이 좋습니다.
- 리소스 범위에서 엔터프라이즈의 모든 사용자에게 Azure AI 소유자 역할 부여
부분 액세스 격리. 즉, 엔터프라이즈의 프로젝트 관리자는 프로젝트 내에서 개발하고 프로젝트를 만들 수 있어야 합니다. 그러나 관리자는 Foundry 내에서 개발할 수 없고 Foundry 프로젝트 및 계정만 만들면 안 됩니다.
따라서 여러분은 다음을 수행하는 것이 좋습니다.
- 리소스 범위에서 관리자에게 Azure AI 계정 소유자 권한을 부여하십시오.
- 개발자 및 프로젝트 관리자에게 리소스에 대한 Azure AI Project Manager 역할 부여
모든 권한 격리. 즉, 관리자, 프로젝트 관리자 및 개발자는 기업 내의 다른 기능에 대해 겹치지 않는 명확한 권한이 할당됩니다.
수행 항목...
- 관리자에게 리소스 범위의 Azure AI 계정 소유자 권한을 부여하십시오.
- 개발자에게 Foundry 리소스 범위에 대한 읽기 권한자 역할 부여 및 프로젝트 범위에서 Azure AI 사용자 부여
- 프로젝트 관리자에게 리소스 범위에 대한 Azure AI Project Manager 역할 부여
Foundry에서 Microsoft Entra 그룹 사용
Microsoft Entra ID는 리소스, 애플리케이션 및 작업에 대한 액세스를 관리하는 여러 가지 방법을 제공합니다. Microsoft Entra 그룹을 사용하여 각 개별 사용자 대신 사용자 그룹에 액세스 및 권한을 부여할 수 있습니다. 엔터프라이즈 IT 관리자는 개발자를 위한 역할 할당 프로세스를 간소화하기 위해 Azure Portal에서 Microsoft Entra 그룹을 만들 수 있습니다. Microsoft Entra 그룹을 만들 때 필요한 리소스에 필요한 역할 할당을 그룹에 할당하여 Foundry 프로젝트에서 작업하는 새 개발자에게 필요한 역할 할당 수를 최소화할 수 있습니다.
Foundry에서 Entra ID 그룹을 사용하려면 다음 단계를 완료합니다.
Azure Portal에서 그룹으로 이동합니다.
그룹 포털에서 새 보안 그룹을 만듭니다.
Microsoft Entra 그룹의 소유자를 할당하고 조직의 개별 사용자 주체를 그룹에 구성원으로 추가합니다. 그룹을 저장합니다.
역할 할당이 필요한 리소스로 이동합니다.
- 예제: Foundry에서 에이전트를 빌드하고 추적을 실행하려면 최소 권한 'Azure AI 사용자' 역할을 사용자 보안 주체에게 할당해야 합니다. 엔터프라이즈의 모든 사용자가 Foundry에서 빌드할 수 있도록 새 Microsoft Entra 그룹에 'Azure AI 사용자' 역할을 할당합니다.
- 예제: Microsoft Foundry에서 추적 및 모니터링 기능을 사용하려면 연결된 Application Insights 리소스에 대한 '읽기 권한자' 역할 할당이 필요합니다. 기업의 모든 사용자가 추적 및 모니터링 기능을 사용할 수 있도록 새 Microsoft Entra 그룹에 '읽기 권한자' 역할을 할당합니다.
액세스 제어(IAM)로 이동합니다.
할당할 역할을 선택합니다.
"사용자, 그룹 또는 서비스 주체"에 대한 액세스를 할당하고 새 보안 그룹을 선택합니다.
검토 및 할당. 역할 할당은 이제 그룹에 할당된 모든 사용자에게 적용됩니다.
Entra ID 그룹, 필수 구성 요소 및 제한 사항에 대한 자세한 내용은 다음을 참조하세요.