Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Visualización actual:
Versión - Cambio a la versión del nuevo portal de Foundry
Propina
Este artículo es para un tipo de proyecto Foundry. Hay disponible un artículo alternativo de RBAC para proyectos basados en concentradores: Control de acceso basado en roles para Microsoft Foundry (Concentradores y Proyectos).
En este artículo, obtendrá información sobre el control de acceso basado en rol (RBAC) en el recurso de Microsoft Foundry y cómo asignar roles que controlan el acceso a los recursos.
Propina
Los roles de RBAC se aplican al autenticarse mediante Microsoft Entra ID. Si usa la autenticación basada en claves en su lugar, la clave concede acceso completo sin restricciones de rol. Microsoft recomienda usar la autenticación Entra ID para mejorar la seguridad y el control de acceso pormenorizado.
Asignaciones mínimas de roles para comenzar
Para los nuevos usuarios de Azure y Microsoft Foundry, empiece con estas asignaciones mínimas para que el principio de usuario y la identidad administrada del proyecto puedan acceder a las funcionalidades de Foundry.
Puede comprobar las asignaciones actuales mediante Verificar acceso para un usuario a un único recurso de Azure.
- Asigne el rol Azure AI User en el recurso Foundry al user principal.
- Asigne el rol Azure AI User en el recurso Foundry a la identidad administrada del proyecto.
Si el usuario que creó el proyecto puede asignar roles (por ejemplo, si tiene el Azure Owner rol en el ámbito de suscripción o grupo de recursos), ambas asignaciones se agregan automáticamente.
Para asignar estos roles manualmente, siga estos pasos rápidos.
Asignar un rol al principal de usuario
En el portal de Azure, abra el recurso Foundry y vaya a Control de acceso (IAM). Crear una asignación de roles para Usuario de Azure AI, establezca Miembros en Usuario, grupo o entidad de servicio, seleccione el principal de usuario y, a continuación, seleccione Revisar y asignar.
Asignación de un rol a la identidad administrada del proyecto
En el portal de Azure, abra el proyecto Foundry y vaya a Control de acceso (IAM). Crear una asignación de roles para Usuario de Azure AI, establezca Miembros a Identidad Administrada, seleccione la identidad administrada del proyecto y, después, seleccione Revisar + asignar.
Terminología del control de acceso basado en rol en Foundry
Para comprender el control de acceso basado en rol en Microsoft Foundry, considere dos preguntas para su empresa.
- ¿Qué permisos quiero que tenga mi equipo al compilar en Microsoft Foundry?
- ¿En qué ámbito quiero asignar permisos a mi equipo?
Para ayudar a responder a estas preguntas, estas son descripciones de cierta terminología que se usa en este artículo.
- Permisos: acciones permitidas o denegadas que una identidad puede realizar en un recurso, como leer, escribir, eliminar o administrar las operaciones del plano de control y del plano de datos.
- Scope: conjunto de recursos de Azure a los que se aplica una asignación de roles. Entre los ámbitos típicos se incluyen la suscripción, el grupo de recursos, el recurso Foundry o el proyecto Foundry.
- Role: Colección nombrada de permisos que define de qué acciones se pueden realizar en recursos de Azure en un ámbito determinado.
Una identidad obtiene un rol con permisos específicos en un ámbito seleccionado en función de los requisitos empresariales.
En Microsoft Foundry, considere dos ámbitos al completar las asignaciones de roles.
- Recurso de Foundry: El ámbito de nivel superior que define los límites administrativos, de seguridad y de supervisión de un entorno de Microsoft Foundry.
- Proyecto foundry: un sub-ámbito dentro de un recurso Foundry usado para organizar el trabajo y aplicar el control de acceso para las API, herramientas y flujos de trabajo de desarrollador de Foundry.
Roles integrados
Un rol integrado en Foundry es un rol creado por Microsoft que cubre escenarios comunes de acceso que puedes asignar a los miembros del equipo. Entre los roles integrados clave que se usan en Azure se incluyen Propietario, Colaborador y Lector. Estos roles no son específicos de los permisos de recursos de Foundry.
En el caso de los recursos de Foundry, use roles integrados adicionales para seguir los principios de acceso con privilegios mínimos. En la tabla siguiente se enumeran los roles clave integrados para Foundry y sus vínculos a las definiciones exactas de los roles en roles integrados de IA y Aprendizaje Automático.
| Rol | Descripción |
|---|---|
| Usuario de Azure AI | Concede acceso como lector al proyecto Foundry, al recurso Foundry y a las acciones sobre datos para tu proyecto Foundry. Si puede asignar roles, este rol se le asigna automáticamente. De lo contrario, el propietario de la suscripción o un usuario con permisos de asignación de roles le concede. Rol de acceso con privilegios mínimos en Foundry. |
| Azure AI Project Manager | Permite realizar acciones de administración en proyectos de Foundry, construir y desarrollar proyectos, y asignar condicionalmente el rol de usuario de Azure AI a otras entidades de seguridad de usuario. |
| Propietario de la cuenta de Azure AI | Concede el acceso total para gestionar proyectos y recursos, y permite asignar condicionalmente el rol de Usuario de IA de Azure a otros principales de usuario. |
| Responsable de Azure AI | Concede acceso total a proyectos y recursos administrados y crea y desarrolla con proyectos. Rol de autoservicio altamente privilegiado diseñado para nativos digitales. |
Permisos para cada rol integrado
Utilice la siguiente tabla y el diagrama para ver los permisos permitidos para cada rol integrado en Foundry, incluidos los roles integrados clave de Azure.
| Rol integrado | Creación de proyectos de Foundry | Creación de cuentas de Foundry | Construir y desarrollar en un proyecto (acciones de datos) | Completar asignaciones de roles | Acceso de lector a proyectos y cuentas | Administrar modelos |
|---|---|---|---|---|---|---|
| Usuario de Azure AI | ✔ | ✔ | ||||
| Azure AI Project Manager | ✔ | ✔ | ✔ (asignar solo el rol de usuario de Azure IA) | ✔ | ||
| Propietario de la cuenta de IA de Azure | ✔ | ✔ | ✔ (solo asignar rol de usuario de Azure AI) | ✔ | ✔ | |
| Responsable de Azure AI | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Propietario | ✔ | ✔ | ✔ (asignar cualquier rol a cualquier usuario) | ✔ | ✔ | |
| Colaborador | ✔ | ✔ | ✔ | ✔ | ||
| Lector | ✔ |
Para obtener más información sobre los roles integrados en Azure y Foundry, consulte Roles integrados de Azure. Para obtener más información sobre la delegación condicional que se usa en el rol de propietario de la cuenta de IA de Azure y el rol de Gerente de Proyecto de IA de Azure, consulte Delegar la gestión de asignación de roles de Azure a otros con condiciones.
Ejemplos de asignaciones de control de acceso basado en roles empresariales para proyectos
Este es un ejemplo de cómo implementar el control de acceso basado en rol (RBAC) para un recurso de Enterprise Foundry.
| Persona | Rol y ámbito | Propósito |
|---|---|---|
| Administrador de TI | Propietario en el ámbito de la suscripción | El administrador de TI garantiza que el recurso Foundry cumple los estándares empresariales. Asigne a los administradores el rol de Propietario de cuenta de Azure AI en el recurso para que puedan crear nuevas cuentas de Foundry. Asigne a los administradores el rol Azure AI Project Manager en el recurso para permitirles crear proyectos dentro de una cuenta. |
| Administradores | Propietario de la cuenta de Azure IA en el ámbito de recurso Foundry | Los administradores administran el recurso Foundry, implementan modelos, auditan los recursos de proceso, auditan las conexiones y crean conexiones compartidas. No pueden trabajar en proyectos, pero pueden asignarse el rol de Usuario de Azure AI a sí mismos y a otros para empezar a desarrollar. |
| Responsable de equipo o líder de desarrollo | Azure AI Project Manager en el ámbito de los recursos de Foundry | Los desarrolladores principales crean proyectos para su equipo y comienzan a trabajar en ellos. Después de crear un proyecto, los propietarios del proyecto invitan a otros miembros y asignan el rol Azure ai User. |
| Miembros del equipo o desarrolladores | Usuario de Azure AI en el ámbito del proyecto Foundry y el lector en el ámbito del recurso Foundry | Los desarrolladores construyen agentes en un proyecto con modelos Foundry preimplementados y conexiones preconstruidas. |
Administrar asignaciones de roles
Para administrar roles en Foundry, debe tener permiso para asignar y quitar roles en Azure. El rol integrado Azure Owner incluye ese permiso. Puede asignar roles a través del portal de Foundry (página Administrador), Azure IAM del portal o CLI de Azure. Puede quitar roles mediante Azure portal IAM o CLI de Azure.
