Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Neste artigo, aprende conceitos centrais de controlo de acesso baseado em papéis (RBAC) para o Microsoft Foundry, incluindo escopos, funções incorporadas e padrões comuns de atribuição empresarial.
Dica
As funções RBAC aplicam-se quando se autentica usando o Microsoft Entra ID. Se usar autenticação baseada em chaves, a chave concede acesso total sem restrições de funções. A Microsoft recomenda o uso da autenticação Entra ID para melhorar a segurança e controlar o acesso detalhado.
Para mais informações sobre autenticação e autorização no Microsoft Foundry, consulte Autenticação e Autorização.
Atribuições mínimas de funções para começar
Para novos utilizadores no Azure e no Microsoft Foundry, comece com estas atribuições mínimas para que tanto o seu principal utilizador como a identidade gerida pelo projeto possam aceder às funcionalidades do Foundry.
Pode verificar as atribuições atuais usando Verifique o acesso de um utilizador a um único recurso Azure.
- Atribui o papel Azure AI User no teu recurso Foundry ao teu user principal.
- Atribui a função Azure AI User no teu recurso Foundry à identidade gerida do teu projeto.
Se o utilizador que criou o projeto puder atribuir funções (por exemplo, tendo o papel Azure Proprietário no âmbito de subscrição ou grupo de recursos), ambas as atribuições são adicionadas automaticamente.
Para atribuir estes papéis manualmente, use os seguintes passos rápidos.
Atribui um papel ao teu utilizador principal
No portal Azure, abra o seu recurso Foundry e vá a Controlo de acesso (IAM). Crie uma atribuição de função para Azure AI User, defina Membros para Utilizador, grupo ou entidade de serviço, selecione o seu utilizador principal e depois selecione Rever + atribuir.
Atribua um papel à identidade gerida do teu projeto
No portal Azure, abra o seu projeto Foundry e vá a Controlo de Acesso (IAM). Crie uma atribuição de funções para Azure AI User, defina Members para Managed Identity, selecione a identidade gerida do seu projeto e depois selecione Review + assign.
Terminologia para controlo de acesso baseado em funções na Foundry
Para compreender o controlo de acesso baseado em papéis no Microsoft Foundry, considere duas perguntas para a sua empresa.
- Que permissões quero que a minha equipa tenha ao construir no Microsoft Foundry?
- Em que âmbito quero atribuir permissões à minha equipa?
Para ajudar a responder a estas questões, aqui estão descrições de alguma terminologia utilizada ao longo deste artigo.
- Permissões: Ações permitidas ou recusadas que uma identidade pode realizar num recurso, como ler, escrever, eliminar ou gerir operações tanto no plano de controlo como nas operações do plano de dados.
- Scope: O conjunto de recursos Azure a que se aplica uma atribuição de funções. Os escopos típicos incluem subscrição, grupo de recursos, recurso Foundry ou projeto Foundry.
- Role: Um conjunto nomeado de permissões que define quais as ações que podem ser realizadas sobre Azure recursos num determinado âmbito.
Uma identidade recebe um papel com permissões específicas num âmbito selecionado, consoante os requisitos da sua empresa.
No Microsoft Foundry, considere dois escopos ao completar atribuições de funções.
- Foundry resource: O âmbito de topo que define o limite administrativo, de segurança e de monitorização para um ambiente Microsoft Foundry.
- Projeto Foundry: Um subâmbito dentro de um recurso Foundry usado para organizar o trabalho e impor controlo de acesso para APIs, ferramentas e fluxos de trabalho de programadores Foundry.
Funções incorporadas
Um papel incorporado no Foundry é um papel criado por Microsoft que cobre cenários de acesso comum que podes atribuir aos teus membros da equipa. Os principais papéis incorporados usados no Azure incluem Proprietário, Contribuidor e Leitor. Estas funções não são específicas das permissões de recursos da Foundry.
Para os recursos da Foundry, utilize funcionalidades incorporadas adicionais para seguir os princípios de acesso de privilégios mínimos. A tabela seguinte lista as principais funções incorporadas na Foundry e ligações para as definições exatas de funções em funções incorporadas de AI + Machine Learning.
| Função | Descrição |
|---|---|
| Utilizador do Azure IA | Concede ao leitor acesso ao projeto Foundry, recursos Foundry e ações de dados para o seu projeto Foundry. Se conseguires atribuir funções, essa função é-te atribuída automaticamente. Caso contrário, o Proprietário da sua subscrição ou um utilizador com permissões para atribuir funções concede-as. Função de acesso com menor privilégio na Foundry. |
| Azure AI Gestor de Projeto | Permite-lhe realizar ações de gestão em projetos Foundry, construir e desenvolver com projetos, e atribuir condicionalmente o papel de Utilizador de IA do Azure a outros principais utilizadores. |
| Proprietário da Conta Azure IA | Concede acesso total para gerir projetos e recursos, e permite atribuir condicionalmente o papel de Utilizador de IA do Azure a outros principais utilizadores. |
| Administrador do Azure AI | Concede acesso total a projetos e recursos geridos e permite desenvolver e construir com projetos. Papel altamente privilegiado e de autoatendimento, destinado a nativos digitais. |
Nota
Não atribuas funções incorporadas que comecem com Serviços Cognitivos. Estes papéis são concebidos para aceder diretamente aos recursos dos Serviços de IA e não se aplicam a cenários de Foundry. Da mesma forma, não uses a função Azure Desenvolvedor de IA para trabalhos na Foundry. Apesar do nome, esta função está destinada aos hubs de Azure Machine Learning e Foundry, não aos recursos do projeto Foundry.
Permissões para cada função incorporada
Use a tabela seguinte para ver as permissões permitidas para cada função incorporada no Microsoft Foundry.
| Função incorporada | Projetos Create Foundry | Criar contas Foundry | Construir e desenvolver num projeto (ações de dados) | Atribuições completas de funções | Acesso dos leitores a projetos e contas | Modelos de gestão | Agentes de publicação |
|---|---|---|---|---|---|---|---|
| Utilizador do Azure IA | ✔ | ✔ | |||||
| Azure AI Gestor de Projeto | ✔ | ✔ (atribuir apenas o papel de utilizador de IA no Azure) | ✔ | ✔ | |||
| Proprietário da Conta Azure IA | ✔ | ✔ | ✔ (atribuir apenas o papel de utilizador de IA no Azure) | ✔ | ✔ | ||
| Administrador do Azure AI | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
Use a tabela seguinte para ver as permissões permitidas para cada função-chave incorporada no Azure (Proprietário, Contribuidor, Leitor).
| Função incorporada | Projetos Create Foundry | Criar contas Foundry | Construir e desenvolver num projeto (ações de dados) | Atribuições completas de funções | Acesso dos leitores a projetos e contas | Modelos de gestão | Agentes de publicação |
|---|---|---|---|---|---|---|---|
| Proprietário | ✔ | ✔ | ✔ (atribuir qualquer função a qualquer utilizador) | ✔ | ✔ | ✔ | |
| Colaborador | ✔ | ✔ | ✔ | ✔ | |||
| Leitor | ✔ |
Para publicar agentes, necessitas da função Azure AI Project Manager (mínimo) no âmbito do recurso Foundry. Para mais informações, consulte Aplicações de agentes na Microsoft Foundry.
Use estas abas para explorar as diferenças entre as funções incorporadas, atribuídas ao nível do recurso da Foundry (exceto o Proprietário, que é atribuído ao nível da assinatura)
- Proprietário
- Administrador do Azure AI
- Proprietário da Conta Azure IA
- Azure AI Gestor de Projeto
- Utilizador do Azure IA
Exemplos de mapeamentos RBAC corporativos para projetos
Aqui está um exemplo de como implementar controle de acesso baseado em funções (RBAC) para um recurso Foundry empresarial.
