Op rollen gebaseerd toegangsbeheer in azure AI Foundry Portal
In dit artikel leert u hoe u toegang (autorisatie) beheert tot een Azure AI Foundry-hub . Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) wordt gebruikt om de toegang tot Azure-resources te beheren, zoals de mogelijkheid om nieuwe resources te maken of bestaande resources te gebruiken. Gebruikers in uw Microsoft Entra ID krijgen specifieke rollen toegewezen, die toegang verlenen tot resources. Azure biedt zowel ingebouwde rollen als de mogelijkheid om aangepaste rollen te maken.
Waarschuwing
Het toepassen van sommige rollen kan de ui-functionaliteit beperken in de Azure AI Foundry-portal voor andere gebruikers. Als de rol van een gebruiker bijvoorbeeld niet over de mogelijkheid beschikt om een rekenproces te maken, is de optie voor het maken van een rekenproces niet beschikbaar in studio. Dit gedrag wordt verwacht en voorkomt dat de gebruiker bewerkingen probeert uit te voeren die een fout 'Toegang geweigerd' retourneren.
Azure AI Foundry Hub versus project
In de Azure AI Foundry-portal zijn er twee toegangsniveaus: de hub en het project. De hub is de thuisbasis van de infrastructuur (waaronder het instellen van virtuele netwerken, door de klant beheerde sleutels, beheerde identiteiten en beleid) en waar u uw Azure AI-services configureert. Met hubtoegang kunt u de infrastructuur wijzigen, nieuwe hubs maken en projecten maken. Projecten vormen een subset van de hub die fungeert als werkruimten waarmee u AI-systemen kunt bouwen en implementeren. Binnen een project kunt u stromen ontwikkelen, modellen implementeren en projectassets beheren. Met projecttoegang kunt u end-to-end AI ontwikkelen terwijl u profiteert van de infrastructuurconfiguratie op de hub.
Een van de belangrijkste voordelen van de hub- en projectrelatie is dat ontwikkelaars hun eigen projecten kunnen maken die de beveiligingsinstellingen van de hub overnemen. Mogelijk hebt u ook ontwikkelaars die inzenders zijn voor een project en u kunt geen nieuwe projecten maken.
Standaardrollen voor de hub
De Azure AI Foundry-hub heeft ingebouwde rollen die standaard beschikbaar zijn.
Hier volgt een tabel met de ingebouwde rollen en de bijbehorende machtigingen voor de hub:
| Rol | Beschrijving |
|---|---|
| Eigenaar | Volledige toegang tot de hub, inclusief de mogelijkheid om nieuwe hubs te beheren en te maken en machtigingen toe te wijzen. Deze rol wordt automatisch toegewezen aan de maker van de hub |
| Inzender | De gebruiker heeft volledige toegang tot de hub, inclusief de mogelijkheid om nieuwe hubs te maken, maar kan geen hubmachtigingen voor de bestaande resource beheren. |
| Azure AI-beheerder (preview) | Deze rol wordt automatisch toegewezen aan de door het systeem toegewezen beheerde identiteit voor de hub. De rol Azure AI-beheerder heeft de minimale machtigingen die nodig zijn voor de beheerde identiteit om de taken uit te voeren. Zie de azure AI-beheerdersrol (preview) voor meer informatie. |
| Azure AI Developer | Voer alle acties uit, behalve nieuwe hubs maken en de hubmachtigingen beheren. Gebruikers kunnen bijvoorbeeld projecten, berekeningen en verbindingen maken. Gebruikers kunnen machtigingen toewijzen binnen hun project. Gebruikers kunnen communiceren met bestaande Azure AI-resources, zoals Azure OpenAI, Azure AI Search en Azure AI-services. |
| Azure AI-deductie-implementatieoperator | Voer alle acties uit die nodig zijn om een resource-implementatie in een resourcegroep te maken. |
| Lezer | Alleen-lezentoegang tot de hub. Deze rol wordt automatisch toegewezen aan alle projectleden binnen de hub. |
Het belangrijkste verschil tussen Inzender en Azure AI Developer is de mogelijkheid om nieuwe hubs te maken. Als u niet wilt dat gebruikers nieuwe hubs maken (vanwege quotum, kosten of alleen beheren hoeveel hubs u hebt), wijst u de Azure AI Developer-rol toe.
Alleen de rollen Eigenaar en Inzender stellen u in staat om een hub te maken. Op dit moment kunnen aangepaste rollen u geen toestemming geven om hubs te maken.
Azure AI-beheerdersrol (preview)
Vóór 11-19-2024 werd de door het systeem toegewezen beheerde identiteit die voor de hub is gemaakt, automatisch de rol Inzender toegewezen voor de resourcegroep die de hub en projecten bevat. Hubs die na deze datum zijn gemaakt, hebben de door het systeem toegewezen beheerde identiteit toegewezen aan de rol Azure AI-beheerder . Deze rol wordt beperkter beperkt tot de minimale machtigingen die nodig zijn voor de beheerde identiteit om de taken uit te voeren.
De rol Azure AI-beheerder is momenteel beschikbaar als openbare preview.
Belangrijk
Items die in dit artikel zijn gemarkeerd (preview) zijn momenteel beschikbaar als openbare preview. Deze preview wordt aangeboden zonder een service level agreement en we raden deze niet aan voor productieworkloads. Misschien worden bepaalde functies niet ondersteund of zijn de mogelijkheden ervan beperkt. Zie Aanvullende gebruiksvoorwaarden voor Microsoft Azure-previews voor meer informatie.
De rol Azure AI-beheerder heeft de volgende machtigingen:
{
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.CognitiveServices/*",
"Microsoft.ContainerRegistry/registries/*",
"Microsoft.DocumentDb/databaseAccounts/*",
"Microsoft.Features/features/read",
"Microsoft.Features/providers/features/read",
"Microsoft.Features/providers/features/register/action",
"Microsoft.Insights/alertRules/*",
"Microsoft.Insights/components/*",
"Microsoft.Insights/diagnosticSettings/*",
"Microsoft.Insights/generateLiveToken/read",
"Microsoft.Insights/logDefinitions/read",
"Microsoft.Insights/metricAlerts/*",
"Microsoft.Insights/metricdefinitions/read",
"Microsoft.Insights/metrics/read",
"Microsoft.Insights/scheduledqueryrules/*",
"Microsoft.Insights/topology/read",
"Microsoft.Insights/transactions/read",
"Microsoft.Insights/webtests/*",
"Microsoft.KeyVault/*",
"Microsoft.MachineLearningServices/workspaces/*",
"Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/deployments/operations/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourcegroups/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Storage/storageAccounts/*",
"Microsoft.Support/*",
"Microsoft.Search/searchServices/write",
"Microsoft.Search/searchServices/read",
"Microsoft.Search/searchServices/delete",
"Microsoft.Search/searchServices/indexes/*",
"Microsoft.DataFactory/factories/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
Tip
U wordt aangeraden hubs te converteren die vóór 11-19-2024 zijn gemaakt om de azure AI-beheerdersrol te gebruiken. De rol Azure AI-beheerder is beperkter dan de eerder gebruikte rol Inzender en volgt de principal van minimale bevoegdheden.
U kunt hubs die vóór 11-19-2024 zijn gemaakt, converteren om de nieuwe Azure AI-beheerdersrol te gebruiken met behulp van een van de volgende methoden:
Azure REST API: Gebruik een
PATCHaanvraag voor de Azure REST API voor de werkruimte. De hoofdtekst van de aanvraag moet worden ingesteld{"properties":{"allowRoleAssignmeentOnRG":true}}. In het volgende voorbeeld ziet u eenPATCHaanvraag met behulp vancurl. Vervang ,<resource-group-name>,<workspace-name>en<YOUR-ACCESS-TOKEN>door<your-subscription>de waarden voor uw scenario. Voor meer informatie over het gebruik van REST API's raadpleegt u de Documentatie van de Azure REST API.curl -X PATCH https://management.azure.com/subscriptions/<your-subscription>/resourcegroups/<resource-group-name>/providers/Microsoft.MachineLearningServices/workspaces/<workspace-name>?api-version=2024-04-01-preview -H "Authorization:Bearer <YOUR-ACCESS-TOKEN>"Azure CLI: Gebruik de
az ml workspace updateopdracht met de--allow-roleassignment-on-rg trueparameter. In het volgende voorbeeld wordt een werkruimte bijgewerkt met de naammyworkspace. Voor deze opdracht is de Azure Machine Learning CLI-extensie versie 2.27.0 of hoger vereist.az ml workspace update --name myworkspace --allow-roleassignment-on-rg trueAzure Python SDK: stel de
allow_roleassignment_on_rgeigenschap van het werkruimteobjectTruein op en voer vervolgens een updatebewerking uit. In het volgende voorbeeld wordt een werkruimte bijgewerkt met de naammyworkspace. Voor deze bewerking is azure Machine Learning SDK versie 1.17.0 of hoger vereist.ws = ml_client.workspaces.get(name="myworkspace") ws.allow_roleassignment_on_rg = True ws = ml_client.workspaces.begin_update(workspace=ws).result()
Als u problemen ondervindt met de rol Azure AI-beheerder, kunt u terugkeren naar de rol Inzender als een probleemoplossingsstap. Zie Terugkeren naar de rol Inzender voor meer informatie.
Azure AI-ontwikkelaarsrol
De volledige set machtigingen voor de nieuwe rol 'Azure AI Developer' zijn als volgt:
{
"Permissions": [
{
"Actions": [
"Microsoft.MachineLearningServices/workspaces/*/read",
"Microsoft.MachineLearningServices/workspaces/*/action",
"Microsoft.MachineLearningServices/workspaces/*/delete",
"Microsoft.MachineLearningServices/workspaces/*/write",
"Microsoft.MachineLearningServices/locations/*/read",
"Microsoft.Authorization/*/read",
"Microsoft.Resources/deployments/*"
],
"NotActions": [
"Microsoft.MachineLearningServices/workspaces/delete",
"Microsoft.MachineLearningServices/workspaces/write",
"Microsoft.MachineLearningServices/workspaces/listKeys/action",
"Microsoft.MachineLearningServices/workspaces/hubs/write",
"Microsoft.MachineLearningServices/workspaces/hubs/delete",
"Microsoft.MachineLearningServices/workspaces/featurestores/write",
"Microsoft.MachineLearningServices/workspaces/featurestores/delete"
],
"DataActions": [
"Microsoft.CognitiveServices/accounts/OpenAI/*",
"Microsoft.CognitiveServices/accounts/SpeechServices/*",
"Microsoft.CognitiveServices/accounts/ContentSafety/*"
],
"NotDataActions": [],
"Condition": null,
"ConditionVersion": null
}
]
}
Als de ingebouwde Azure AI Developer-rol niet aan uw behoeften voldoet, kunt u een aangepaste rol maken.
Standaardrollen voor projecten
Projecten in de Azure AI Foundry-portal hebben ingebouwde rollen die standaard beschikbaar zijn.
Hier volgt een tabel met de ingebouwde rollen en de bijbehorende machtigingen voor het project:
| Rol | Beschrijving |
|---|---|
| Eigenaar | Volledige toegang tot het project, inclusief de mogelijkheid om machtigingen toe te wijzen aan projectgebruikers. |
| Inzender | De gebruiker heeft volledige toegang tot het project, maar kan geen machtigingen toewijzen aan projectgebruikers. |
| Azure AI-beheerder (preview) | Deze rol wordt automatisch toegewezen aan de door het systeem toegewezen beheerde identiteit voor de hub. De rol Azure AI-beheerder heeft de minimale machtigingen die nodig zijn voor de beheerde identiteit om de taken uit te voeren. Zie de azure AI-beheerdersrol (preview) voor meer informatie. |
| Azure AI Developer | De gebruiker kan de meeste acties uitvoeren, waaronder implementaties maken, maar kan geen machtigingen toewijzen aan projectgebruikers. |
| Azure AI-deductie-implementatieoperator | Voer alle acties uit die nodig zijn om een resource-implementatie in een resourcegroep te maken. |
| Lezer | Alleen-lezentoegang tot het project. |
Wanneer een gebruiker toegang krijgt tot een project (bijvoorbeeld via het machtigingsbeheer van de Azure AI Foundry-portal), worden er automatisch twee rollen toegewezen aan de gebruiker. De eerste rol is Lezer op de hub. De tweede rol is de rol Implementatieoperator voor deductie, waarmee de gebruiker implementaties kan maken in de resourcegroep waarin het project zich bevindt. Deze rol bestaat uit deze twee machtigingen: "Microsoft.Authorization/*/read" en "Microsoft.Resources/deployments/*".
Om end-to-end AI-ontwikkeling en -implementatie te voltooien, hebben gebruikers alleen deze twee automatisch toegewezen rollen nodig en de rol Inzender of Azure AI Developer voor een project.
De minimale machtigingen die nodig zijn om een project te maken, is een rol die de toegestane actie van Microsoft.MachineLearningServices/workspaces/hubs/join de hub heeft. De ingebouwde rol azure AI Developer heeft deze machtiging.
Azure RBAC-machtigingen voor de afhankelijkheidsservice
De hub heeft afhankelijkheden van andere Azure-services. De volgende tabel bevat de machtigingen die vereist zijn voor deze services wanneer u een hub maakt. De persoon die de hub maakt, heeft deze machtigingen nodig. De persoon die een project van de hub maakt, heeft deze niet nodig.
| Machtiging | Doel |
|---|---|
Microsoft.Storage/storageAccounts/write |
Maak een opslagaccount met de opgegeven parameters of werk de eigenschappen of tags bij of voegt aangepast domein toe voor het opgegeven opslagaccount. |
Microsoft.KeyVault/vaults/write |
Maak een nieuwe sleutelkluis of werk de eigenschappen van een bestaande sleutelkluis bij. Voor bepaalde eigenschappen zijn mogelijk meer machtigingen vereist. |
Microsoft.CognitiveServices/accounts/write |
API-accounts schrijven. |
Microsoft.MachineLearningServices/workspaces/write |
Maak een nieuwe werkruimte of werk de eigenschappen van een bestaande werkruimte bij. |
Voorbeeld van enterprise RBAC-installatie
De volgende tabel is een voorbeeld van het instellen van op rollen gebaseerd toegangsbeheer voor uw Azure AI Foundry voor een onderneming.
| Persona | Role | Doel |
|---|---|---|
| IT-beheerder | Eigenaar van de hub | De IT-beheerder kan ervoor zorgen dat de hub is ingesteld op hun bedrijfsstandaarden. Ze kunnen managers de rol Inzender toewijzen aan de resource als ze managers in staat willen stellen om nieuwe hubs te maken. Of ze kunnen managers de Rol Azure AI Developer toewijzen aan de resource om het maken van nieuwe hubs niet toe te staan. |
| Managers | Inzender of Azure AI Developer op de hub | Managers kunnen de hub beheren, rekenresources controleren, verbindingen controleren en gedeelde verbindingen maken. |
| Teamleider/leadontwikkelaar | Azure AI Developer op de hub | Potentiële ontwikkelaars kunnen projecten maken voor hun team en gedeelde resources maken (zoals berekeningen en verbindingen) op hubniveau. Nadat het project is gemaakt, kunnen projecteigenaren andere leden uitnodigen. |
| Teamleden/ontwikkelaars | Inzender of Azure AI Developer in het project | Ontwikkelaars kunnen AI-modellen bouwen en implementeren binnen een project en assets maken die ontwikkeling mogelijk maken, zoals berekeningen en verbindingen. |
Toegang tot resources die buiten de hub zijn gemaakt
Wanneer u een hub maakt, verleent de ingebouwde op rollen gebaseerd toegangsbeheer u toegang tot het gebruik van de resource. Als u echter resources wilt gebruiken buiten wat er namens u is gemaakt, moet u ervoor zorgen dat beide:
- De resource die u probeert te gebruiken, machtigingen heeft ingesteld om u toegang te geven tot de resource.
- Uw hub mag er toegang toe krijgen.
Als u bijvoorbeeld een nieuwe Blob-opslag wilt gebruiken, moet u ervoor zorgen dat de beheerde identiteit van de hub wordt toegevoegd aan de rol Blob Storage Reader voor de blob. Als u een nieuwe Azure AI Search-bron wilt gebruiken, moet u de hub mogelijk toevoegen aan de roltoewijzingen van Azure AI Search.
Toegang beheren met rollen
Als u een eigenaar van een hub bent, kunt u rollen toevoegen en verwijderen voor Azure AI Foundry. Ga naar de startpagina in Azure AI Foundry en selecteer uw hub. Selecteer vervolgens Gebruikers om gebruikers toe te voegen en te verwijderen voor de hub. U kunt ook machtigingen beheren vanuit Azure Portal onder Toegangsbeheer (IAM) of via de Azure CLI. Gebruik bijvoorbeeld de Azure CLI om de Azure AI-ontwikkelaarsrol toe te wijzen aan 'joe@contoso.com' voor resourcegroep 'this-rg' met de volgende opdracht:
az role assignment create --role "Azure AI Developer" --assignee "joe@contoso.com" --resource-group this-rg
Aangepast rollen maken
Als de ingebouwde rollen niet voldoen, kunt u aangepaste rollen maken. Aangepaste rollen hebben mogelijk de machtigingen voor lees-, schrijf-, verwijder- en rekenresources in die Azure AI Foundry. U kunt de rol beschikbaar maken op een specifiek projectniveau, een specifiek resourcegroepniveau of een specifiek abonnementsniveau.
Notitie
U moet eigenaar zijn van de resource op dat niveau om aangepaste rollen binnen die resource te maken.
In het volgende JSON-voorbeeld wordt een aangepaste Azure AI Foundry-ontwikkelaarsrol gedefinieerd op abonnementsniveau:
{
"properties": {
"roleName": "Azure AI Foundry Developer",
"description": "Custom role for Azure AI Foundry. At subscription level",
"assignableScopes": [
"/subscriptions/<your-subscription-id>"
],
"permissions": [
{
"actions": [
"Microsoft.MachineLearningServices/workspaces/write",
"Microsoft.MachineLearningServices/workspaces/endpoints/write",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.KeyVault/vaults/write",
"Microsoft.Authorization/roleAssignments/read",
"Microsoft.Authorization/roleDefinitions/read",
"Microsoft.CognitiveServices/*/read"
],
"notActions": [
"Microsoft.MachineLearningServices/workspaces/delete",
"Microsoft.MachineLearningServices/workspaces/write",
"Microsoft.MachineLearningServices/workspaces/listKeys/action",
"Microsoft.MachineLearningServices/workspaces/hubs/write",
"Microsoft.MachineLearningServices/workspaces/hubs/delete",
"Microsoft.MachineLearningServices/workspaces/featurestores/write",
"Microsoft.MachineLearningServices/workspaces/featurestores/delete"
],
"dataActions": [
"Microsoft.CognitiveServices/accounts/OpenAI/*/read",
"Microsoft.CognitiveServices/accounts/OpenAI/engines/completions/action",
"Microsoft.CognitiveServices/accounts/OpenAI/engines/search/action",
"Microsoft.CognitiveServices/accounts/OpenAI/engines/generate/action",
"Microsoft.CognitiveServices/accounts/OpenAI/deployments/search/action",
"Microsoft.CognitiveServices/accounts/OpenAI/deployments/completions/action",
"Microsoft.CognitiveServices/accounts/OpenAI/deployments/chat/completions/action",
"Microsoft.CognitiveServices/accounts/OpenAI/deployments/extensions/chat/completions/action",
"Microsoft.CognitiveServices/accounts/OpenAI/deployments/embeddings/action",
"Microsoft.CognitiveServices/accounts/OpenAI/images/generations/action"
],
"notDataActions": []
}
]
}
}
Gebruik een van de volgende artikelen voor stappen voor het maken van een aangepaste rol:
Voor meer informatie over het maken van aangepaste rollen in het algemeen, gaat u naar het artikel over aangepaste Azure-rollen .
Rollen toewijzen in de Azure AI Foundry-portal
U kunt gebruikers toevoegen en rollen rechtstreeks vanuit Azure AI Foundry toewijzen op hub- of projectniveau. Selecteer in het beheercentrum Gebruikers in de hub- of projectsectie en selecteer vervolgens Nieuwe gebruiker om een gebruiker toe te voegen.
Notitie
U bent beperkt tot het selecteren van ingebouwde rollen. Als u aangepaste rollen wilt toewijzen, moet u Azure Portal, Azure CLI of Azure PowerShell gebruiken.
Vervolgens wordt u gevraagd om de gebruikersgegevens in te voeren en een ingebouwde rol te selecteren.
Scenario: Een door de klant beheerde sleutel gebruiken
Wanneer u een hub configureert voor het gebruik van een door de klant beheerde sleutel (CMK), wordt een Azure Key Vault gebruikt om de sleutel op te slaan. De gebruiker of service-principal die wordt gebruikt om de werkruimte te maken, moet eigenaar- of inzendertoegang hebben tot de sleutelkluis.
Als uw Azure AI Foundry-hub is geconfigureerd met een door de gebruiker toegewezen beheerde identiteit, moet de identiteit de volgende rollen krijgen. Met deze rollen kan de beheerde identiteit de Azure Storage-, Azure Cosmos DB- en Azure Search-resources maken die worden gebruikt bij het gebruik van een door de klant beheerde sleutel:
Microsoft.Storage/storageAccounts/writeMicrosoft.Search/searchServices/writeMicrosoft.DocumentDB/databaseAccounts/write
Binnen de sleutelkluis moet de gebruiker of service-principal de toegang tot de sleutel maken, ophalen, verwijderen en opschonen via een sleutelkluistoegangsbeleid. Zie Azure Key Vault-beveiliging voor meer informatie.
Scenario: Verbindingen met Microsoft Entra ID-verificatie
Wanneer u een verbinding maakt die gebruikmaakt van Microsoft Entra ID-verificatie, moet u rollen toewijzen aan uw ontwikkelaars, zodat ze toegang hebben tot de resource.
