Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Restrinja las características en versión preliminar de Microsoft Foundry para mantener los entornos de producción centrados en las funcionalidades disponibles con carácter general. En este artículo se tratan dos enfoques:
- Etiquetas de Azure ocultan las superficies de vista previa en el portal Foundry (portal actual y clásico).
- Los roles de RBAC personalizados bloquean operaciones de versión preliminar específicas en el nivel de API.
Use etiquetas para la supresión de nivel de portal y use roles RBAC personalizados cuando necesite bloquear operaciones o permisos específicos.
Requisitos previos
- Un recurso y proyecto de fundición.
- Permiso para agregar o editar etiquetas en el ámbito de destino en Azure. Por ejemplo, Colaborador o Colaborador de etiquetas.
- Una suscripción Azure con permisos para crear roles personalizados en el ámbito en el que desea que se pueda asignar el rol (por ejemplo, el rol Propietario o el rol Administrador de acceso de usuario).
- Permisos para asignar roles en el ámbito donde se asigna el acceso (por ejemplo, el rol de Administrador de Control de Acceso Basado en Roles o el rol de Administrador de Acceso de Usuario).
- CLI de Azure instalado y sesión iniciada, para crear roles desde la línea de comandos. Para obtener más información, vea Install the CLI de Azure.
- Acceso a Azure portal.
Aplicación de la etiqueta
Aplique la etiqueta de supresión de características en versión preliminar en el ámbito que rige su organización.
Importante
Use la clave y el valor exactos de la etiqueta:
- Clave de etiqueta:
AZML_DISABLE_PREVIEW_FEATURE - Valor de etiqueta:
true
Aplique la etiqueta en el ámbito que coincida con sus necesidades de gobernanza:
- Suscripción para la gobernanza en toda la organización.
- Grupo de recursos para cubrir todos los recursos de un grupo.
- Foundry recurso para un control granular.
Sustituya <resource-id> por el identificador completo de la suscripción, grupo de recursos o recurso Foundry.
az tag update --resource-id <resource-id> --operation merge --tags AZML_DISABLE_PREVIEW_FEATURE=true
Para encontrar el identificador de recurso para un recurso Foundry:
az resource show --name <resource-name> --resource-group <resource-group> --resource-type "Microsoft.CognitiveServices/accounts" --query id --output tsv
Eliminación de la etiqueta para volver a habilitar las características en versión preliminar
Para restaurar las características de vista previa, quite la AZML_DISABLE_PREVIEW_FEATURE etiqueta .
az tag update --resource-id <resource-id> --operation delete --tags AZML_DISABLE_PREVIEW_FEATURE=true
Después de quitar la etiqueta, actualice el portal de Foundry o cierre la sesión y vuelva a iniciarla. Las características en versión preliminar vuelven a aparecer en unos minutos.
Comprobación de la supresión en ambas experiencias del portal
Una vez guardada la etiqueta, espere unos minutos para la propagación y compruebe el comportamiento en ambas experiencias.
- Abra Microsoft Foundry.
- Abra el proyecto etiquetado.
- Compruebe que las características de la interfaz de usuario de solo versión preliminar están ocultas.
- En el portal clásico, la herramienta Características en versión preliminar de la esquina superior derecha está deshabilitada.
- En el nuevo portal, no verá ninguna etiqueta PREVIEW , ya que las características de la versión preliminar ya no estarán visibles.
- Alternar entre experiencias nuevas y clásicas mediante New Foundry y validar el mismo comportamiento.
Resultado esperado: las características en versión preliminar están ocultas en las experiencias del portal de Foundry nuevas y clásicas.
Solucionar problemas de supresión
Utilice la siguiente tabla cuando la supresión no se comporte como se espera.
| Síntoma | Causa | Resolución |
|---|---|---|
| Las características en versión preliminar siguen apareciendo después de aplicar la etiqueta . | La clave o el valor de etiqueta son incorrectos. | Compruebe que la clave de etiqueta es exactamente AZML_DISABLE_PREVIEW_FEATURE y el valor es true (distingue mayúsculas de minúsculas). Vuelva a guardar la etiqueta. |
| La etiqueta se aplica, pero solo se suprimen algunos ámbitos. | La etiqueta se aplica en un ámbito más estrecho de lo previsto. | Confirme que la etiqueta se aplica en el ámbito de gobernanza previsto (suscripción, grupo de recursos o recurso). Aplíquelo en un ámbito más amplio si es necesario. |
| Las características en versión preliminar vuelven a aparecer después de unos minutos. | La sesión del explorador usa un estado almacenado en caché. | Cierre la sesión y vuelva a iniciarla, o borre la memoria caché del explorador y actualice el portal de Foundry. |
| No se puede agregar o editar la etiqueta. | A tu cuenta le faltan permisos de etiqueta en ese ámbito. | Compruebe que tiene el rol Colaborador o Colaborador de etiquetas en el ámbito de destino. |
| Las características en versión preliminar siguen apareciendo después de comprobar el ámbito, la etiqueta y los permisos. | Posible retraso de propagación o error de producto. | Espere unos minutos para la propagación. Si el problema persiste, abra una solicitud de soporte técnico. |
Bloquear funciones de vista previa con roles RBAC personalizados
Puede bloquear el acceso a características específicas de la versión preliminar mediante la creación de un rol de Azure personalizado que excluya los permisos correspondientes y, a continuación, asigne ese rol a los usuarios.
Dado que no se pueden modificar los roles integrados, se crea un rol personalizado que usa notDataActions (o notActions para características del plano de control como Seguimiento) para excluir los permisos que desea bloquear.
En la tabla siguiente se resumen las características de vista previa que puede bloquear y el tipo de permisos que se van a excluir.
| Característica de vista previa | Ruta de acceso del proveedor de recursos | Tipo de permiso | Campo de exclusión |
|---|---|---|---|
| Servicio del agente | Microsoft.CognitiveServices/accounts/AIServices/agents/* |
Acción de datos | notDataActions |
| Descripción del contenido | Microsoft.CognitiveServices/accounts/MultiModalIntelligence/* |
Acción de datos | notDataActions |
| Ajuste preciso |
Microsoft.CognitiveServices/accounts/OpenAI/fine-tunes/* y rutas relacionadas |
Acción de datos | notDataActions |
| Evaluaciones | Microsoft.CognitiveServices/accounts/AIServices/evaluations/* |
Acción de datos | notDataActions |
| Seguridad del contenido | Microsoft.CognitiveServices/accounts/ContentSafety/* |
Acción de datos | notDataActions |
| Seguimiento | Microsoft.Insights/* |
Acción del plano de control | notActions |
Creación de un rol personalizado que bloquea una característica en versión preliminar
En esta sección se explica cómo crear una definición de roles personalizada y asignarla a un usuario. El ejemplo bloquea el servicio del agente, pero puede sustituir las acciones de datos de las secciones de características de este artículo.
Paso 1: Definición del rol JSON
Cree un archivo JSON denominado custom-role.json con el siguiente contenido. Reemplace <subscription-id> por el identificador de suscripción de Azure y agregue las acciones de datos que desea bloquear para notDataActions.
{
"properties": {
"roleName": "Foundry custom role (preview features blocked)",
"description": "Custom role that excludes specific Foundry preview features.",
"assignableScopes": [
"/subscriptions/<subscription-id>"
],
"permissions": [
{
"actions": [
"Microsoft.CognitiveServices/*/read",
"Microsoft.Authorization/*/read"
],
"notActions": [],
"dataActions": [
"Microsoft.CognitiveServices/accounts/AIServices/*"
],
"notDataActions": [
"Microsoft.CognitiveServices/accounts/AIServices/agents/write",
"Microsoft.CognitiveServices/accounts/AIServices/agents/read",
"Microsoft.CognitiveServices/accounts/AIServices/agents/delete"
]
}
]
}
}
Propina
Si clona un rol existente o usa permisos comodín en dataActions, agregue las acciones de datos de la función de vista previa a notDataActions para que el rol los excluya. Para Tracing, use notActions en su lugar porque Tracing utiliza acciones del Plan de Control.
Paso 2: Crear el rol
az role definition create --role-definition custom-role.json
Paso 3: Asignación del rol
az role assignment create \
--role "Foundry custom role (preview features blocked)" \
--assignee "<user-email-or-object-id>" \
--scope "/subscriptions/<subscription-id>"
Paso 4: Comprobación de la asignación de roles
Confirme que el rol personalizado excluye los permisos esperados.
Enumere las asignaciones de roles para el usuario y compruebe que aparece el rol personalizado:
az role assignment list --assignee "<user-email-or-object-id>" --output table
Vea la definición de rol personalizada para confirmar notDataActions que contiene las acciones de datos esperadas:
az role definition list --name "Foundry custom role (preview features blocked)" --output json
Vista previa de las acciones de datos de la función
En cada una de las secciones siguientes se enumeran los permisos de una característica en versión preliminar. Agregue las acciones de datos a notDataActions las que desea bloquear en la definición de roles personalizados, excepto el seguimiento, que usa acciones del plano de control en notActions.
Servicio del agente
Agregue estas acciones de datos a notDataActions en la definición de roles personalizados:
Microsoft.CognitiveServices/accounts/AIServices/agents/writeMicrosoft.CognitiveServices/accounts/AIServices/agents/readMicrosoft.CognitiveServices/accounts/AIServices/agents/delete
Para bloquear todas las operaciones del Servicio de Agente con una sola entrada, use el carácter comodín Microsoft.CognitiveServices/accounts/AIServices/agents/*.
Descripción del contenido
Agregue estas acciones de datos a notDataActions en la definición de roles personalizados:
Microsoft.CognitiveServices/accounts/MultiModalIntelligence/analyzers/readMicrosoft.CognitiveServices/accounts/MultiModalIntelligence/analyzers/writeMicrosoft.CognitiveServices/accounts/MultiModalIntelligence/analyzers/deleteMicrosoft.CognitiveServices/accounts/MultiModalIntelligence/classifiers/readMicrosoft.CognitiveServices/accounts/MultiModalIntelligence/classifiers/writeMicrosoft.CognitiveServices/accounts/MultiModalIntelligence/classifiers/deleteMicrosoft.CognitiveServices/accounts/MultiModalIntelligence/batchAnalysisJobs/*
Si el equipo etiqueta documentos en Foundry, bloquee también las acciones de datos de etiquetado. En el editor de roles personalizado del portal de Azure, busque labelingProjects en el proveedor de recursos Microsoft.CognitiveServices para encontrar las operaciones disponibles, como:
Microsoft.CognitiveServices/accounts/MultiModalIntelligence/labelingProjects/readMicrosoft.CognitiveServices/accounts/MultiModalIntelligence/labelingProjects/writeMicrosoft.CognitiveServices/accounts/MultiModalIntelligence/labelingProjects/delete
Nota
Compruebe las acciones exactas de datos labelingProjects en el portal de Azure, ya que las operaciones disponibles pueden cambiar a medida que evoluciona la característica.
Ajuste preciso
El ajuste fino utiliza varias trayectorias de acción de datos en Microsoft.CognitiveServices/accounts/OpenAI/. Agregue cada ruta de acceso que desee bloquear a notDataActions en su definición de roles personalizada.
Microsoft.CognitiveServices/accounts/OpenAI/fine-tunes/*Microsoft.CognitiveServices/accounts/OpenAI/files/*Microsoft.CognitiveServices/accounts/OpenAI/uploads/*Microsoft.CognitiveServices/accounts/OpenAI/stored-completions/*Microsoft.CognitiveServices/accounts/OpenAI/evals/*Microsoft.CognitiveServices/accounts/OpenAI/models/*
Opcionalmente, si el equipo ejecuta trabajos de RLHF, agregue también:
Microsoft.CognitiveServices/accounts/OpenAI/1p-jobs/*
Importante
Cada ruta de acceso enumerada es un ámbito de acción de datos independiente. El fine-tunes/* carácter comodín se aplica solo a las operaciones bajo fine-tunes/. Para bloquear completamente la optimización, incluya todas las rutas de acceso enumeradas.
Seguimiento
Importante
El seguimiento usa Azure Monitor, que es un servicio de plano de control. Los permisos enumerados en esta sección son acciones, no acciones de datos. Agréguelos a notActions (no notDataActions) en la definición de rol personalizada.
Agregue estas acciones a notActions en la definición de roles personalizada:
Microsoft.Insights/alertRules/readMicrosoft.Insights/diagnosticSettings/readMicrosoft.Insights/logDefinitions/readMicrosoft.Insights/metricdefinitions/readMicrosoft.Insights/metrics/read
Bloquear estas acciones de lectura impide que los usuarios vean el panel Seguimiento en el portal de Foundry. Los usuarios que necesitan acceso a Tracing requieren un rol independiente que incluya las acciones de lectura de Microsoft.Insights, como un rol lector en el recurso de Application Insights conectado.
Evaluaciones
Agregue estas acciones de datos a notDataActions en la definición de roles personalizados:
Microsoft.CognitiveServices/accounts/AIServices/evaluations/writeMicrosoft.CognitiveServices/accounts/AIServices/evaluations/readMicrosoft.CognitiveServices/accounts/AIServices/evaluations/delete
Seguridad del contenido
Agregue estas acciones de datos a notDataActions en la definición de roles personalizados:
Microsoft.CognitiveServices/accounts/ContentSafety/*
Para bloquear solo operaciones específicas de seguridad de contenido en lugar de todas las operaciones, busque ContentSafety en el editor de roles personalizado del portal de Azure y seleccione las acciones de datos individuales que desea excluir.
Solución de problemas de RBAC
| Síntoma | Causa | Resolución |
|---|---|---|
| El usuario todavía puede acceder a una característica bloqueada. | Es posible que la asignación de roles no se haya propagado aún o que el usuario tenga otro rol que conceda el permiso bloqueado. | Espere unos minutos para la propagación. Compruebe todas las asignaciones de roles para el usuario con az role assignment list --assignee "<user>". Quite los roles en conflicto que concedan las acciones de datos bloqueadas. |
| La creación de roles personalizados falla con "acción de datos inválida". | Es posible que la ruta de acceso a la acción de datos esté mal escrita o que el proveedor de recursos no esté registrado. | Verifique la ruta de acción de datos en el editor de roles personalizados del portal de Azure. Asegúrese de que el proveedor de recursos Microsoft.CognitiveServices está registrado en la suscripción. |
Los permisos de seguimiento no se bloquean después de agregar a notDataActions. |
El seguimiento usa acciones del plano de control (Microsoft.Insights), no acciones de datos. |
Mueva las entradas de Microsoft.Insights de notDataActions a notActions en la definición de roles. |
Contenido relacionado
- control de acceso basado en roles para Microsoft Foundry
- Autenticación y autorización en Microsoft Foundry
- Crear o actualizar roles personalizados Azure mediante el portal de Azure
- Crear o actualizar roles personalizados Azure mediante CLI de Azure
- Assignar roles de Azure mediante el portal de Azure