Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Solo se aplica a:
portal Foundry (clásico). Este artículo no está disponible para el nuevo portal de Foundry.
Obtenga más información sobre el nuevo portal.
Nota
Los vínculos de este artículo pueden abrir contenido en la nueva documentación de Microsoft Foundry en lugar de la documentación de Foundry (clásico) que está viendo ahora.
Importante
En este artículo se proporciona soporte heredado para proyectos basados en concentradores. No funcionará para proyectos de Foundry. Vea ¿Cómo sé qué tipo de proyecto tengo?
SDK nota de compatibilidad: Los ejemplos de código requieren una versión específica del SDK de Microsoft Foundry. Si encuentra problemas de compatibilidad, considere migrar de un proyecto basado en hub a un proyecto Foundry.
Propina
Hay disponible un artículo alternativo de control de acceso basado en roles (RBAC) centrado en proyectos de Foundry: Control de acceso basado en roles para Microsoft Foundry.
En este artículo, aprenderá a administrar el acceso en los niveles de centro y proyecto de Foundry. Utiliza Azure control de acceso basado en roles (Azure RBAC) para administrar el acceso a los recursos de Azure. Azure proporciona roles integrados y le permite crear roles personalizados.
Centro de plataforma versus proyecto
En el portal de Foundry, el acceso tiene dos niveles: el centro y el proyecto. El centro aloja infraestructura (incluyendo la configuración de red virtual, las claves administradas por el cliente, las identidades gestionadas y las directivas). Es donde se configuran las herramientas de Foundry. El acceso al centro le permite modificar la infraestructura, crear centros y crear proyectos. Los proyectos son un subconjunto del centro y actúan como áreas de trabajo para compilar e implementar sistemas de inteligencia artificial. En un proyecto, desarrolle flujos, implemente modelos y administre recursos del proyecto. El acceso al proyecto le permite construir e implementar inteligencia artificial de extremo a extremo mientras utiliza la infraestructura del hub.
Una ventaja clave de la relación entre el centro y el proyecto es que los desarrolladores pueden crear proyectos que hereden la configuración de seguridad del centro. Algunos desarrolladores son colaboradores de un proyecto y no pueden crear nuevos proyectos.
Roles predeterminados para el centro
El centro de Foundry tiene roles integrados que están disponibles de forma predeterminada.
| Rol | Descripción |
|---|---|
| Propietario | Acceso completo al centro, incluida la capacidad de administrar centros, crear nuevos concentradores y asignar permisos. Este rol se asigna automáticamente al creador del centro. |
| Colaborador | El usuario tiene acceso completo al centro, incluida la capacidad de crear nuevos centros, pero no puede administrar los permisos del centro en el recurso existente. |
| administrador de IA de Azure | Se asigna automáticamente a la identidad administrada generada por el sistema del hub. Concede los permisos mínimos que la identidad administrada necesita para realizar tareas. |
| desarrollador de IA de Azure | Realice todas las acciones, excepto la creación de nuevos hubs o la administración de permisos de hub. Los usuarios pueden asignar permisos dentro de su proyecto. |
| Operador de implementación de inferencia de AZURE AI | Realice todas las acciones necesarias para crear una implementación de recursos dentro de un grupo de recursos. |
| Lector | Acceso de solo lectura al centro. Este rol se asigna automáticamente a todos los miembros del proyecto dentro del centro. |
La diferencia clave entre colaborador y Azure desarrollador de IA es la capacidad de crear nuevos centros. Solo los roles Propietario y Colaborador le permiten crear un centro. Los roles personalizados no pueden conceder la creación de hubs.
rol de administrador de IA de Azure
Los centros creados después del 19/11/2024 se les asigna la identidad administrada del sistema al rol de Azure AI Administrator en lugar del rol de Colaborador.
{
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.CognitiveServices/*",
"Microsoft.ContainerRegistry/registries/*",
"Microsoft.DocumentDb/databaseAccounts/*",
"Microsoft.Features/features/read",
"Microsoft.Features/providers/features/read",
"Microsoft.Features/providers/features/register/action",
"Microsoft.Insights/alertRules/*",
"Microsoft.Insights/components/*",
"Microsoft.Insights/diagnosticSettings/*",
"Microsoft.Insights/generateLiveToken/read",
"Microsoft.Insights/logDefinitions/read",
"Microsoft.Insights/metricAlerts/*",
"Microsoft.Insights/metricdefinitions/read",
"Microsoft.Insights/metrics/read",
"Microsoft.Insights/scheduledqueryrules/*",
"Microsoft.Insights/topology/read",
"Microsoft.Insights/transactions/read",
"Microsoft.Insights/webtests/*",
"Microsoft.KeyVault/*",
"Microsoft.MachineLearningServices/workspaces/*",
"Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/deployments/operations/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourcegroups/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Storage/storageAccounts/*",
"Microsoft.Support/*",
"Microsoft.Search/searchServices/write",
"Microsoft.Search/searchServices/read",
"Microsoft.Search/searchServices/delete",
"Microsoft.Search/searchServices/indexes/*",
"Microsoft.DataFactory/factories/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
rol de desarrollador de IA de Azure
{
"permissions": [
{
"actions": [
"Microsoft.MachineLearningServices/workspaces/*/read",
"Microsoft.MachineLearningServices/workspaces/*/action",
"Microsoft.MachineLearningServices/workspaces/*/delete",
"Microsoft.MachineLearningServices/workspaces/*/write",
"Microsoft.MachineLearningServices/locations/*/read",
"Microsoft.Authorization/*/read",
"Microsoft.Resources/deployments/*"
],
"notActions": [
"Microsoft.MachineLearningServices/workspaces/delete",
"Microsoft.MachineLearningServices/workspaces/write",
"Microsoft.MachineLearningServices/workspaces/listKeys/action",
"Microsoft.MachineLearningServices/workspaces/hubs/write",
"Microsoft.MachineLearningServices/workspaces/hubs/delete",
"Microsoft.MachineLearningServices/workspaces/featurestores/write",
"Microsoft.MachineLearningServices/workspaces/featurestores/delete"
],
"dataActions": [
"Microsoft.CognitiveServices/accounts/OpenAI/*",
"Microsoft.CognitiveServices/accounts/SpeechServices/*",
"Microsoft.CognitiveServices/accounts/ContentSafety/*"
],
"notDataActions": []
}
]
}
Roles predeterminados para proyectos
Al conceder a un usuario acceso a un proyecto, el sistema también asigna el rol de Lector en el hub y el rol de Operador de Implementación de Inferencia para permitir implementaciones en el grupo de recursos.
| Rol | Descripción |
|---|---|
| Propietario | Acceso total al proyecto, incluida la asignación de permisos a los usuarios del proyecto. |
| Colaborador | Acceso completo, pero no puede asignar permisos. |
| administrador de IA de Azure | Se asigna automáticamente a la identidad administrada del centro. |
| desarrollador de IA de Azure | Crear despliegues; no se pueden asignar permisos. |
| Operador de implementación de inferencia de Azure AI | Acciones requeridas para crear despliegues de recursos. |
| Lector | Acceso de solo lectura. |
Para crear un proyecto, un rol debe incluir Microsoft.MachineLearningServices/workspaces/hubs/join en el hub (incluido en Azure AI Developer).
Permisos del servicio de dependencia
| Permiso | Propósito |
|---|---|
Microsoft.Storage/storageAccounts/write |
Cree o actualice la cuenta de almacenamiento. |
Microsoft.KeyVault/vaults/write |
Crear o actualizar el almacén de claves. |
Microsoft.CognitiveServices/accounts/write |
Escribir cuentas de API. |
Microsoft.MachineLearningServices/workspaces/write |
Crear o actualizar área de trabajo. |
Configuración de RBAC empresarial de ejemplo para centros
| Persona | Rol | Propósito |
|---|---|---|
| Administrador de TI | Propietario | Garantiza los estándares de hub. Asigna roles de gerente. |
| Administradores | Colaborador o desarrollador de IA de Azure | Administrar el centro de conectividad, auditar los recursos compartidos. |
| Responsable del equipo | desarrollador de IA de Azure | Cree proyectos y recursos compartidos. |
| Desarrolladores | Colaborador o desarrollador de IA en Azure (proyecto) | Compile e implemente modelos. |
Acceso a recursos externos
Asegúrese de que a la identidad administrada del centro se le conceden roles necesarios en servicios externos (por ejemplo, almacenamiento, búsqueda) antes de su uso.
Administración del acceso
Use el portal de Foundry (hoja Usuarios) o el portal de Azure IAM/CLI para asignar roles.
CLI de ejemplo:
az role assignment create --role "Azure AI Developer" --assignee "user@contoso.com" --scope /subscriptions/<sub-id>/resourceGroups/<rg-name>
Roles personalizados
Defina roles personalizados cuando los roles integrados no satisfagan las necesidades. Ejemplo de extracto de roles personalizados de nivel de suscripción:
{
"properties": {
"roleName": "Foundry Developer",
"description": "Custom role for Foundry. At subscription level",
"assignableScopes": ["/subscriptions/<your-subscription-id>"],
"permissions": [ { "actions": ["Microsoft.MachineLearningServices/workspaces/write", "Microsoft.MachineLearningServices/workspaces/endpoints/write"], "notActions": [], "dataActions": ["Microsoft.CognitiveServices/accounts/OpenAI/*/read"], "notDataActions": [] } ]
}
}
Asignación de roles en el portal
En el centro de administración, seleccione Usuarios en el nivel de centro o proyecto y, a continuación, Nuevo usuario.
Aspectos destacados del escenario
- Clave administrada por el cliente: conceda al creador del área de trabajo acceso a Key Vault; si usa la identidad asignada por el usuario, conceda los permisos necesarios para el plano de datos.
- Conexiones con Microsoft Entra ID: asigne los roles necesarios de Azure RBAC (por ejemplo, Contribuyente de datos de Blob de almacenamiento, Contribuyente de datos de índice de búsqueda).
- Azure Container Registry: Utilice la identidad administrada asignada por el sistema o asigne
ACRPulla la identidad asignada por el usuario. - Application Insights: requiere
Microsoft.Insights/Components/WriteyMicrosoft.OperationalInsights/workspaces/writedurante la creación del hub.
Solución de problemas
Si los nuevos centros que utilizan el rol de identidad de Administrador de IA de Azure encuentran problemas, puede revertir temporalmente al rol de Colaborador (consulte el artículo original para ver los pasos detallados).