| Resourceverbinding | Rol | Beschrijving |
|---|---|---|
| Azure AI Search | Inzender | API-sleutels vermelden om indexen van Azure AI Foundry weer te geven. |
| Azure AI Search | Inzender voor zoekindexgegevens | Vereist voor indexeringsscenario's |
| Azure AI-services/Azure OpenAI | Cognitive Services OpenAI-inzender | Roep de openbare opname-API aan vanuit Azure AI Foundry. |
| Azure AI-services/Azure OpenAI | Cognitive Services-gebruiker | Api-sleutels van Azure AI Foundry vermelden. |
| Azure AI-services/Azure OpenAI | Cognitive Services-inzender | Hiermee kunt u oproepen naar het besturingsvlak uitvoeren. |
| Azure Blob-opslag | Inzender voor opslagblobgegevens | Vereist voor het lezen en schrijven van gegevens naar de blobopslag. |
| Azure Data Lake Storage Gen 2 | Inzender voor opslagblobgegevens | Vereist voor het lezen en schrijven van gegevens naar de data lake. |
| Microsoft OneLake | Inzender | Als u iemand toegang wilt geven tot Microsoft OneLake, moet u hen toegang geven tot uw Microsoft Fabric-werkruimte. |
Belangrijk
Als u Promptflow gebruikt met Azure Storage (inclusief Azure Data Lake Storage Gen 2), moet u ook de rol Inzender voor opslagbestandsgegevens toewijzen.
Wanneer u geverifieerde verbindingen van Microsoft Entra ID in de chatspeeltuin gebruikt, moeten de services elkaar machtigen voor toegang tot de vereiste resources. De beheerder die de configuratie uitvoert, moet de rol Eigenaar voor deze resources hebben om roltoewijzingen toe te voegen. De volgende tabel bevat de vereiste roltoewijzingen voor elke resource. De kolom Toegewezen gebruiker verwijst naar de door het systeem toegewezen beheerde identiteit van de vermelde resource. De kolom Resource verwijst naar de resource waartoe de toegewezen gebruiker toegang moet hebben. Azure OpenAI heeft bijvoorbeeld een door het systeem toegewezen beheerde identiteit waaraan de rol Search Index Data Reader voor de Azure AI Search-resource moet worden toegewezen.
| Role | Gevolmachtigde | Bron | Beschrijving |
|---|---|---|---|
| Zoekindexgegevenslezer | Azure AI-services/Azure OpenAI | Azure AI Search | Deductieservice voert een query uit op de gegevens uit de index. Alleen gebruikt voor deductiescenario's. |
| Inzender voor zoekindexgegevens | Azure AI-services/Azure OpenAI | Azure AI Search | Lees-schrijftoegang tot inhoud in indexen. Importeer, vernieuw of voer een query uit op de verzameling documenten van een index. Alleen gebruikt voor opname- en deductiescenario's. |
| Inzender voor zoekservice | Azure AI-services/Azure OpenAI | Azure AI Search | Lees-schrijftoegang tot objectdefinities (indexen, aliassen, synoniemenkaarten, indexeerfuncties, gegevensbronnen en vaardighedensets). Deductieservice voert een query uit op het indexschema voor automatisch toewijzen van velden. De gegevensopnameservice maakt index, gegevensbronnen, vaardighedenset, indexeerfunctie en voert query's uit op de status van de indexeerfunctie. |
| Cognitive Services OpenAI-inzender | Azure AI Search | Azure AI-services/Azure OpenAI | Aangepaste vaardigheid |
| Cognitive Services OpenAI-gebruiker | Azure OpenAI-resource voor chatmodel | Azure OpenAI-resource voor het insluiten van model | Alleen vereist als u twee Azure OpenAI-resources gebruikt om te communiceren. |
| Inzender voor opslagblobgegevens | Azure AI Search | Azure-opslagaccount | Leest blob en schrijft kennisarchief. |
| Inzender voor opslagblobgegevens | Azure AI-services/Azure OpenAI | Azure-opslagaccount | Leest uit de invoercontainer en schrijft de resultaten van de voorverwerking naar de uitvoercontainer. |
Notitie
De Gebruikersrol Cognitive Services OpenAI is alleen vereist als u twee Azure OpenAI-resources gebruikt: één voor uw chatmodel en één voor uw insluitmodel. Als dit van toepassing is, schakelt u Vertrouwde services in en zorgt u ervoor dat voor de verbinding voor uw Azure OpenAI-resource Microsoft Entra-id is ingeschakeld.
Scenario: Een bestaande Azure OpenAI-resource gebruiken
Wanneer u een verbinding maakt met een bestaande Azure OpenAI-resource, moet u ook rollen toewijzen aan uw gebruikers, zodat ze toegang hebben tot de resource. U moet de rol Cognitive Services OpenAI-gebruiker of Cognitive Services OpenAI-inzender toewijzen, afhankelijk van de taken die ze moeten uitvoeren. Zie Azure OpenAI-rollen voor informatie over deze rollen en de taken die ze inschakelen.
Scenario: Azure Container Registry gebruiken
Een Azure Container Registry-exemplaar is een optionele afhankelijkheid voor Azure AI Foundry Hub. De volgende tabel bevat de ondersteuningsmatrix bij het verifiëren van een hub naar Azure Container Registry, afhankelijk van de verificatiemethode en de configuratie van openbare netwerktoegang vanAzure Container Registry.
| Verificatiemethode | Openbare netwerktoegang uitgeschakeld |
Openbare netwerktoegang van Azure Container Registry ingeschakeld |
|---|---|---|
| Beheerder | ✓ | ✓ |
| Door het systeem toegewezen beheerde identiteit van Azure AI Foundry Hub | ✓ | ✓ |
| Door de gebruiker toegewezen beheerde identiteit van Azure AI Foundry Hub met de ACRPull-rol toegewezen aan de identiteit |
✓ |
Een door het systeem toegewezen beheerde identiteit wordt automatisch toegewezen aan de juiste rollen wanneer de hub wordt gemaakt. Als u een door de gebruiker toegewezen beheerde identiteit gebruikt, moet u de ACRPull-rol toewijzen aan de identiteit.
Scenario: Azure-toepassing Insights gebruiken voor logboekregistratie
Azure-toepassing Insights is een optionele afhankelijkheid voor Azure AI Foundry Hub. De volgende tabel bevat de vereiste machtigingen als u Application Insights wilt gebruiken wanneer u een hub maakt. De persoon die de hub maakt, heeft deze machtigingen nodig. De persoon die een project van de hub maakt, heeft deze machtigingen niet nodig.
| Machtiging | Doel |
|---|---|
Microsoft.Insights/Components/Write |
Schrijf naar een configuratie van een Application Insights-onderdeel. |
Microsoft.OperationalInsights/workspaces/write |
Maak een nieuwe werkruimte of koppelingen naar een bestaande werkruimte door de klant-id van de bestaande werkruimte op te geven. |
Scenario: Ingerichte doorvoereenheidcurer
In het volgende voorbeeld wordt een aangepaste rol gedefinieerd die ingerichte doorvoereenheden (PTU) kan aanschaffen.
{
"properties": {
"roleName": "PTU procurer",
"description": "Custom role to purchase PTU",
"assignableScopes": [
"/subscriptions/<your-subscription-id>"
],
"permissions": [
{
"actions": [
"Microsoft.CognitiveServices/accounts/commitmentplans/read",
"Microsoft.CognitiveServices/accounts/commitmentplans/write",
"Microsoft.CognitiveServices/accounts/commitmentplans/delete",
"Microsoft.CognitiveServices/locations/commitmentTiers/read",
"Microsoft.CognitiveServices/accounts/commitmentplans/read",
"Microsoft.CognitiveServices/accounts/commitmentplans/write",
"Microsoft.CognitiveServices/accounts/commitmentplans/delete",
"Microsoft.Features/features/read",
"Microsoft.Features/providers/features/read",
"Microsoft.Features/providers/features/register/action",
"Microsoft.Insights/logDefinitions/read",
"Microsoft.Insights/metricdefinitions/read",
"Microsoft.Insights/metrics/read",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/operations/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourcegroups/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Scenario: Azure OpenAI Assistants API
In het volgende voorbeeld wordt een rol gedefinieerd voor een ontwikkelaar met behulp van Azure OpenAI-assistenten.
{
"id": "",
"properties": {
"roleName": "Azure OpenAI Assistants API Developer",
"description": "Custom role to work with Azure OpenAI Assistants API",
"assignableScopes": [
"<your-scope>"
],
"permissions": [
{
"actions": [
"Microsoft.CognitiveServices/*/read",
"Microsoft.Authorization/roleAssignments/read",
"Microsoft.Authorization/roleDefinitions/read"
],
"notActions": [],
"dataActions": [
"Microsoft.CognitiveServices/accounts/OpenAI/*/read",
"Microsoft.CognitiveServices/accounts/OpenAI/engines/completions/action",
"Microsoft.CognitiveServices/accounts/OpenAI/engines/search/action",
"Microsoft.CognitiveServices/accounts/OpenAI/engines/generate/action",
"Microsoft.CognitiveServices/accounts/OpenAI/deployments/search/action",
"Microsoft.CognitiveServices/accounts/OpenAI/deployments/completions/action",
"Microsoft.CognitiveServices/accounts/OpenAI/deployments/chat/completions/action",
"Microsoft.CognitiveServices/accounts/OpenAI/deployments/extensions/chat/completions/action",
"Microsoft.CognitiveServices/accounts/OpenAI/deployments/embeddings/action",
"Microsoft.CognitiveServices/accounts/OpenAI/images/generations/action",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/write",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/read",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/delete",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/files/write",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/files/read",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/files/delete",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/threads/write",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/threads/read",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/threads/delete",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/threads/messages/write",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/threads/messages/read",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/threads/messages/files/read",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/threads/runs/write",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/threads/runs/read",
"Microsoft.CognitiveServices/accounts/OpenAI/assistants/threads/runs/steps/read"
],
"notDataActions": []
}
]
}
}
Probleemoplossing
Fout: Principal heeft geen toegang tot API/bewerking
Symptomen
Wanneer u de chatspeeltuin van de Azure AI Foundry-portal gebruikt, krijgt u een foutbericht met de melding 'Principal heeft geen toegang tot API/Bewerking'. De fout kan ook een 'Apim-request-id' bevatten.
Oorzaak
De gebruiker of service-principal die wordt gebruikt voor het verifiëren van aanvragen voor Azure OpenAI of Azure AI Search beschikt niet over de vereiste machtigingen voor toegang tot de resource.
Oplossing
Wijs de volgende rollen toe aan de gebruiker of service-principal. De rol die u toewijst, is afhankelijk van de services die u gebruikt en het toegangsniveau dat de gebruiker of service-principal nodig heeft:
| Service die wordt geopend | Rol | Beschrijving |
|---|---|---|
| Azure OpenAI | Cognitive Services OpenAI-inzender | Roep de openbare opname-API aan vanuit Azure AI Foundry. |
| Azure OpenAI | Cognitive Services-gebruiker | Api-sleutels van Azure AI Foundry vermelden. |
| Azure AI Search | Inzender voor zoekindexgegevens | Vereist voor indexeringsscenario's. |
| Azure AI Search | Zoekindexgegevenslezer | Deductieservice voert een query uit op de gegevens uit de index. Alleen gebruikt voor deductiescenario's. |
Teruggaan naar de rol Inzender
Als u een nieuwe hub maakt en fouten ondervindt met de nieuwe standaardroltoewijzing van Azure AI-beheerder voor de beheerde identiteit, gebruikt u de volgende stappen om de hub te wijzigen in de rol Inzender:
Belangrijk
Het wordt afgeraden om een hub terug te zetten naar de rol Inzender, tenzij u problemen ondervindt. Als het terugdraaien de problemen oplost die u ondervindt, opent u een ondersteuningsincident met informatie over de problemen die worden opgelost, zodat we verder kunnen gaan.
Als u wilt terugkeren naar de rol Inzender als de standaardfunctie voor nieuwe hubs, opent u een ondersteuningsaanvraag met de gegevens van uw Azure-abonnement en vraagt u of uw abonnement wordt gewijzigd om de rol Inzender te gebruiken als de standaardinstelling voor de door het systeem toegewezen beheerde identiteit van nieuwe hubs.
Verwijder de roltoewijzing voor de beheerde identiteit van de hub. Het bereik voor deze roltoewijzing is de resourcegroep die de hub bevat, dus moet de rol worden verwijderd uit de resourcegroep.
Tip
De door het systeem toegewezen beheerde identiteit voor de hub is hetzelfde als de naam van de hub.
Navigeer vanuit Azure Portal naar de resourcegroep die de hub bevat. Selecteer Toegangsbeheer (IAM) en selecteer vervolgens Roltoewijzingen. Zoek in de lijst met roltoewijzingen de roltoewijzing voor de beheerde identiteit. Selecteer deze en selecteer vervolgens Verwijderen.
Zie Roltoewijzingen verwijderen voor meer informatie over het verwijderen van een roltoewijzing.
Maak een nieuwe roltoewijzing voor de resourcegroep voor de rol Inzender . Wanneer u deze roltoewijzing toevoegt, selecteert u de beheerde identiteit voor de hub als de toegewezen gebruiker. De naam van de door het systeem toegewezen beheerde identiteit is hetzelfde als de hubnaam.
- Navigeer vanuit Azure Portal naar de resourcegroep die de hub bevat. Selecteer Toegangsbeheer (IAM) en selecteer vervolgens Roltoewijzing toevoegen.
- Selecteer Inzender op het tabblad Rol.
- Selecteer op het tabblad Leden de optie Beheerde identiteit en selecteer leden, en stel de vervolgkeuzelijst Beheerde identiteit in op Azure AI Hub. Voer in het veld Selecteren de naam van de hub in. Selecteer de hub in de lijst en selecteer vervolgens Selecteren.
- Selecteer Beoordelen en toewijzen op het tabblad Beoordelen + toewijzen.