Kontrola dostępu oparta na rolach dla rozwiązania Microsoft Foundry

Wprowadzenie

W przypadku nowych użytkowników na platformach Azure i Microsoft Foundry użyj poniższej listy kontrolnej, aby upewnić się, że wszystkie prawidłowe role są przypisane do głównego użytkownika i zarządzanej tożsamości projektu, aby rozpocząć korzystanie z Foundry. Role można sprawdzić, korzystając z wytycznych dotyczących sprawdzania dostępu użytkownika do pojedynczego zasobu platformy Azure .

• Przypisz rolę Azure AI User w zasobie Foundry do user principal.
• Przypisz rolę użytkownika usługi Azure AI w zasobie Foundry do zarządzanej tożsamości projektu.

Jeśli użytkownik, który utworzył projekt, może przypisywać role, takie jak przypisana rola właściciela platformy Azure, w zakresie subskrypcji lub grupy zasobów oba te role są przypisywane automatycznie.

Aby przypisać rolę jednostki użytkownika lub zarządzanej tożsamości projektu, postępuj zgodnie z wytycznymi w poniższej sekcji.

Przypisz rolę do głównego użytkownika

1. Zaloguj się do witryny Azure Portal.
2. Przejdź do zasobu Foundry.
   1. W okienku po lewej stronie wybierz pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami).
   2. Wybierz Dodaj>Dodaj przypisanie roli.
   3. W obszarze Rola wybierz pozycję Użytkownik sztucznej inteligencji platformy Azure. W obszarze Członkowie wybierz pozycję Użytkownik, grupa lub jednostka usługi i wyszukaj swoją nazwę lub adres e-mail i wybierz.
   4. Na koniec przejrzyj i przypisz rolę.

Przypisz rolę do zarządzanej tożsamości projektu

1. Zaloguj się do witryny Azure Portal.
2. Przejdź do projektu Foundry.
   1. W okienku po lewej stronie wybierz pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami).
   2. Wybierz Dodaj>Dodaj przypisanie roli.
   3. W obszarze Rola wybierz pozycję Użytkownik sztucznej inteligencji platformy Azure. W obszarze Członkowie wybierz pozycję Tożsamość zarządzana i wybierz tożsamość zarządzaną projektu i Wybierz.
   4. Na koniec przejrzyj i przypisz rolę.

Aby uzyskać więcej informacji, zobacz pozostałą część tego dokumentu, aby uzyskać szczegółowe informacje na temat kontroli dostępu opartej na rolach w usłudze Microsoft Foundry.

Terminologia dotycząca kontroli dostępu opartej na rolach w rozwiązaniu Foundry

Aby zrozumieć kontrolę dostępu opartą na rolach w rozwiązaniu Microsoft Foundry, rozważ dwa pytania dotyczące przedsiębiorstwa.

1. Jakie uprawnienia chcę mieć mój zespół podczas kompilowania w rozwiązaniu Microsoft Foundry?

2. W jakim zakresie chcę przypisać uprawnienia do mojego zespołu?

Aby uzyskać odpowiedzi na te pytania, poniżej przedstawiono opisy niektórych terminologii używanych w tym artykule.

• uprawnienia: dozwolone lub niedozwolone akcje, które tożsamość może wykonywać na zasobie, takie jak odczytywanie, zapisywanie, usuwanie lub zarządzanie zarówno płaszczyzną sterowania, jak i płaszczyzną danych. W rozwiązaniu Foundry to pojęcie obejmuje uprawnienia do odczytu, zapisu lub usuwania.
• zakres: zestaw zasobów platformy Azure, do których ma zastosowanie przypisanie roli. Potencjalne zakresy obejmują subskrypcję, grupę zasobów, zasób Foundry lub projekt Foundry.
• rola: nazwana kolekcja uprawnień, która definiuje, jakie akcje można wykonać w zasobach platformy Azure w danym zakresie.

Aby powiązać te terminy ze sobą, tożsamości zostaje przypisana rola z pewnymi uprawnieniami do tworzenia i kompilowania zasobów i projektów Foundry. Można przypisać określony zakres w zależności od wymagań przedsiębiorstwa.

W rozwiązaniu Microsoft Foundry należy wziąć pod uwagę dwa zakresy podczas wykonywania przypisań ról.

• Zasób Foundry: najwyższy poziom zakresu, który definiuje granice administracyjne, bezpieczeństwa i monitorowania dla środowiska Microsoft Foundry.
• Projekt Foundry: podzakres w zasobie Foundry, używany do organizowania pracy i egzekwowania kontroli dostępu dla API, narzędzi i workflowów deweloperów.

Wbudowane role

Wbudowana rola w narzędziu Foundry jest rolą utworzoną przez firmę Microsoft, która obejmuje typowe scenariusze dostępu, które można przypisać członkom zespołu. Kluczowe wbudowane role używane na platformie Azure obejmują właściciela, współautora i czytelnika. Te role nie są specyficzne dla uprawnień zasobów usługi Foundry.

W przypadku zasobów usługi Foundry użyj dodatkowych wbudowanych ról, aby postępować zgodnie z zasadami dostępu z najmniejszymi uprawnieniami. W poniższej tabeli wymieniono pięć wbudowanych ról wbudowanych dla rozwiązania Foundry, krótki opis oraz link do dokładnej definicji roli w artykule Dotyczącym wbudowanych ról sztucznej inteligencji i uczenia maszynowego.

Uprawnienia dla każdej roli wbudowanej

Poniższa tabela i diagram umożliwiają wyświetlanie uprawnień dozwolonych dla każdej wbudowanej roli w narzędziu Foundry, w tym kluczowych ról wbudowanych platformy Azure.

Aby uzyskać więcej informacji na temat ról wbudowanych na platformie Azure i platformy Foundry, zobacz Role wbudowane platformy Azure. Aby dowiedzieć się więcej na temat delegowania warunkowego używanego w roli właściciela konta usługi Azure AI i menedżera projektu usługi Azure AI, zobacz Delegowanie zarządzania przypisaniem ról platformy Azure do innych osób z warunkami.

Przykładowa konfiguracja kontroli dostępu opartej na rolach przedsiębiorstwa dla projektów

Oto przykład implementacji kontroli dostępu opartej na rolach (RBAC) dla zasobu rozwiązania Foundry przedsiębiorstwa.

Zarządzanie rolami

Aby zarządzać rolami w narzędziu Foundry, musisz mieć uprawnienia do przypisywania i usuwania ról na platformie Azure. Kluczowa wbudowana rola właściciela platformy Azure obejmuje niezbędne uprawnienia. Role można przypisywać za pomocą portalu Foundry (strony administracyjnej), portalu Azure IAM lub interfejsu wiersza polecenia platformy Azure. Aby usunąć role, możesz użyć tylko portalu Azure IAM lub Azure CLI.

Uprawnienia można zarządzać w witrynie Azure Portal w obszarze Kontrola dostępu (Zarządzanie dostępem i tożsamościami) lub przy użyciu interfejsu wiersza polecenia platformy Azure.

Na przykład następujące polecenie przypisuje rolę użytkownika usługi Azure AI do joe@contoso.com grupy this-rg zasobów w subskrypcji o identyfikatorze 00000000-0000-0000-0000-000000000000:

az role assignment create --role "Azure AI User" --assignee "joe@contoso.com" --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/this-rg 

Tworzenie ról niestandardowych dla projektów

Jeśli wbudowane role nie spełniają wymagań przedsiębiorstwa, utwórz rolę niestandardową, która umożliwia precyzyjną kontrolę nad dozwolonymi akcjami i zakresami. Oto przykładowa definicja roli niestandardowej na poziomie subskrypcji:

{
  "properties": {
    "roleName": "My Enterprise Foundry User",
    "description": "Custom role for Foundry at my enterprise to only allow building Agents. Assign at subscription level.",
    "assignableScopes": ["/subscriptions/<your-subscription-id>"],
    "permissions": [ { 
        "actions": ["Microsoft.CognitiveServices/*/read", "Microsoft.Authorization/*/read", "Microsoft.CognitiveServices/accounts/listkeys/action","Microsoft.Resources/deployments/*"], 
        "notActions": [], 
        "dataActions": ["Microsoft.CognitiveServices/accounts/AIServices/agents/*"], 
        "notDataActions": []     
    } ]
  }
}

Aby uzyskać więcej informacji na temat tworzenia roli niestandardowej, zobacz następujące artykuły.

• Portal Azure
• "Azure CLI"
• Azure PowerShell
• Wyłącz funkcje w wersji zapoznawczej za pomocą programu Role-Based Access. Ten artykuł zawiera więcej szczegółowych informacji na temat określonych uprawnień dostępnych w narzędziu Foundry, zarówno w płaszczyźnie sterowania, jak i danych, które można wykorzystać podczas tworzenia ról niestandardowych.

Uwagi i ograniczenia

• Aby wyświetlić i usunąć usunięte konta usługi Foundry, musisz mieć przypisaną rolę Kontrybutora w zakresie subskrypcji.
• Użytkownicy z rolą Współautor mogą wdrażać modele w narzędziu Foundry.
• Aby utworzyć role niestandardowe w zasobie, należy mieć rolę Właściciela w zakresie tego zasobu.
• Jeśli masz uprawnienia do przypisywania ról w Azure (na przykład rolę właściciela przypisaną w zakresie konta) głównej nazwie użytkownika, i wdrożysz zasób Foundry z portalu Azure lub interfejsu użytkownika portalu Foundry, rola użytkownika Azure AI zostanie automatycznie przypisana do głównej nazwy użytkownika. To zadanie nie ma zastosowania podczas wdrażania Foundry z SDK lub CLI.
• Podczas tworzenia zasobu Foundry, wbudowane uprawnienia kontroli dostępu opartej na rolach (RBAC) zapewniają dostęp do tego zasobu. Aby korzystać z zasobów utworzonych poza usługą Foundry, upewnij się, że zasób ma uprawnienia umożliwiające dostęp do niego. Oto kilka przykładów:
  • Aby użyć nowego konta usługi Azure Blob Storage, dodaj tożsamość zarządzaną zasobu konta Foundry do roli Czytelnik danych obiektów blob Storage na tym koncie Storage.
  • Aby użyć nowego źródła usługi Azure AI Search, dodaj narzędzie Foundry do przypisań ról usługi Azure AI Search.

Treści powiązane

Dodatek

Przykłady izolacji dostępu

Każda organizacja może mieć różne wymagania dotyczące izolacji dostępu w zależności od osób użytkowników w przedsiębiorstwie. Izolacja dostępu odnosi się do tego, którzy użytkownicy w przedsiębiorstwie otrzymują przypisania ról pozwalających na rozdzielenie uprawnień przy użyciu naszych wbudowanych ról lub przypisania do ujednoliconej, wysoce permisywnej roli. Istnieją trzy opcje izolacji dostępu dla rozwiązania Foundry, które można wybrać dla organizacji w zależności od wymagań dotyczących izolacji dostępu.

Brak izolacji dostępu. Oznacza to, że w przedsiębiorstwie nie masz żadnych wymagań oddzielających uprawnienia między deweloperem, menedżerem projektu ani administratorem. Uprawnienia do tych ról można przypisać między zespołami.

W związku z tym należy...

• Udzielanie wszystkim użytkownikom w przedsiębiorstwie roli właściciela sztucznej inteligencji platformy Azure w zakresie zasobów

Izolacja dostępu częściowego. Oznacza to, że menedżer projektu w przedsiębiorstwie powinien być w stanie opracowywać projekty, a także tworzyć projekty. Jednakże administratorzy nie powinni być w stanie rozwijać w środowisku Foundry, a jedynie tworzyć projekty i konta w Foundry.

W związku z tym należy...

• Nadaj swojemu administratorowi rolę właściciela konta Azure AI w kontekście zasobów
• Nadaj deweloperom i menedżerom projektów rolę Menedżera projektów sztucznej inteligencji platformy Azure w zasobie.

Całkowita izolacja dostępu. Oznacza to, że administratorzy, menedżerowie projektów i deweloperzy mają przypisane jasne uprawnienia, które nie nakładają się na ich różne funkcje w przedsiębiorstwie.

Dlatego powinieneś...

• Przyznaj swojemu administratorowi rolę właściciela konta Azure AI w zakresie zasobów
• Udziel deweloperowi roli Czytelnik w zakresie zasobów usługi Foundry i użytkownikowi usługi Azure AI w zakresie projektu
• Udzielanie menedżerowi projektu roli Menedżera projektów sztucznej inteligencji platformy Azure w zakresie zasobów

Użycie grup Microsoft Entra z usługą Foundry

Identyfikator Entra firmy Microsoft udostępnia kilka sposobów zarządzania dostępem do zasobów, aplikacji i zadań. Za pomocą grup Firmy Microsoft Entra można udzielić dostępu i uprawnień grupie użytkowników zamiast do poszczególnych użytkowników. Administratorzy IT w przedsiębiorstwie mogą tworzyć grupy firmy Microsoft Entra w witrynie Azure Portal, aby uprościć proces przypisywania ról dla deweloperów. Podczas tworzenia grupy Entra firmy Microsoft można zminimalizować liczbę przypisań ról wymaganych dla nowych deweloperów pracujących nad projektami programu Foundry, przypisując grupie wymagane przypisanie roli do niezbędnego zasobu.

Wykonaj następujące kroki, aby użyć grup Entra ID z usługą Foundry:

1. Przejdź do Grupy w portalu Azure.

2. Utwórz nową grupę zabezpieczeń w portalu grup.

3. Przypisz właściciela grupy Microsoft Entra i dodaj do niej uprawnienia użytkowników w organizacji jako członków. Zapisz grupę.

4. Przejdź do zasobu wymagającego przypisania roli.

   • Przykład: Aby tworzyć agentów, uruchamiać śledzenie i nie tylko w narzędziu Foundry, minimalna rola "Użytkownik Azure AI" musi być przypisana do głównej tożsamości użytkownika. Przypisz rolę "Użytkownik sztucznej inteligencji platformy Azure" do nowej grupy firmy Microsoft Entra, aby wszyscy użytkownicy w przedsiębiorstwie mogli tworzyć aplikację Foundry.
   • Przykład: Aby korzystać z funkcji śledzenia i monitorowania w rozwiązaniu Microsoft Foundry, wymagane jest przypisanie roli "Czytelnik" w połączonym zasobie usługi Application Insights. Nadaj rolę "Czytelnik" nowej grupie w platformie Microsoft Entra, aby wszyscy użytkownicy w twoim przedsiębiorstwie mogli korzystać z funkcji Śledzenie i Monitorowanie.

5. Przejdź do Kontroli dostępu (IAM).

6. Wybierz rolę do przypisania.

7. Przypisz dostęp do pozycji "Użytkownik, grupa lub jednostka usługi" i wybierz nową grupę zabezpieczeń.

8. Przejrzyj i przypisz. Przypisanie roli ma teraz zastosowanie do wszystkich tożsamości użytkowników przypisanych do grupy.

Aby dowiedzieć się więcej o grupach identyfikatorów Entra, wymaganiach wstępnych i ograniczeniach, zobacz:

• Dowiedz się więcej o grupach, członkostwie w grupach i dostępie w usłudze Microsoft Entra.
• Jak zarządzać grupami w firmie Microsoft Entra.