En el portal de Foundry, administre los permisos mediante:
- En la página Inicio de Foundry, seleccione el recurso Foundry.
- Seleccione Usuarios para agregar o quitar usuarios para el recurso.
Puede administrar permisos en el portal Azure en Access Control (IAM) o mediante CLI de Azure.
Por ejemplo, el comando siguiente asigna el rol usuario de IA de Azure a joe@contoso.com para el grupo de recursos this-rg en la suscripción 00000000-0000-0000-0000-000000000000:
az role assignment create --role "Azure AI User" --assignee "joe@contoso.com" --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/this-rg
Creación de roles personalizados para proyectos
Si los roles integrados no cumplen los requisitos empresariales, cree un rol personalizado que permita un control preciso sobre las acciones y ámbitos permitidos. Esta es una definición de rol personalizada de nivel de suscripción de ejemplo:
{
"properties": {
"roleName": "My Enterprise Foundry User",
"description": "Custom role for Foundry at my enterprise to only allow building Agents. Assign at subscription level.",
"assignableScopes": ["/subscriptions/<your-subscription-id>"],
"permissions": [ {
"actions": ["Microsoft.CognitiveServices/*/read", "Microsoft.Authorization/*/read", "Microsoft.CognitiveServices/accounts/listkeys/action","Microsoft.Resources/deployments/*"],
"notActions": [],
"dataActions": ["Microsoft.CognitiveServices/accounts/AIServices/agents/*"],
"notDataActions": []
} ]
}
}
Para obtener más información sobre cómo crear un rol personalizado, consulte los artículos siguientes.
- Azure portal
- CLI de Azure
- Azure PowerShell
- Deshabilitar características en versión preliminar en Microsoft Foundry. En este artículo se proporcionan más detalles sobre los permisos específicos de Foundry en el control y el plano de datos que puede usar al crear roles personalizados.
Notas y limitaciones
- Para ver y eliminar las cuentas de Foundry eliminadas, debe tener el rol de Colaborador asignado en el ámbito de la suscripción.
- Los usuarios con el rol Colaborador pueden implementar modelos en Foundry.
- Necesita el rol de Propietario dentro del alcance de un recurso para crear roles personalizados en el recurso.
- Si tiene permisos para asignar roles en Azure (por ejemplo, el rol Propietario asignado en el ámbito de la cuenta) a la entidad de seguridad de usuario, e implementa un recurso de Foundry desde el portal de Azure o en la interfaz de usuario del portal de Foundry, el rol Usuario de IA de Azure se asigna automáticamente a su entidad de seguridad de usuario. Esta asignación no se aplica al implementar Foundry desde el SDK o la CLI.
- Al crear un recurso Foundry, los permisos integrados de control de acceso basado en rol (RBAC) proporcionan acceso al recurso. Para usar los recursos creados fuera de Foundry, asegúrese de que el recurso tiene permisos que le permiten acceder a ellos. Estos son algunos ejemplos:
- Para usar una nueva cuenta de Azure Blob Storage, agregue la identidad administrada del recurso de cuenta de Foundry al rol Lector de datos de Storage Blob en esa cuenta de almacenamiento.
- Para usar un nuevo origen de Búsqueda de Azure AI, agregue Foundry a las asignaciones de roles de Búsqueda de Azure AI.
- Para ajustar un modelo en Foundry, necesita permisos de plano de datos y de plano de control. La implementación de un modelo afinado es un permiso del plano de gestión. Por lo tanto, el único rol integrado con permisos tanto de plano de datos como de plano de control es el rol de Azure AI Owner. O bien, si lo prefiere, también puede asignar el rol Azure usuario de IA para los permisos del plano de datos y el rol Azure propietario de la cuenta de IA para permisos del plano de control.
Contenido relacionado
- Cree un proyecto.
- Agregue una conexión en el portal de Foundry.
- Autenticación y autorización en Foundry.
- Deshabilitar características en versión preliminar en Microsoft Foundry.
Apéndice
Ejemplos de aislamiento de acceso
Cada organización puede tener requisitos de aislamiento de acceso diferentes en función de los roles de usuario de su empresa. El aislamiento de acceso refiere a los roles asignados a los usuarios de su empresa, bien sea para una separación de permisos mediante nuestros roles integrados o un rol unificado y altamente permisivo. Hay tres opciones de aislamiento de acceso para Foundry que puede seleccionar para su organización en función de los requisitos de aislamiento de acceso.
Sin aislamiento de acceso. Esto significa que en su empresa no tiene ningún requisito para separar los permisos entre un desarrollador, un administrador de proyectos o un administrador. Los permisos para estos roles se pueden asignar entre equipos.
Por lo tanto, deberías...
- Conceda a todos los usuarios de su empresa el rol Propietario de Azure AI en el alcance del recurso
Aislamiento de acceso parcial. Esto significa que el administrador de proyectos de su empresa debe poder desarrollar dentro de proyectos, así como crear proyectos. Pero los administradores no deben poder desarrollarse en Foundry, solo crear cuentas y proyectos de Foundry.
Por lo tanto, deberías...
- Conceda a su administrador el rol Propietario de cuenta de Azure AI en el ámbito de recursos
- Conceda a los administradores de proyecto y desarrolladores los permisos de el rol de Azure AI Project Manager en el recurso.
Aislamiento de acceso total. Esto significa que los administradores, los administradores de proyectos y los desarrolladores tienen permisos claros asignados que no se superponen para sus diferentes funciones dentro de una empresa.
Por lo tanto, usted debe...
- Otorgue a su administrador el Propietario de la cuenta de Azure AI en el ámbito del recurso
- Conceda al desarrollador el rol Reader en el ámbito del recurso Foundry y el rol Usuario de Azure AI en el ámbito del proyecto
- Conceda al administrador de proyectos el rol Azure AI Project Manager en el ámbito de los recursos
Uso de grupos de Microsoft Entra con Foundry
Microsoft Entra ID proporciona varias maneras de administrar el acceso a recursos, aplicaciones y tareas. Mediante el uso de grupos de Microsoft Entra, puede conceder acceso y permisos a un grupo de usuarios en lugar de a cada usuario individual. Los administradores de TI empresariales pueden crear grupos de Microsoft Entra en el portal de Azure para simplificar el proceso de asignación de roles para los desarrolladores. Al crear un grupo de Microsoft Entra, puede minimizar el número de asignaciones de roles necesarias para los nuevos desarrolladores que trabajan en proyectos de Foundry asignando al grupo la asignación de roles necesaria en el recurso necesario.
Complete los pasos siguientes para usar Microsoft Entra ID grupos con Foundry:
- Cree un grupo Security en Groups en el portal de Azure.
- Agregue un propietario y los principales de usuario de su organización que necesiten acceso compartido.
- Abra el recurso de destino y vaya a Control de acceso (IAM) .
- Asigne el rol necesario a Usuario, grupo o principal de servicio, y seleccione el nuevo grupo de seguridad.
- Seleccione Revisar y asignar para que la asignación de roles se aplique a todos los miembros del grupo.
Ejemplos comunes:
- Para crear agentes, ejecutar trazas y utilizar las funcionalidades principales de Foundry, asigne Azure AI User al grupo de Microsoft Entra.
- Para utilizar las funciones de Traceo y Monitorización, asigne el rol Lector al recurso de Application Insights conectado al mismo grupo.
Para más información sobre Microsoft Entra ID grupos, requisitos previos y limitaciones, consulte: