Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Attualmente in visione:
Versione - Passa alla versione per il nuovo portale Foundry
Suggerimento
Questo articolo è relativo a un tipo di progetto Foundry. È disponibile un articolo alternativo sul controllo degli accessi in base al ruolo per i progetti basati su hub: Controllo degli accessi in base al ruolo per Microsoft Foundry (Hub e progetti).
In questo articolo vengono fornite informazioni sul controllo degli accessi in base al ruolo (RBAC) nella risorsa Microsoft Foundry e su come assegnare ruoli che controllano l'accesso alle risorse.
Suggerimento
I ruoli RBAC (Controllo degli Accessi Basato sui Ruoli) si applicano quando si autentica con Microsoft Entra ID. Se invece si usa l'autenticazione basata su chiave, la chiave concede l'accesso completo senza restrizioni del ruolo. Microsoft consiglia di usare l'autenticazione Entra ID per migliorare la sicurezza e il controllo di accesso granulare.
Assegnazioni di ruolo minime per iniziare
Per i nuovi utenti di Azure e Microsoft Foundry, iniziare con queste assegnazioni minime in modo che sia l'entità principale dell'utente che l'identità gestita del progetto possano accedere alle funzionalità di Foundry.
È possibile verificare le assegnazioni correnti utilizzando Controlla l'accesso per un utente a una singola risorsa Azure.
Assegnare il ruolo Utente Foundry nella risorsa Foundry all'entità utente.
Importante
I ruoli RBAC di Foundry sono stati recentemente rinominati. Foundry User, Foundry Owner, Foundry Account Owner e Foundry Project Manager erano precedentemente denominati Azure AI User, Azure AI Owner, Azure AI Account Owner e Azure AI Project Manager. È possibile che i nomi precedenti vengano visualizzati in alcune posizioni durante l'esecuzione della ridenominazione. Gli ID ruolo e le autorizzazioni di base sono invariati dalla ridenominazione.
Assegnare il ruolo Utente Foundry nella risorsa Foundry all'identità gestita del progetto.
Se l'utente che ha creato il progetto può assegnare ruoli (ad esempio, avendo il ruolo Azure Owner nell'ambito della sottoscrizione o del gruppo di risorse, entrambe le assegnazioni vengono aggiunte automaticamente.
Per assegnare questi ruoli manualmente, seguire questa procedura rapida.
Assegnare un ruolo al principale utente
Nel portale di Azure, aprire la risorsa Foundry e vai a Controllo di accesso (IAM). Crea un'assegnazione di ruolo per Foundry User, imposta Members su User, group, or service principal, seleziona il tuo account utente e quindi seleziona Review + assign.
Assegnare un ruolo all'identità gestita del progetto
Nel portale di Azure, aprire il progetto Foundry e passare a Controllo accesso (IAM). Crea un'assegnazione di ruolo per Foundry User, imposta Members su Managed identity, seleziona l'identità gestita del tuo progetto e quindi seleziona Review + assign.
Terminologia per il controllo degli accessi in base al ruolo in Foundry
Per comprendere il controllo degli accessi in base al ruolo in Microsoft Foundry, prendere in considerazione due domande per l'azienda.
- Quali autorizzazioni vuoi che il tuo team abbia quando costruisce in Microsoft Foundry?
- In quale ambito si vogliono assegnare le autorizzazioni al team?
Per rispondere a queste domande, ecco alcune descrizioni della terminologia usata in questo articolo.
- Autorizzazioni: azioni consentite o negate che un'identità può eseguire su una risorsa, ad esempio lettura, scrittura, eliminazione o gestione sia del piano di controllo che delle operazioni del piano dati.
- Scope: set di risorse Azure a cui si applica un'assegnazione di ruolo. Gli ambiti tipici includono sottoscrizione, gruppo di risorse, risorsa Foundry o progetto Foundry.
- Role: raccolta denominata di autorizzazioni che definisce quali azioni possono essere eseguite su Azure risorse in un determinato ambito.
Un'identità ottiene un ruolo con autorizzazioni specifiche in un ambito selezionato in base ai requisiti aziendali.
In Microsoft Foundry prendere in considerazione due ambiti durante il completamento delle assegnazioni di ruolo.
- risorsa Foundry: L'ambito principale che definisce i confini amministrativi, di sicurezza e di monitoraggio per un ambiente Foundry Microsoft.
- Progetto Foundry: ambito secondario all'interno di una risorsa Foundry usata per organizzare il lavoro e applicare il controllo di accesso per API, strumenti e flussi di lavoro per sviluppatori foundry.
Ruoli predefiniti
Un ruolo integrato in Foundry è un ruolo creato da Microsoft che copre scenari di accesso comuni da assegnare ai membri del team. I ruoli predefiniti principali usati in Azure includono Proprietario, Collaboratore e Lettore. Questi ruoli non sono specifici delle autorizzazioni di risorse in Foundry.
Per le risorse Foundry, utilizzare ruoli predefiniti aggiuntivi per seguire i principi di accesso con i privilegi minimi. Nella tabella seguente sono elencati i ruoli predefiniti principali per Foundry e i collegamenti alle definizioni esatte dei ruoli in AI + Machine Learning ruoli predefiniti.
| Ruolo | Descrizione |
|---|---|
| Utente di Foundry | Concede l'accesso in lettura al progetto Foundry, alla risorsa Foundry e alle azioni sui dati per il tuo progetto Foundry. Se è possibile assegnare ruoli, questo ruolo viene assegnato automaticamente. In caso contrario, il proprietario della sottoscrizione o un utente con autorizzazioni per l'assegnazione dei ruoli concede l'accesso. Ruolo di accesso con privilegi minimi in Foundry. |
| Foundry Project Manager | Consente di eseguire azioni di gestione sui progetti Foundry, creare build e sviluppare utilizzando i progetti Foundry e assegnare in modo condizionale il ruolo di Utente Foundry ad altre identità utente. |
| Proprietario dell'account Foundry | Concede l'accesso completo per la gestione di progetti e risorse e consente di assegnare in modo condizionale i ruoli Foundry User, ACR e di monitoraggio ad altre identità utente. |
| Proprietario della fonderia | Concede pieno accesso per gestire progetti e risorse e per compilare e sviluppare utilizzando i progetti. Consente di assegnare in modo condizionale i ruoli Foundry User, ACR e di monitoraggio. Ruolo a gestione autonoma con privilegi elevati progettato per i nativi digitali. |
Nota
Non assegnare ruoli predefiniti che iniziano con Servizi cognitivi. Questi ruoli sono progettati per accedere direttamente alle risorse dei servizi di intelligenza artificiale e non si applicano agli scenari Foundry. Analogamente, non usare il ruolo Azure AI Developer per il lavoro di Foundry. Nonostante il nome, questo ruolo si applica alle aree di lavoro di Azure Machine Learning e agli hub Foundry, non ai progetti Foundry né agli agenti ospitati in Foundry. Per l'accesso al progetto Foundry, usare invece Foundry User o Foundry Owner .
Autorizzazioni per ogni ruolo predefinito
Usare la tabella e il diagramma seguenti per visualizzare le autorizzazioni consentite per ogni ruolo predefinito in Foundry, inclusi i ruoli predefiniti principali di Azure.
| Ruolo integrato | Creare progetti Foundry | Creare gli account di Foundry | Costruire e sviluppare in un progetto (azioni sui dati) | Completare le assegnazioni di ruolo | Accesso con autorizzazioni di lettura a progetti e account | Gestire i modelli |
|---|---|---|---|---|---|---|
| Utente di Foundry | ✔ | ✔ | ||||
| Foundry Project Manager | ✔ | ✔ | ✔ (assegnare solo il ruolo Foundry User) | ✔ | ||
| Proprietario dell'account Foundry | ✔ | ✔ | ✔ (assegna solo il ruolo Foundry User) | ✔ | ✔ | |
| Proprietario della fonderia | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Proprietario | ✔ | ✔ | ✔ (assegnare qualsiasi ruolo a qualsiasi utente) | ✔ | ✔ | |
| Collaboratore | ✔ | ✔ | ✔ | ✔ | ||
| Lettore | ✔ |
Importante
I ruoli RBAC di Foundry sono stati recentemente rinominati. Foundry User, Foundry Owner, Foundry Account Owner e Foundry Project Manager erano precedentemente denominati Azure AI User, Azure AI Owner, Azure AI Account Owner e Azure AI Project Manager. È possibile che i nomi precedenti vengano visualizzati in alcune posizioni durante l'esecuzione della ridenominazione. Gli ID ruolo e le autorizzazioni di base sono invariati dalla ridenominazione.
Usare queste schede per esplorare le differenze tra i ruoli predefiniti, assegnati a livello di risorsa Foundry (eccetto per il ruolo "Owner", assegnato a livello di sottoscrizione)
- Proprietario
- Proprietario della fonderia
- Proprietario dell'account Foundry
- Foundry Project Manager
- Utente di Foundry
Mappature RBAC di esempio per progetti aziendali
Ecco un esempio di come implementare il controllo degli accessi in base al ruolo (RBAC) per una risorsa foundry aziendale.
| Persona | Ruolo e ambito | Scopo |
|---|---|---|
| Amministratore IT | Proprietario nell'ambito di sottoscrizione | L'amministratore IT garantisce che la risorsa Foundry soddisfi gli standard aziendali. Assegnare ai manager il ruolo Proprietario account Foundry nella risorsa per consentire loro di creare nuovi account Foundry. Assegnare ai manager il ruolo Foundry Project Manager sulla risorsa per consentire loro di creare progetti all'interno di un account. |
| Manager | Proprietario dell'account Foundry nell'ambito delle risorse Foundry | I manager gestiscono la risorsa Foundry, distribuiscono modelli, controllano le risorse di calcolo, controllano le connessioni e creano connessioni condivise. Non possono sviluppare nei progetti, ma possono assegnare a sé stessi e ad altri il ruolo Foundry User per iniziare a sviluppare. |
| Responsabile del team o sviluppatore responsabile | Foundry Project Manager nell'ambito delle risorse Foundry | Gligli sviluppatori principali creano progetti per la loro squadra e iniziano a costruire in tali progetti. Dopo aver creato un progetto, i proprietari del progetto invitano altri membri e assegnano il ruolo Utente Foundry. |
| Membri o sviluppatori del team | Utente Foundry nell'ambito del progetto Foundry e Lettore nell'ambito della risorsa Foundry | Gli sviluppatori compilano agenti in un progetto con modelli Foundry pre-distribuiti e connessioni predefinite. |
Gestire le assegnazioni di ruolo
Per gestire i ruoli in Foundry, è necessario disporre dell'autorizzazione per assegnare e rimuovere ruoli in Azure. Il ruolo Azure predefinito Owner include tale autorizzazione. È possibile assegnare ruoli tramite il portale foundry (pagina di amministrazione), Azure portale IAM o interfaccia della riga di comando di Azure. È possibile rimuovere i ruoli usando Azure portale IAM o interfaccia della riga di comando di Azure.
Nel portale foundry gestire le autorizzazioni in base a:
- Nella home page di Foundry selezionare la risorsa Foundry.
- Selezionare Utenti per aggiungere o rimuovere utenti per la risorsa.
È possibile gestire le autorizzazioni nel portale Azure in Controllo di accesso (IAM) o usando interfaccia della riga di comando di Azure.
Ad esempio, il comando seguente assegna il ruolo Utente Foundry a joe@contoso.com per il gruppo this-rg di risorse nella sottoscrizione 00000000-0000-0000-0000-000000000000:
az role assignment create --role "53ca6127-db72-4b80-b1b0-d745d6d5456d" --assignee "joe@contoso.com" --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/this-rg
Nota
Poiché i ruoli RBAC di Foundry sono stati rinominati di recente, usa l'ID della definizione del ruolo (GUID) anziché il nome del ruolo nel proprio codice per evitare problemi durante la distribuzione della ridenominazione:
-
Utente di Foundry:
53ca6127-db72-4b80-b1b0-d745d6d5456d -
Proprietario della fonderia:
c883944f-8b7b-4483-af10-35834be79c4a -
Proprietario dell'account Foundry:
e47c6f54-e4a2-4754-9501-8e0985b135e1 -
Foundry Project Manager:
eadc314b-1a2d-4efa-be10-5d325db5065e
Creare ruoli personalizzati per i progetti
Se i ruoli predefiniti non soddisfano i requisiti aziendali, creare un ruolo personalizzato che consenta un controllo preciso su azioni e ambiti consentiti. Ecco un esempio di definizione di ruolo personalizzato a livello di sottoscrizione:
{
"properties": {
"roleName": "My Enterprise Foundry User",
"description": "Custom role for Foundry at my enterprise to only allow building Agents. Assign at subscription level.",
"assignableScopes": ["/subscriptions/<your-subscription-id>"],
"permissions": [ {
"actions": ["Microsoft.CognitiveServices/*/read", "Microsoft.Authorization/*/read", "Microsoft.CognitiveServices/accounts/listkeys/action","Microsoft.Resources/deployments/*"],
"notActions": [],
"dataActions": ["Microsoft.CognitiveServices/accounts/AIServices/agents/*"],
"notDataActions": []
} ]
}
}
Per altre informazioni sulla creazione di un ruolo personalizzato, vedere gli articoli seguenti.
- Portal di Azure
- interfaccia della riga di comando di Azure
- Azure PowerShell
- Disabilita le funzionalità di anteprima in Microsoft Foundry. Questo articolo fornisce altri dettagli sulle autorizzazioni specifiche in Foundry per il controllo e il piano dati che è possibile usare durante la compilazione di ruoli personalizzati.
Note e limitazioni
Per visualizzare ed eliminare gli account Foundry eliminati, è necessario avere il ruolo Collaboratore assegnato nell'ambito della sottoscrizione.
Gli utenti con il ruolo Collaboratore possono distribuire modelli in Foundry.
Per creare ruoli personalizzati in una risorsa, è necessario avere il ruolo di Proprietario nell'ambito della risorsa.
Se si dispone delle autorizzazioni per assegnare un ruolo in Azure (ad esempio, il ruolo Proprietario assegnato nell'ambito dell'account) all'entità utente e si distribuisce una risorsa Foundry dall'interfaccia utente del portale di Azure o del portale Foundry, il ruolo Utente Foundry viene assegnato automaticamente all'entità utente. Questa assegnazione non si applica quando si distribuisce Foundry dall'SDK o dall'interfaccia della riga di comando.
Importante
I ruoli RBAC di Foundry sono stati recentemente rinominati. Foundry User, Foundry Owner, Foundry Account Owner e Foundry Project Manager erano precedentemente denominati Azure AI User, Azure AI Owner, Azure AI Account Owner e Azure AI Project Manager. È possibile che i nomi precedenti vengano visualizzati in alcune posizioni durante l'esecuzione della ridenominazione. Gli ID ruolo e le autorizzazioni di base sono invariati dalla ridenominazione.
Quando si crea una risorsa Foundry, le autorizzazioni di controllo degli accessi in base al ruolo predefinite consentono di accedere alla risorsa. Per usare le risorse create all'esterno di Foundry, assicurarsi che la risorsa disponga delle autorizzazioni che consentono di accedervi. Ecco alcuni esempi:
- Per utilizzare un nuovo account di archiviazione BLOB di Azure, si prega di aggiungere l'identità gestita della risorsa dell'account Foundry al ruolo Lettore dati BLOB di archiviazione su quel determinato account di archiviazione.
- Per utilizzare una nuova origine di Azure AI Search, aggiungi Foundry alle assegnazioni dei ruoli di Azure AI Search.
Per ottimizzare un modello in Foundry, sono necessarie sia le autorizzazioni del piano dati che del piano di controllo. La distribuzione di un modello ottimizzato è un'autorizzazione del piano di controllo. Di conseguenza, l'unico ruolo predefinito con autorizzazioni sia del piano dati sia del piano di controllo è Foundry Owner. In alternativa, se si preferisce, è anche possibile assegnare il ruolo Utente Foundry per le autorizzazioni del piano dati e il ruolo Proprietario account Foundry per le autorizzazioni del piano di controllo.
Contenuto correlato
- Creare un progetto.
- Aggiungere una connessione nel portale Foundry.
- Autenticazione e autorizzazione in Foundry.
- Disabilita le funzionalità di anteprima in Microsoft Foundry.
Appendice
Esempi di isolamento dell'accesso
Ogni organizzazione può avere requisiti di isolamento dell'accesso diversi a seconda degli utenti dell'azienda. L'isolamento dell'accesso si riferisce agli utenti della tua azienda ai quali vengono assegnati ruoli per una separazione delle autorizzazioni usando i nostri ruoli predefiniti o un ruolo altamente permissivo e unificato. Sono disponibili tre opzioni di isolamento dell'accesso per Foundry che è possibile selezionare per l'organizzazione a seconda dei requisiti di isolamento dell'accesso.
Nessun isolamento di accesso. Ciò significa che nell'azienda non si hanno requisiti che separano le autorizzazioni tra uno sviluppatore, un project manager o un amministratore. Le autorizzazioni per questi ruoli possono essere assegnate tra i team.
Quindi, dovresti...
Assegnare a tutti gli utenti dell'azienda il ruolo Foundry Owner nell'ambito della risorsa
Importante
I ruoli RBAC di Foundry sono stati recentemente rinominati. Foundry User, Foundry Owner, Foundry Account Owner e Foundry Project Manager erano precedentemente denominati Azure AI User, Azure AI Owner, Azure AI Account Owner e Azure AI Project Manager. È possibile che i nomi precedenti vengano visualizzati in alcune posizioni durante l'esecuzione della ridenominazione. Gli ID ruolo e le autorizzazioni di base sono invariati dalla ridenominazione.
Isolamento parziale dell'accesso. Ciò significa che il project manager nell'organizzazione deve essere in grado di sviluppare all'interno di progetti e creare progetti. Tuttavia, gli amministratori non devono essere in grado di sviluppare all'interno di Foundry, ma creare solo progetti e account Foundry.
Quindi, dovresti...
- Assegna al tuo amministratore il ruolo di Foundry Account Owner nell'ambito della risorsa
- Assegna ai tuoi sviluppatori e responsabili di progetto il ruolo Foundry Project Manager sulla risorsa
Isolamento completo dell'accesso. Ciò significa che gli amministratori, i project manager e gli sviluppatori hanno autorizzazioni chiare assegnate che non si sovrappongono per le diverse funzioni all'interno di un'azienda.
Quindi dovresti...
- Concedi all'amministratore il ruolo di Proprietario dell'account Foundry a livello di risorsa
- Concedi allo sviluppatore il ruolo Lettore nell'ambito della risorsa Foundry e il ruolo Foundry User nell'ambito del progetto
- Assegna al project manager il ruolo Foundry Project Manager nell'ambito della risorsa
Usare i gruppi di Microsoft Entra con Foundry
Microsoft Entra ID offre diversi modi per gestire l'accesso a risorse, applicazioni e attività. Usando Microsoft Entra gruppi, è possibile concedere l'accesso e le autorizzazioni a un gruppo di utenti anziché a ogni singolo utente. Gli amministratori IT aziendali possono creare gruppi di Microsoft Entra nel portale di Azure per semplificare il processo di assegnazione dei ruoli per gli sviluppatori. Quando si crea un gruppo di Microsoft Entra, è possibile ridurre al minimo il numero di assegnazioni di ruolo necessarie per i nuovi sviluppatori che lavorano sui progetti Foundry assegnando al gruppo l'assegnazione di ruolo necessaria per la risorsa necessaria.
Completare i passaggi seguenti per usare Microsoft Entra ID gruppi con Foundry:
- Creare un gruppo Security in Groups nel portale di Azure.
- Aggiungi un proprietario e i principali utente dell'organizzazione che necessitano dell'accesso condiviso.
- Aprire la risorsa di destinazione e passare a Controllo di accesso (IAM).
- Assegnare il ruolo necessario a Utente, gruppo o principale del servizio e selezionare il nuovo gruppo di sicurezza.
- Selezionare Rivedi e assegna in modo che l'assegnazione di ruolo venga applicata a tutti i membri del gruppo.
Esempi comuni:
- Per compilare agenti, eseguire tracce e usare le funzionalità principali di Foundry, assegnare Foundry User al gruppo di Microsoft Entra.
- Per usare le funzionalità di traccia e monitoraggio, assegnare Lettore alla risorsa di Application Insights connessa allo stesso gruppo.
Per altre informazioni su Microsoft Entra ID gruppi, prerequisiti e limitazioni, vedere: