Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Observação
Este documento refere-se ao portal Microsoft Foundry (clássico).
🔄 Altere para a nova documentação do Microsoft Foundry se estiver a utilizar o novo portal.
Observação
Este documento refere-se ao portal Microsoft Foundry (novo ).
Sugestão
Está disponível um artigo alternativo sobre RBAC focado em hubs: Controlo de acesso baseado em funções para Microsoft Foundry (Hubs e Projetos).
Neste artigo, aprende sobre controlo de acesso baseado em funções (RBAC) no seu recurso Microsoft Foundry e como atribuir funções que controlam o acesso a recursos.
Neste artigo, aprende como gerir o acesso aos recursos da Microsoft Foundry usando controlo de acesso baseado em funções (RBAC).
Para mais informações sobre autenticação e autorização no Microsoft Foundry, consulte Autenticação e Autorização. Este artigo menciona a terminologia explicada no artigo anterior.
Como Começar
Para novos utilizadores no Azure e Microsoft Foundry, utilize a seguinte lista de verificação para garantir que todos os papéis corretos são atribuídos ao seu user principal e à identidade gerida do seu projeto para começar no Foundry. Pode verificar as suas funções usando as diretrizes de Verificar acesso de um utilizador a um único recurso Azure.
- Atribui o papel de Utilizador de IA Azure no teu recurso Foundry ao teu principal de utilizador.
- Atribua o papel de Utilizador de IA Azure no seu recurso Foundry para a identidade gerida do seu projeto.
Se o utilizador que criou o projeto conseguir atribuir papéis, como o papel de Proprietário do Azure atribuído, no âmbito de subscrição ou grupo de recursos, ambos os papéis são automaticamente atribuídos.
Para atribuir um papel ao seu utilizador principal ou à identidade gerida do seu projeto, siga as orientações na secção seguinte.
Atribui um papel ao teu utilizador principal
- Inicie sessão no portal Azure.
- Navegue até ao seu recurso da Foundry.
- No painel esquerdo, selecione Controle de acesso (IAM).
- Selecione Adicionar>Adicionar atribuição de função.
- Em Função, selecione Azure AI User. Em Membros, selecione Utilizador, grupo ou principal de serviço e pesquise o seu nome ou email e Selecione.
- Por fim, Revise e atribua a função.
Atribua um papel à identidade gerida do teu projeto
- Inicie sessão no portal Azure.
- Aceda ao seu projeto Foundry.
- No painel esquerdo, selecione Controle de acesso (IAM).
- Selecione Adicionar>Adicionar atribuição de função.
- Em Função, selecione Azure AI User. Em Membros, selecione Identidade Gerida e selecione a identidade gerida do seu projeto e Selecione.
- Por fim, Revise e atribua a função.
Terminologia para controlo de acesso baseado em funções na Foundry
Para compreender o controlo de acesso baseado em funções no Microsoft Foundry, considere duas questões para a sua empresa.
Que permissões quero que a minha equipa tenha ao construir no Microsoft Foundry?
Em que âmbito quero atribuir as permissões à minha equipa?
Para ajudar a responder a estas questões, aqui estão descrições de alguma terminologia utilizada ao longo deste artigo.
- Permissões: As ações permitidas ou negadas que uma identidade pode realizar num recurso, como ler, escrever, eliminar ou gerir tanto o plano de controlo como o plano de dados. No Foundry, este conceito inclui permissões de leitura, escrita ou eliminação.
- Âmbito: O conjunto de recursos Azure a que se aplica uma atribuição de funções. Os potenciais âmbitos incluem subscrição, grupo de recursos, recurso Foundry ou projeto Foundry.
- papel: Uma coleção nomeada de permissões que define que ações podem ser realizadas em recursos Azure num determinado âmbito.
Para relacionar estes termos entre si, atribui-se uma identidade a uma função com certas permissões para criar e construir recursos e projetos da Foundry. Atribuis um âmbito específico consoante os requisitos da empresa.
No Microsoft Foundry, considere dois âmbitos ao atribuir funções.
- Recurso Foundry: O escopo de nível superior que define a fronteira administrativa, de segurança e de monitorização para um ambiente Microsoft Foundry.
- Projeto Foundry: Um subâmbito dentro de um recurso Foundry usado para organizar o trabalho e impor controlo de acesso para APIs, ferramentas e fluxos de trabalho de programadores Foundry.
Funções incorporadas
Um papel incorporado na Foundry é um papel criado pela Microsoft que cobre cenários de acesso comum que pode atribuir aos membros da sua equipa. Os principais papéis incorporados usados no Azure incluem Proprietário, Contribuinte e Leitor. Estes papéis não são específicos das permissões de recursos da Foundry.
Para os recursos do Foundry, utilize funções incorporadas adicionais para seguir princípios de acesso de menor privilégio. A tabela seguinte lista os cinco principais papéis incorporados na Foundry, uma breve descrição e o link para a definição exata de funções no artigo sobre funções integradas de IA + Aprendizagem Automática.
| Funções | Description |
|---|---|
| Azure AI User | Concede ao leitor acesso ao projeto Foundry, recursos Foundry e ações de dados para o seu projeto Foundry. Se você puder atribuir funções, essa função será atribuída a você automaticamente. Caso contrário, o Proprietário da sua subscrição ou um utilizador com permissões de atribuição de funções concede-a. Função de acesso com menor privilégio na Foundry. |
| Azure AI Project Manager | Permite-lhe realizar ações de gestão em projetos Foundry, construir e desenvolver com projetos, e atribuir condicionalmente o papel de Utilizador Azure AI a outros utilizadores principais. |
| Proprietário da conta do Azure AI | Concede acesso total para gerir projetos e recursos, e permite-te atribuir condicionalmente o papel de Utilizador de IA Azure a outros principais utilizadores. |
| Proprietário do Azure AI | Concede acesso total a projetos e recursos geridos e permite construir e desenvolver com projetos. Papel altamente privilegiado e autónomo, concebido para nativos digitais. |
Permissões para cada função incorporada
Use a tabela e o diagrama seguintes para ver as permissões permitidas para cada função incorporada no Foundry, incluindo as funções-chave incorporadas no Azure.
| Função incorporada | Criar projetos de fundição | Criar contas do Foundry | Construir e desenvolver num projeto (ações de dados) | Concluir atribuições de função | Acesso do leitor a projetos e contas | Gerenciar modelos |
|---|---|---|---|---|---|---|
| Azure AI User | ✔ | ✔ | ||||
| Azure AI Project Manager | ✔ | ✔ | ✔ (atribuir apenas a função de Utilizador do Azure AI) | ✔ | ||
| Proprietário da conta do Azure AI | ✔ | ✔ | ✔ (atribuir apenas a função de Utilizador do Azure AI) | ✔ | ✔ | |
| Proprietário do Azure AI | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Owner | ✔ | ✔ | ✔ (atribuir qualquer função a qualquer utilizador) | ✔ | ✔ | |
| Contributor | ✔ | ✔ | ✔ | ✔ | ||
| Reader | ✔ |
Para mais informações sobre funções incorporadas no Azure e Foundry, consulte funções incorporadas no Azure. Para saber mais sobre a delegação condicional usada nos cargos Azure AI Account Owner e Azure AI Project Manager, consulte Delegar gestão de atribuição de funções Azure a outros com condições.
Exemplo de configuração de RBAC empresarial para projetos
Aqui está um exemplo de como implementar controle de acesso baseado em funções (RBAC) para um recurso empresarial do Foundry.
| Pessoa | Função e Âmbito | Propósito |
|---|---|---|
| Administrador de TI | Proprietário no âmbito da subscrição | O administrador de TI assegura que o recurso da Foundry cumpre os padrões empresariais. Atribui aos gestores o papel de Proprietário da Conta Azure AI no recurso para que possam criar novas contas Foundry. Atribua aos gerentes a função de Gerente de Projeto do Azure AI no recurso para permitir que eles criem projetos em uma conta. |
| Managers | Azure AI Account Owner no âmbito do recurso Foundry | Os gestores gerem o recurso Foundry, implementam modelos, auditam recursos de computação, auditam ligações e criam ligações partilhadas. Eles não podem criar projetos, mas podem atribuir a função de Usuário de IA do Azure a si mesmos e a outras pessoas para começar a criar. |
| Líder de equipe ou desenvolvedor líder | Azure AI Project Manager no âmbito dos recursos do Foundry | Os desenvolvedores líderes criam projetos para sua equipe e começam a construir nesses projetos. Depois de criar um projeto, os proprietários do projeto convidam outros membros e atribuem a função de Usuário do Azure AI . |
| Membros da equipe ou desenvolvedores | Azure AI User no âmbito do projeto Foundry e Reader no âmbito do recurso Foundry | Os programadores criam agentes num projeto com modelos Foundry pré-implementados e ligações pré-construídas. |
Gerenciar funções
Para gerir funções no Foundry, deve ter permissão para atribuir e remover funções no Azure. O papel fundamental incorporado no Azure de Proprietário inclui a permissão necessária. Pode atribuir funções através do portal Foundry (página de administração), portal Azure IAM ou Azure CLI. Para remover funções, só podes usar o portal Azure IAM ou Azure CLI.
No portal Foundry, gere permissões através de:
- Na página inicial do Foundry, selecione o seu recurso Foundry.
- Selecione Usuários para adicionar ou remover usuários para o recurso.
No portal Foundry, gere permissões através de:
- Na página Admin no Foundry, selecione Operar, depois Admin na barra de navegação à esquerda.
- Selecione o nome do seu projeto na tabela.
- No canto superior direito, seleciona Adicionar utilizador. Este botão só é clicável se tiveres permissões para atribuir um papel.
- Adicione o seu utilizador ao projeto Foundry. As mesmas instruções aplicam-se ao teu recurso da Foundry.
Você pode gerenciar permissões no portal do Azure em Controle de Acesso (IAM) ou usando a CLI do Azure.
Por exemplo, o seguinte comando atribui o papel de Utilizador Azure AI a joe@contoso.com para o grupo this-rg de recursos na subscrição com o ID 00000000-0000-0000-0000-000000000000:
az role assignment create --role "Azure AI User" --assignee "joe@contoso.com" --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/this-rg
Criar funções personalizadas para projetos
Se os papéis incorporados não cumprirem os requisitos da sua empresa, crie um papel personalizado que permita controlo preciso sobre as ações e os âmbitos permitidos. Aqui está um exemplo de definição de função personalizada ao nível de subscrição:
{
"properties": {
"roleName": "My Enterprise Foundry User",
"description": "Custom role for Foundry at my enterprise to only allow building Agents. Assign at subscription level.",
"assignableScopes": ["/subscriptions/<your-subscription-id>"],
"permissions": [ {
"actions": ["Microsoft.CognitiveServices/*/read", "Microsoft.Authorization/*/read", "Microsoft.CognitiveServices/accounts/listkeys/action","Microsoft.Resources/deployments/*"],
"notActions": [],
"dataActions": ["Microsoft.CognitiveServices/accounts/AIServices/agents/*"],
"notDataActions": []
} ]
}
}
Para mais informações sobre como criar um papel personalizado, consulte os seguintes artigos.
- portal do Azure
- Azure CLI
- Azure PowerShell
- Desative as funcionalidades de pré-visualização com Role-Based Access. Este artigo fornece mais detalhes sobre permissões específicas no Foundry através do plano de controlo e de dados, que pode utilizar ao criar funções personalizadas.
Notas e limitações
- Para visualizar e purgar contas Foundry eliminadas, deve ter a função de Contribuidor atribuída no âmbito da subscrição.
- Utilizadores com o papel de Contribuinte podem implementar modelos no Foundry.
- Precisas da função de Proprietário no âmbito de um recurso para criar funções personalizadas no âmbito do recurso.
- Se tiver permissões para atribuir funções no Azure (por exemplo, o papel de Proprietário atribuído no âmbito da conta) ao seu user principal, e implementar um recurso Foundry a partir do portal Azure ou da interface do portal Foundry, então o papel Azure AI User é automaticamente atribuído ao seu user principal. Esta atribuição não se aplica ao implementar o Foundry a partir de SDK ou CLI.
- Quando cria um recurso Foundry, as permissões de controlo de acesso baseado em funções (RBAC) integradas dão-lhe acesso ao recurso. Para usar recursos criados fora do Foundry, certifique-se de que o recurso tem permissões que lhe permitem aceder a ele. Eis alguns exemplos:
- Para usar uma nova conta de armazenamento de blobs do Azure, adicione a identidade gerida do recurso da conta Foundry ao papel de Leitora de Dados de Blob de Armazenamento nessa conta de armazenamento.
- Para usar uma nova fonte Azure AI Search, adicione o Foundry às atribuições de funções do Azure AI Search.
Conteúdo relacionado
Appendix
Exemplos de Isolamento de Acesso
Cada organização pode ter requisitos diferentes de isolamento de acesso, dependendo das personas de utilizador na sua empresa. O isolamento de acesso refere-se a quais utilizadores da sua empresa recebem atribuições de funções, seja para uma divisão de permissões usando as nossas funções incorporadas ou para uma função unificada e muito permissiva. Existem três opções de isolamento de acesso para a Foundry que pode selecionar para a sua organização, dependendo dos seus requisitos de isolamento de acesso.
Sem isolamento de acesso. Isto significa que, na sua empresa, não tem requisitos que separem permissões entre um programador, gestor de projeto ou administrador. As permissões para estes papéis podem ser atribuídas entre equipas.
Por isso, deves...
- Conceda a todos os utilizadores da sua empresa a função Azure AI Owner no âmbito do recurso
Isolamento parcial de acesso. Isto significa que o gestor de projetos na sua empresa deve ser capaz de desenvolver dentro dos projetos, bem como criar projetos. Mas os teus administradores não deviam conseguir desenvolver dentro do Foundry, apenas criar projetos e contas no Foundry.
Por isso, deves...
- Conceda ao seu administrador a função de Azure AI Account Owner no escopo do recurso.
- Conceda ao seu programador e gestores de projeto o papel de Gestor de Projetos Azure AI no recurso
Isolamento total de acesso. Isto significa que os seus administradores, gestores de projeto e programadores têm permissões claras atribuídas que não se sobrepõem para as suas diferentes funções dentro de uma empresa.
Portanto, deves...
- Conceda ao seu administrador o título Azure AI Account Owner no âmbito do recurso.
- Conceda ao seu programador a função de Leitor no âmbito dos recursos do Foundry e de Utilizador Azure AI no âmbito do projeto.
- Conceda ao seu gestor de projeto a função Azure AI Project Manager no âmbito do recurso
Utilize grupos do Microsoft Entra com o Foundry
O Microsoft Entra ID fornece várias maneiras de gerenciar o acesso a recursos, aplicativos e tarefas. Ao usar grupos Microsoft Entra, pode conceder acesso e permissões a um grupo de utilizadores em vez de a cada utilizador individual. Os administradores de TI empresariais podem criar grupos Microsoft Entra no portal Azure para simplificar o processo de atribuição de funções para programadores. Ao criar um grupo do Microsoft Entra, você pode minimizar o número de atribuições de função necessárias para novos desenvolvedores que trabalham em projetos do Foundry atribuindo ao grupo a atribuição de função necessária no recurso necessário.
Complete os seguintes passos para utilizar grupos de ID Microsoft Entra com o Foundry:
Vai para Grupos no portal do Azure.
Crie um novo grupo de Segurança no portal Grupos.
Atribua o proprietário do grupo Microsoft Entra e adicione os principais utilizadores individuais da sua organização ao grupo como membros. Salve o grupo.
Vai ao recurso que exige uma atribuição de funções.
- Exemplo: Para criar Agentes, executar rastreamentos e muito mais no Foundry, a função de privilégio mínimo 'Azure AI User' deve ser atribuída ao seu utilizador principal. Atribua o papel de 'Azure AI User' ao teu novo grupo Microsoft Entra para que todos os utilizadores da tua empresa possam construir no Foundry.
- Exemplo: Para utilizar as funcionalidades de Rastreio e Monitorização no Microsoft Foundry, é necessária uma atribuição de função 'Leitor' no recurso ligado Application Insights. Atribua o papel de 'Leitor' ao teu novo grupo Microsoft Entra para que todos os utilizadores da tua empresa possam usar a funcionalidade de Rastreio e Monitorização.
Vá ao Controlo de Acesso (IAM).
Selecione a função a ser atribuída.
Atribua acesso a "Utilizador, grupo ou principal de serviço" e selecione o novo grupo de Segurança.
Rever e atribuir. A atribuição de funções aplica-se agora a todos os principais utilizadores atribuídos ao grupo.
Para saber mais sobre os grupos, pré-requisitos e limitações do Microsoft Entra ID, consulte: