Azure AI Studio 中的角色型存取控制
注意
Azure AI Studio 目前為公開預覽狀態。 此預覽版本沒有服務等級協定,不建議將其用於生產工作負載。 可能不支援特定功能,或可能已經限制功能。 如需詳細資訊,請參閱 Microsoft Azure 預覽版增補使用條款。
在本文中,您將了解如何管理 Azure AI 中樞資源的存取權 (授權)。 Azure 角色型存取控制可用來管理 Azure 資源的存取權,例如是否能夠建立新資源或使用現有資源。 Microsoft Entra ID 的使用者獲派特定角色,因此有權存取資源。 Azure 會同時提供內建角色以及可以建立自訂角色的能力。
警告
套用某些角色可能會限制其他使用者在 Azure AI Studio 中的 UI 功能。 例如,如果使用者的角色沒有建立計算執行個體的能力,則無法在工作室中使用建立計算執行個體的選項。 這是預期的行為,可防止使用者嘗試執行會傳回拒絕存取錯誤的作業。
Azure AI 中樞資源和 Azure AI 專案
在 Azure AI Studio 中,有兩個層級的存取:Azure AI 中樞和 Azure AI 專案。 AI 中樞是基礎結構的所在地(包括虛擬網路設定、客戶管理的密鑰、受控識別和原則),以及您設定 Azure AI 服務的位置。 Azure AI 中樞存取可讓您修改基礎結構、建立新的 Azure AI 中樞資源,以及建立專案。 Azure AI 專案是 Azure AI 中樞資源的子集,可作為工作區使用,讓您可以建置和部署 AI 系統。 在專案中,您可以開發流程、部署模型及管理專案資產。 專案存取權可讓您開發 AI 端對端,同時利用 Azure AI 中樞資源的基礎結構設定。
這種 AI 中樞和 AI 專案關係所帶來的主要優點之一,是開發人員可以建立繼承 AI 中樞安全性設定的自有專案。 您可能還可以讓開發人員成為專案的參與者,但不能建立新的專案。
Azure AI 中樞資源的預設角色
Azure AI Studio 具有預設可供使用的內建角色。 除了讀者、參與者和擁有者角色之外,Azure AI Studio 還有一個稱為 Azure AI 開發人員的新角色。 您可以指派此角色,讓使用者建立連線、計算和專案,但不能讓他們建立新的 Azure AI 中樞資源或變更現有 Azure AI 中樞資源的權限。
以下是 Azure AI 中樞資源的內建角色及其權限資料表:
| 角色 | 描述 |
|---|---|
| 負責人 | Azure AI 中樞資源的完整存取權,包括管理和建立新 Azure AI 中樞資源和指派權限的能力。 此角色會自動指派給 Azure AI 中樞資源建立者 |
| 參與者 | 使用者具有 Azure AI 中樞資源的完整存取權,包括建立新 Azure AI 中樞資源的能力,但無法管理現有資源的 Azure AI 中樞資源權限。 |
| Azure AI 開發人員 | 執行所有動作,但不包括建立新 Azure AI 中樞資源及管理 Azure AI 中樞資源權限。 例如,使用者可以建立專案、計算和連線。 使用者可以在其專案內指派權限。 使用者可以與現有的 Azure AI 資源互動,例如 Azure OpenAI、Azure AI 搜尋服務和 Azure AI 服務。 |
| 讀取者 | 具有 Azure AI 中樞資源的唯讀存取權。 此角色會自動指派給 Azure AI 中樞資源內的所有專案成員。 |
參與者與 Azure AI 開發人員之間的主要差異在於能夠建立新的 Azure AI 中樞資源。 如果您不想讓使用者建立新的 Azure AI 中樞資源 (因為配額、成本或只管理您擁有的 Azure AI 中樞資源數量),請指派 AI 開發人員角色。
只有擁有者和參與者角色可讓您建立 Azure AI 中樞資源。 目前,自訂角色無法授與您建立 Azure AI 中樞資源的權限。
新「Azure AI 開發人員」角色的完整權限集如下所示:
{
"Permissions": [
{
"Actions": [
"Microsoft.MachineLearningServices/workspaces/*/read",
"Microsoft.MachineLearningServices/workspaces/*/action",
"Microsoft.MachineLearningServices/workspaces/*/delete",
"Microsoft.MachineLearningServices/workspaces/*/write"
],
"NotActions": [
"Microsoft.MachineLearningServices/workspaces/delete",
"Microsoft.MachineLearningServices/workspaces/write",
"Microsoft.MachineLearningServices/workspaces/listKeys/action",
"Microsoft.MachineLearningServices/workspaces/hubs/write",
"Microsoft.MachineLearningServices/workspaces/hubs/delete",
"Microsoft.MachineLearningServices/workspaces/featurestores/write",
"Microsoft.MachineLearningServices/workspaces/featurestores/delete"
],
"DataActions": [
"Microsoft.CognitiveServices/accounts/OpenAI/*",
"Microsoft.CognitiveServices/accounts/SpeechServices/*",
"Microsoft.CognitiveServices/accounts/ContentSafety/*"
],
"NotDataActions": [],
"Condition": null,
"ConditionVersion": null
}
]
}
Azure AI 專案的預設角色
Azure AI Studio 中的專案具有預設可供使用的內建角色。 除了讀者、參與者和擁有者角色之外,專案還有 Azure AI 開發人員角色。
以下是 Azure AI 專案的內建角色及其權限資料表:
| 角色 | 描述 |
|---|---|
| 負責人 | Azure AI 專案的完整存取權,包括指派權限給專案使用者的能力。 |
| 參與者 | 使用者擁有 Azure AI 專案的完整存取權,但無法指派權限給專案使用者。 |
| Azure AI 開發人員 | 使用者可以執行包括建立部署在內的大部分動作,但無法將權限指派給專案使用者。 |
| 讀取者 | 具有 Azure AI 專案的唯讀存取權。 |
當使用者獲得專案存取權時 (例如,透過 AI Studio 權限管理),系統會自動將另外兩個角色指派給使用者。 第一個角色是 Azure AI 中樞資源的讀者。 第二個角色是推斷部署操作員角色,可讓使用者在專案所在的資源群組中建立部署。 此角色包含這兩個權限:"Microsoft.Authorization/*/read" 和 "Microsoft.Resources/deployments/*"。
為了完成端對端 AI 開發和部署,使用者只需要這兩個自動指派的角色,以及專案的參與者或 Azure AI 開發人員角色。
建立 AI 專案資源所需的最低權限是允許在 AI 中樞資源上執行 Microsoft.MachineLearningServices/workspaces/hubs/join 動作的角色。 Azure AI 開發人員內建角色具有此權限。
相依性服務 RBAC 權限
Azure AI 中樞資源具有相依於其他 Azure 服務的相依性。 下表列出建立 Azure AI 中樞資源時這些服務所需要的權限。 建立 AI 中樞的人員必須擁有這些權限。 從 AI 中樞建立 AI 專案的人員不需要這些權限。
| 權限 | 目的 |
|---|---|
Microsoft.Storage/storageAccounts/write |
使用指定參數建立儲存體帳戶、更新指定儲存體帳戶的屬性或標記,或新增指定儲存體帳戶的自訂網域。 |
Microsoft.KeyVault/vaults/write |
建立新的金鑰保存庫,或更新現有金鑰保存庫的屬性。 某些屬性可能需要更多權限。 |
Microsoft.CognitiveServices/accounts/write |
寫入 API 帳戶。 |
Microsoft.Insights/Components/Write |
寫入 Application Insights 元件設定。 |
Microsoft.OperationalInsights/workspaces/write |
建立新的工作區,或藉由提供來自現有工作區的客戶識別碼來連結至現有工作區。 |
企業 RBAC 設定範例
以下範例示範如何為企業的 Azure AI Studio 設定角色型存取控制。
| 角色 | 角色 | 目的 |
|---|---|---|
| IT 系統管理員 | Azure AI 中樞資源的擁有者 | IT 系統管理員可以確保 Azure AI 中樞資源已設定為其企業標準,並將資源的「參與者」角色指派給管理員,以便讓管理員建立新的 Azure AI 中樞資源,或將資源的 Azure AI 開發人員角色指派給管理員,以不允許其建立新的 Azure AI 中樞資源。 |
| 主管 | Azure AI 中樞資源的參與者或 Azure AI 開發人員 | 管理員可以管理 AI 中樞、稽核計算資源、稽核連線,以及建立共享連線。 |
| 小組主管/潛在客戶開發人員 | Azure AI 中樞資源的 Azure AI 開發人員 | 潛在客戶開發人員可以為其小組建立專案,並在 Azure AI 中樞資源層級建立共用資源 (例如:計算和連線)。 專案建立之後,專案擁有者就可以邀請其他成員。 |
| 小組成員/開發人員 | Azure AI 專案的參與者或 Azure AI 開發人員 | 開發人員可以在專案中建置和部署 AI 模型,並建立可用於計算和連線等開發作業的資產。 |
在 Azure AI 中樞資源外部建立的資源存取權
當您建立 Azure AI 中樞資源時,內建的角色型存取控制權限會授與您使用資源的存取權。 不過,如果您想要在代表您建立的資源之外使用資源,您必須確保下列兩項:
- 您嘗試使用的資源已設定權限,可讓您存取該資源。
- 您的 Azure AI 中樞資源可以存取該資源。
例如,如果您嘗試取用新的 Blob 儲存體,則必須確定 Azure AI 中樞資源的受控識別已新增至 Blob 的 Blob 儲存體讀者角色。 如果嘗試使用新的 Azure AI 搜尋服務來源,您可能需要將 Azure AI 中樞資源新增至 Azure AI 搜尋服務的角色指派中。
使用角色管理存取權
如果您是 Azure AI 中樞資源的擁有者,您可以新增和移除 Studio 的角色。 在 Azure AI Studio 中,移至 [管理],然後選取您的 Azure AI 中樞資源。 然後選取 [權限] 以新增和移除 Azure AI 中樞資源的使用者。 您也可以在 Azure 入口網站的存取控制 (IAM) 之下或透過 Azure CLI 來管理權限。 例如,在 Azure CLI 中使用下列命令,將 Azure AI 開發人員角色指派給資源群組 "this-rg" 的 joe@contoso.com:
az role assignment create --role "Azure AI Developer" --assignee "joe@contoso.com" --resource-group this-rg
建立自訂角色
注意
若要建立新的 Azure AI 中樞資源,您必須具備擁有者或參與者角色。 目前,自訂角色 (即便允許所有動作) 無法讓您建立 Azure AI 中樞資源。
如果內建角色不足,您可以建立自訂角色。 自訂角色可具有該 AI Studio 中的讀取、寫入、刪除和計算資源權限。 您可以在特定專案層級、特定資源群組層級或特定訂用帳戶層級提供該角色。
注意
您必須是該層級資源的擁有者,才能在該資源內建立自訂角色。
案例:使用客戶管理的密鑰
使用客戶自控金鑰 (CMK) 時,會使用 Azure Key Vault 來儲存金鑰。 用來建立工作區的使用者或服務主體必須擁有金鑰保存庫的擁有者或參與者存取權。
如果您的 Azure AI 中樞已設定為 使用者指派的受控識別,則必須將身分識別授與下列角色。 這些角色可讓受控識別建立使用客戶管理密鑰時所使用的 Azure 儲存體、Azure Cosmos DB 和 Azure 搜尋服務資源:
Microsoft.Storage/storageAccounts/writeMicrosoft.Search/searchServices/writeMicrosoft.DocumentDB/databaseAccounts/write
在金鑰保存庫中,使用者或服務主體必須透過金鑰保存庫存取原則建立、取得、刪除和清除金鑰的存取權。 如需詳細資訊,請參閱 Azure Key Vault 安全性。
案例:使用現有的 Azure OpenAI 資源
當您建立現有 Azure OpenAI 資源的連線時,您也必須將角色指派給使用者,讓他們可以存取資源。 視需要執行的工作而定,您應該指派 認知服務 OpenAI 使用者 或 認知服務 OpenAI 參與者 角色。 如需這些角色及其啟用工作的資訊,請參閱 Azure OpenAI 角色。
案例:使用 Azure Container Registry
Azure Container Registry 實例是 Azure AI Studio 中樞的選擇性相依性。 下表列出向 Azure Container Registry 驗證中樞時的支援矩陣,視驗證方法和 Azure Container Registry 的公用網路存取組態而定。
| 驗證方法 | 已停用公用網路存取 |
已啟用 Azure Container Registry 公用網路存取 |
|---|---|---|
| 管理使用者 | ✓ | ✓ |
| AI Studio 中樞系統指派的受控識別 | ✓ | ✓ |
| AI Studio 中樞使用者指派的受控識別 , 且具有指派給身分識別的 ACRPull 角色 |
✓ |
建立 Azure AI 中樞時,系統指派的受控識別會自動指派給正確的角色。 如果您使用使用者指派的受控識別,則必須將 ACRPull 角色指派給身分識別。