| Persona | Função e Âmbito | Finalidade |
|---|---|---|
| Administração de TI | Proprietário no âmbito da subscrição | O administrador de TI assegura que o recurso da Foundry cumpre os padrões empresariais. Atribuir aos gestores o papel Proprietário da Conta do Azure AI no recurso para que possam criar novas contas Foundry. Atribui aos gestores a função Azure AI Project Manager no recurso para que possam criar projetos dentro de uma conta. |
| Gestores | Azure AI Account Owner no âmbito de recursos do Foundry | Os gestores gerem o recurso Foundry, implementam modelos, auditam recursos de computação, auditam ligações e criam ligações partilhadas. Não podem realizar construções em projetos, mas podem atribuir o papel de Utilizador de IA Azure a eles próprios e a outros para começarem a construir. |
| Líder de equipa ou programador líder | Azure AI Project Manager no âmbito dos recursos do Foundry | Os programadores líderes criam projetos para a sua equipa e começam a desenvolver esses projetos. Depois de criar um projeto, os responsáveis do projeto convidam outros membros e atribuem o papel de Azure AI User. |
| Membros da equipa ou programadores | Azure AI User no âmbito do projeto Foundry e Reader no âmbito do recurso Foundry | Os programadores criam agentes num projeto com modelos Foundry pré-implementados e ligações pré-construídas. |
Gerir atribuições de funções
Para gerir funções no Foundry, deve ter permissão para atribuir e remover funções no Azure. A função incorporada do Azure Proprietário inclui essa permissão. Pode atribuir funções através do portal Foundry (página de Administração), portal Azure IAM ou CLI do Azure. Pode remover funções usando o portal Azure IAM ou CLI do Azure.
No portal Foundry, gere permissões através de:
- Abre a página de Administrador no Foundry e depois seleciona Operar>Administrador.
- Selecione o nome do seu projeto.
- Selecionar Adicionar utilizador para gerir o acesso ao projeto. Esta ação está disponível apenas se tiver permissões de atribuição de funções.
- Aplicar o mesmo fluxo para acesso ao nível de recursos da Foundry.
Pode gerir permissões no portal Azure em Controlo de Acesso (IAM) ou usando CLI do Azure.
Por exemplo, o comando seguinte atribui o papel Azure AI User ao joe@contoso.com para o grupo de recursos this-rg na subscrição 00000000-0000-0000-0000-000000000000:
az role assignment create --role "Azure AI User" --assignee "joe@contoso.com" --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/this-rg
Criar funções personalizadas para projetos
Se os papéis incorporados não cumprirem os requisitos da sua empresa, crie um papel personalizado que permita controlo preciso sobre as ações e os âmbitos permitidos. Aqui está um exemplo de definição de função personalizada ao nível de subscrição:
{
"properties": {
"roleName": "My Enterprise Foundry User",
"description": "Custom role for Foundry at my enterprise to only allow building Agents. Assign at subscription level.",
"assignableScopes": ["/subscriptions/<your-subscription-id>"],
"permissions": [ {
"actions": ["Microsoft.CognitiveServices/*/read", "Microsoft.Authorization/*/read", "Microsoft.CognitiveServices/accounts/listkeys/action","Microsoft.Resources/deployments/*"],
"notActions": [],
"dataActions": ["Microsoft.CognitiveServices/accounts/AIServices/agents/*"],
"notDataActions": []
} ]
}
}
Para mais informações sobre como criar um papel personalizado, consulte os seguintes artigos.
- Portal do Azure
- CLI do Azure
- Azure PowerShell
- Desativar as funcionalidades de pré-visualização no Microsoft Foundry. Este artigo fornece mais detalhes sobre permissões específicas no Foundry através do plano de controlo e de dados, que pode utilizar ao criar funções personalizadas.
Notas e limitações
- Para ver e eliminar contas Foundry eliminadas, precisa ter a função de Contribuidor atribuída no âmbito da subscrição.
- Utilizadores com o papel de Contribuinte podem implementar modelos no Foundry.
- É necessário ter a função de Proprietário no âmbito de um recurso para criar funções personalizadas no recurso.
- Se tiver permissões para atribuir funções no Azure (por exemplo, o papel de Proprietário atribuído no âmbito da conta) ao seu user principal, e implementar um recurso Foundry a partir do portal Azure ou da interface do portal Foundry, então o papel de Utilizador IA do Azure é automaticamente atribuído ao seu user principal. Esta atribuição não se aplica ao implementar o Foundry a partir de SDK ou CLI.
- Quando cria um recurso Foundry, as permissões incorporadas de controlo de acesso baseado em funções (RBAC) dão-lhe acesso ao recurso. Para usar recursos criados fora do Foundry, certifique-se de que o recurso tem permissões que lhe permitem aceder a ele. Aqui estão alguns exemplos:
- Para usar uma nova conta de armazenamento Azure Blob, adicione a identidade gerida do recurso da conta Foundry à função Leitor de Dados Blob de Armazenamento nessa conta.
- Para usar uma nova fonte do Pesquisa de IA do Azure, adicione o Foundry às atribuições de funções do Pesquisa de IA do Azure.
- Para afinar um modelo no Foundry, precisas de permissões tanto do plano de dados como do plano de controlo. A implementação de um modelo ajustado é uma permissão do plano de controlo. Portanto, a única função incorporada com permissões tanto no plano de dados como no plano de controlo é a função Azure AI Owner. Ou, se preferires, também podes atribuir o papel Azure AI User para permissões do plano de dados e o papel Azure AI Account Owner para permissões do plano de controlo.
Conteúdo relacionado
- Cria um projeto.
- Verifique o acesso de um utilizador a um único recurso Azure.
- Autenticação e Autorização na Foundry.
- Desativar as funcionalidades de pré-visualização no Microsoft Foundry.
- Referência de permissões do agente hospedado.
Apêndice
Exemplos de Isolamento de Acesso
Cada organização pode ter requisitos diferentes de isolamento de acesso, dependendo das personas de utilizador na sua empresa. O isolamento de acesso refere-se a que utilizadores da sua empresa são atribuídos quais funções, quer para uma separação de permissões usando as nossas funções incorporadas ou para uma função unificada e altamente permissiva. Existem três opções de isolamento de acesso para a Foundry que pode selecionar para a sua organização, dependendo dos seus requisitos de isolamento de acesso.
Sem isolamento de acesso. Isto significa que, na sua empresa, não tem requisitos que separem permissões entre um programador, gestor de projeto ou administrador. As permissões para estes papéis podem ser atribuídas entre equipas.
Por isso, deves...
- Conceda a todos os utilizadores da sua empresa o papel de Proprietário de IA do Azure no escopo do recurso
Isolamento parcial de acesso. Isto significa que o gestor de projetos na sua empresa deve ser capaz de desenvolver dentro dos projetos, bem como criar projetos. Mas os teus administradores não deviam conseguir desenvolver dentro do Foundry, apenas criar projetos e contas no Foundry.
Por isso, deves...
- Conceda ao seu administrador a função de Azure AI Account Owner dentro do âmbito de recursos
- Conceda ao seu programador e gestores de project o papel Azure AI Project Manager no recurso
Isolamento total de acesso. Isto significa que os seus administradores, gestores de projeto e programadores têm permissões claras atribuídas que não se sobrepõem para as suas diferentes funções dentro de uma empresa.
Portanto, deves...
- Conceda ao seu administrador a função de Proprietário da Conta Azure AI no âmbito dos recursos
- Conceda ao seu desenvolvedor a função Reader no âmbito dos recursos do Foundry e Azure AI User no âmbito do projeto
- Conceda ao seu gestor de projeto o papel de Azure Gestor de Projeto AI no âmbito do recurso
Utilize grupos Microsoft Entra com Foundry
O Microsoft Entra ID oferece várias formas de gerir o acesso a recursos, aplicações e tarefas. Ao usar grupos Microsoft Entra, pode conceder acesso e permissões a um grupo de utilizadores em vez de a cada utilizador individualmente. Os administradores de TI empresariais podem criar grupos Microsoft Entra no portal do Azure para simplificar o processo de atribuição de funções aos programadores. Ao criar um grupo Microsoft Entra, pode minimizar o número de atribuições de funções necessárias para novos programadores a trabalhar em projetos Foundry, atribuindo ao grupo a atribuição de funções necessária ao recurso necessário.
Complete os seguintes passos para utilizar grupos Microsoft Entra ID com o Foundry:
- Crie um grupo Security em Groups no portal Azure.
- Adicione um proprietário e os principais utilizadores na sua organização que necessitem de acesso partilhado.
- Abra o recurso alvo e vá ao controlo de acesso (IAM).
- Atribua o papel necessário a Utilizador, grupo ou principal de serviço, e selecione o novo grupo de segurança.
- Selecione Revisar + atribuir para que a atribuição de funções se aplique a todos os membros do grupo.
Exemplos comuns:
- Para construir agentes, executar rastreios e usar as capacidades centrais do Foundry, atribuir Azure AI User ao grupo Microsoft Entra.
- Para utilizar as funcionalidades de Rastreio e Monitorização, atribua "Reader" no recurso Application Insights ligado ao mesmo grupo.
Para saber mais sobre os grupos, pré-requisitos e limitações do Microsoft Entra ID, consulte: