Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Neste artigo, aprende conceitos centrais de controlo de acesso baseado em papéis (RBAC) para o Microsoft Foundry, incluindo escopos, funções incorporadas e padrões comuns de atribuição empresarial.
Dica
As funções RBAC aplicam-se quando se autentica usando o Microsoft Entra ID. Se usar autenticação baseada em chaves, a chave concede acesso total sem restrições de funções. A Microsoft recomenda o uso da autenticação Entra ID para melhorar a segurança e controlar o acesso detalhado.
Para mais informações sobre autenticação e autorização no Microsoft Foundry, consulte Autenticação e Autorização.
Atribuições mínimas de funções para começar
Para novos utilizadores no Azure e no Microsoft Foundry, comece com estas atribuições mínimas para que tanto o seu principal utilizador como a identidade gerida pelo projeto possam aceder às funcionalidades do Foundry.
Pode verificar as atribuições atuais usando Verifique o acesso de um utilizador a um único recurso Azure.
- Atribui a função Azure AI User no teu recurso Foundry ao teu user principal.
- Atribui a função Azure AI User no teu recurso Foundry à identidade gerida do projeto.
Se o utilizador que criou o projeto puder atribuir funções (por exemplo, tendo o papel Azure Proprietário no âmbito de subscrição ou grupo de recursos), ambas as atribuições são adicionadas automaticamente.
Para atribuir estes papéis manualmente, use os seguintes passos rápidos.
Atribui um papel ao teu utilizador principal
No portal Azure, abra o seu recurso Foundry e vá a Controlo de acesso (IAM). Crie uma atribuição de função para Azure AI User, defina Members para User, group, or service principal, selecione o seu user principal e depois selecione Review + assign.
Atribua um papel à identidade gerida do teu projeto
No portal Azure, abra o seu projeto Foundry e vá a Controlo de Acesso (IAM). Crie uma atribuição de funções para Azure AI User, defina Members para Managed Identity, selecione a identidade gerida do seu projeto e depois selecione Review + assign.
Terminologia para controlo de acesso baseado em funções na Foundry
Para compreender o controlo de acesso baseado em papéis no Microsoft Foundry, considere duas perguntas para a sua empresa.
- Que permissões quero que a minha equipa tenha ao construir no Microsoft Foundry?
- Em que âmbito quero atribuir permissões à minha equipa?
Para ajudar a responder a estas questões, aqui estão descrições de alguma terminologia utilizada ao longo deste artigo.
- Permissões: Ações permitidas ou recusadas que uma identidade pode realizar num recurso, como ler, escrever, eliminar ou gerir operações tanto no plano de controlo como nas operações do plano de dados.
- Scope: O conjunto de recursos Azure a que se aplica uma atribuição de funções. Os escopos típicos incluem subscrição, grupo de recursos, recurso Foundry ou projeto Foundry.
- Role: Um conjunto nomeado de permissões que define quais as ações que podem ser realizadas sobre Azure recursos num determinado âmbito.
Uma identidade recebe um papel com permissões específicas num âmbito selecionado, consoante os requisitos da sua empresa.
No Microsoft Foundry, considere dois escopos ao completar atribuições de funções.
- Foundry resource: O âmbito de topo que define o limite administrativo, de segurança e de monitorização para um ambiente Microsoft Foundry.
- Projeto Foundry: Um subâmbito dentro de um recurso Foundry usado para organizar o trabalho e impor controlo de acesso para APIs, ferramentas e fluxos de trabalho de programadores Foundry.
Papéis predefinidos
Um papel incorporado no Foundry é um papel criado por Microsoft que cobre cenários de acesso comum que podes atribuir aos teus membros da equipa. Os principais papéis incorporados usados no Azure incluem Proprietário, Contribuidor e Leitor. Estes papéis não são específicos das permissões de recursos da Foundry.
Para os recursos da Foundry, utilize papéis adicionais predefinidos para seguir os princípios de acesso com privilégios mínimos. A tabela seguinte lista os principais papéis incorporados na Foundry e ligações para as definições exatas dos papéis em papéis incorporados em AI + Machine Learning.
| Função | Descrição |
|---|---|
| Utilizador de IA do Azure | Concede ao leitor acesso ao projeto Foundry, recursos Foundry e ações de dados para o seu projeto Foundry. Se conseguires atribuir funções, essa função é-te atribuída automaticamente. Caso contrário, o Proprietário da assinatura ou um utilizador a quem foram atribuídas permissões para a atribuição de funções concede-as. Função de acesso com menor privilégio na Foundry. |
| Gestor de Projetos de IA do Azure | Permite-lhe realizar ações de gestão em projetos Foundry, construir e desenvolver com projetos, e atribuir condicionalmente o papel de Utilizador de IA do Azure a outros principais utilizadores. |
| Azure Proprietário da Conta de Inteligência Artificial | Concede acesso total para gerir projetos e recursos, e permite atribuir condicionalmente o papel de Utilizador de IA do Azure a outros principais utilizadores. |
| Azure Responsável pela IA | Concede acesso total a projetos e recursos geridos e permita a construção e desenvolvimento utilizando projetos. Função altamente privilegiada de auto-atendimento desenvolvida para utilizadores nativos digitais. |
Permissões para cada função incorporada
Use a tabela seguinte para ver as permissões permitidas para cada função incorporada no Microsoft Foundry.
| Função incorporada | Projetos Create Foundry | Criar contas Foundry | Construir e desenvolver num projeto (manipulações de dados) | Atribuições completas de funções | Acesso dos leitores a projetos e contas | Modelos de gestão | Agentes de publicação |
|---|---|---|---|---|---|---|---|
| Utilizador de IA do Azure | ✔ | ✔ | |||||
| Gestor de Projetos de IA do Azure | ✔ | ✔ (atribuir apenas o papel de utilizador de IA no Azure) | ✔ | ✔ | |||
| Azure Proprietário da Conta de Inteligência Artificial | ✔ | ✔ | ✔ (atribuir apenas o papel de utilizador de IA no Azure) | ✔ | ✔ | ||
| Azure Responsável pela IA | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
Use a tabela seguinte para ver as permissões permitidas para cada função-chave incorporada no Azure (Proprietário, Contribuidor, Leitor).
| Função incorporada | Projetos Create Foundry | Criar contas Foundry | Construir e desenvolver num projeto (manipulações de dados) | Atribuições completas de funções | Acesso dos leitores a projetos e contas | Modelos de gestão | Agentes de publicação |
|---|---|---|---|---|---|---|---|
| Proprietário | ✔ | ✔ | ✔ (atribuir qualquer função a qualquer utilizador) | ✔ | ✔ | ✔ | |
| Colaborador | ✔ | ✔ | ✔ | ✔ | |||
| Leitor | ✔ |
Para publicar agentes, precisas da função Azure AI Project Manager (mínimo) no âmbito do recurso Foundry. Para mais informações, consulte Aplicações de agentes na Microsoft Foundry.
Para mais informações sobre funções incorporadas em Azure e Foundry, veja Azure funções incorporadas. Para saber mais sobre a delegação condicional usada nos papéis de Proprietário da Conta Azure IA e Gestor de Projeto Azure IA, consulte Delegar a gestão de atribuição de funções Azure a outros com condições.
Exemplos de mapeamentos RBAC empresariais para projetos
Aqui está um exemplo de como implementar o controlo de acesso baseado em funções (RBAC) para um recurso de Foundry empresarial.
| Persona | Função e Âmbito | Finalidade |
|---|---|---|
| Administração de TI | Proprietário no âmbito da subscrição | O administrador de TI assegura que o recurso da Foundry cumpre os padrões empresariais. Atribuir aos gestores o papel Azure AI Account Owner no recurso para permitir que criem novas contas Foundry. Atribui aos gestores a função Azure AI Project Manager no recurso para que possam criar projetos dentro de uma conta. |
| Gestores | Proprietário da Conta Azure AI no âmbito de recurso Foundry | Os gestores gerem o recurso Foundry, implementam modelos, auditam recursos de computação, auditam ligações e criam ligações partilhadas. Não podem construir projetos, mas podem atribuir o papel de Utilizador de IA Azure a si próprios e a outros para começarem a construir. |
| Líder de equipa ou programador líder | Azure AI Project Manager no âmbito dos recursos do Foundry | Os programadores líderes criam projetos para a sua equipa e começam a desenvolver esses projetos. Depois de criar um projeto, os responsáveis do projeto convidam outros membros e atribuem o papel de Azure AI User. |
| Membros da equipa ou programadores | Azure AI User no âmbito do projeto Foundry e Reader no âmbito do recurso Foundry | Os programadores criam agentes num projeto com modelos Foundry pré-implementados e ligações pré-construídas. |
Gerir atribuições de funções
Para gerir funções no Foundry, deve ter permissão para atribuir e remover funções no Azure. O papel Azure pré-definido Proprietário inclui essa permissão. Pode atribuir funções através do portal Foundry (página de Administração), portal Azure IAM ou CLI do Azure. Pode remover funções usando o portal Azure IAM ou CLI do Azure.
No portal Foundry, gere permissões através de:
- Abre a página de Administrador no Foundry e depois seleciona Operar>Administrador.
- Selecione o nome do seu projeto.
- Selecionar Adicionar utilizador para gerir o acesso ao projeto. Esta ação está disponível apenas se tiver permissões de atribuição de funções.
- Aplique o mesmo fluxo para acesso ao nível de recursos na Foundry.
Pode gerir permissões no portal Azure em Controlo de Acesso (IAM) ou usando CLI do Azure.
Por exemplo, o seguinte comando atribui a função Azure AI User para a joe@contoso.com no grupo de recursos this-rg na subscrição 00000000-0000-0000-0000-000000000000.
az role assignment create --role "Azure AI User" --assignee "joe@contoso.com" --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/this-rg
Criar papéis personalizados para projetos
Se os papéis incorporados não cumprirem os requisitos da sua empresa, crie um papel personalizado que permita controlo preciso sobre as ações e os âmbitos permitidos. Aqui está um exemplo de definição de função personalizada ao nível de subscrição:
{
"properties": {
"roleName": "My Enterprise Foundry User",
"description": "Custom role for Foundry at my enterprise to only allow building Agents. Assign at subscription level.",
"assignableScopes": ["/subscriptions/<your-subscription-id>"],
"permissions": [ {
"actions": ["Microsoft.CognitiveServices/*/read", "Microsoft.Authorization/*/read", "Microsoft.CognitiveServices/accounts/listkeys/action","Microsoft.Resources/deployments/*"],
"notActions": [],
"dataActions": ["Microsoft.CognitiveServices/accounts/AIServices/agents/*"],
"notDataActions": []
} ]
}
}
Para mais informações sobre como criar um papel personalizado, consulte os seguintes artigos.
- Portal Azure
- CLI do Azure
- Azure PowerShell
- Desativar as funcionalidades de pré-visualização no Microsoft Foundry. Este artigo fornece mais detalhes sobre permissões específicas no Foundry através do plano de controlo e de dados, que pode utilizar ao criar funções personalizadas.
Notas e limitações
- Para visualizar e eliminar contas Foundry apagadas, deve ter a função de Contribuidor atribuída no âmbito da subscrição.
- Utilizadores com o papel de Contribuinte podem implementar modelos no Foundry.
- Para criar funções personalizadas num recurso, precisas da função de Proprietário no âmbito desse recurso.
- Se tiver permissões para atribuir funções no Azure (por exemplo, o papel de Proprietário atribuído no âmbito da conta) ao seu user principal, e implementar um recurso Foundry a partir do portal Azure ou da interface do portal Foundry, então o papel de Utilizador IA do Azure é automaticamente atribuído ao seu user principal. Esta atribuição não se aplica ao implementar o Foundry a partir de SDK ou CLI.
- Quando cria um recurso Foundry, as permissões de controlo de acesso baseado em funções (RBAC) incorporadas dão-lhe acesso ao recurso. Para usar recursos criados fora do Foundry, certifique-se de que o recurso tem permissões que lhe permitem aceder a ele. Aqui estão alguns exemplos:
- Para usar uma nova conta do Armazenamento de Blobs do Azure, adicione a identidade gerida do recurso da conta Foundry à função de Leitor de Dados de Blob de Armazenamento nessa conta.
- Para usar uma nova fonte do Pesquisa de IA do Azure, adicione o Foundry às atribuições de funções do Pesquisa de IA do Azure.
- Para afinar um modelo no Foundry, precisas de permissões tanto do plano de dados como do plano de controlo. A implementação de um modelo ajustado é uma autorização do plano de controlo. Portanto, a única função incorporada com permissões tanto no plano de dados como no plano de controlo é a função Azure AI Proprietário. Ou, se preferires, também podes atribuir o papel Azure AI User para permissões do plano de dados e o papel Azure AI Account Owner para permissões do plano de controlo.
Conteúdo relacionado
- Cria um projeto.
- Verifique o acesso de um utilizador a um único recurso Azure.
- Autenticação e Autorização na Foundry.
- Desativar as funcionalidades de pré-visualização no Microsoft Foundry.
- Referência de permissões do agente hospedado.
Apêndice
Exemplos de Isolamento de Acesso
Cada organização pode ter requisitos diferentes de isolamento de acesso, dependendo das personas de utilizador na sua empresa. O isolamento de acesso refere-se a quais utilizadores na sua empresa têm atribuídas funções específicas, quer seja para uma separação de permissões usando as nossas funções incorporadas ou para uma função unificada e altamente permissiva. Existem três opções de isolamento de acesso para a Foundry que pode selecionar para a sua organização, dependendo dos seus requisitos de isolamento de acesso.
Sem isolamento de acesso. Isto significa que, na sua empresa, não tem requisitos que separem permissões entre um programador, gestor de projeto ou administrador. As permissões para estes papéis podem ser atribuídas entre equipas.
Por isso, deves...
- Conceda a todos os utilizadores da sua empresa o papel Azure AI Owner no âmbito dos recursos
Isolamento parcial de acesso. Isto significa que o gestor de projetos na sua empresa deve ser capaz de desenvolver dentro dos projetos, bem como criar projetos. Mas os teus administradores não deviam conseguir desenvolver dentro do Foundry, apenas criar projetos e contas no Foundry.
Por isso, deves...
- Conceda ao seu administrador a função de Azure AI Account Owner no âmbito de recursos
- Atribuir o papel Azure AI Project Manager ao programador e aos gestores de projeto no recurso.
Isolamento total de acesso. Isto significa que os seus administradores, gestores de projeto e programadores têm permissões claras atribuídas que não se sobrepõem para as suas diferentes funções dentro de uma empresa.
Portanto, deverás...
- Conceda ao seu administrador a função Azure IA Proprietário da Conta no âmbito dos recursos.
- Conceda ao seu desenvolvedor o papel de Reader no âmbito dos recursos do Foundry e de Azure AI User no âmbito do projeto.
- Conceda ao seu gestor de projeto a função de Gestor de Projeto Azure IA no âmbito dos recursos
Utilize os grupos Microsoft Entra com Foundry
O Microsoft Entra ID oferece várias formas de gerir o acesso a recursos, aplicações e tarefas. Ao usar grupos Microsoft Entra, pode conceder acesso e permissões a um grupo de utilizadores em vez de a cada utilizador individualmente. Os administradores de TI empresariais podem criar grupos Microsoft Entra no portal do Azure para simplificar o processo de atribuição de funções aos programadores. Ao criar um grupo Microsoft Entra, pode minimizar o número de atribuições de funções necessárias para novos programadores a trabalhar em projetos Foundry, atribuindo ao grupo a atribuição de funções necessária ao recurso necessário.
Complete os seguintes passos para utilizar grupos Microsoft Entra ID com o Foundry:
- Crie um grupo Security em Groups no portal Azure.
- Adicione um proprietário e os principais utilizadores na sua organização que necessitem de acesso partilhado.
- Abra o recurso alvo e vá ao controlo de acesso (IAM).
- Atribua o papel necessário a Utilizador, grupo ou principal de serviço, e selecione o novo grupo de segurança.
- Selecione Rever + atribuir para que a atribuição de função se aplique a todos os membros do grupo.
Exemplos comuns:
- Para construir agentes, executar rastreios e usar as capacidades centrais do Foundry, atribuir Azure AI User ao grupo Microsoft Entra.
- Para utilizar as funcionalidades de Rastreio e Monitorização, atribui o Leitor no recurso Application Insights ligado ao mesmo grupo.
Para saber mais sobre os grupos, pré-requisitos e limitações do Microsoft Entra ID, consulte: