Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Visualización actual:
Versión - Cambio a la versión del nuevo portal de Foundry
Sugerencia
Este artículo es para un tipo de proyecto Foundry. Hay disponible un artículo alternativo de RBAC para proyectos centrados en hubs: Control de acceso basado en roles para Microsoft Foundry (Concentradores y Proyectos).
En este artículo, obtendrá información sobre el control de acceso basado en rol (RBAC) en el recurso de Microsoft Foundry y cómo asignar roles que controlan el acceso a los recursos.
Sugerencia
Los roles de RBAC se aplican al autenticarse mediante Microsoft Entra ID. Si usa la autenticación basada en claves en su lugar, la clave concede acceso completo sin restricciones de rol. Microsoft recomienda usar la autenticación Entra ID para mejorar la seguridad y el control de acceso pormenorizado.
Asignaciones de roles mínimas para comenzar
Para los nuevos usuarios de Azure y Microsoft Foundry, comiencen con estas asignaciones mínimas para que el principal de usuario y la identidad administrada del proyecto puedan acceder a las funcionalidades de Foundry.
Puede comprobar las asignaciones actuales mediante Verificar acceso para un usuario a un único recurso de Azure.
Asigne el rol de Usuario de Foundry en su recurso de Foundry a su entidad de seguridad de usuario.
Importante
Recientemente se cambió el nombre de los roles RBAC de Foundry. Foundry User, Foundry Owner, Foundry Account Owner y Foundry Project Manager se llamaban anteriormente Usuario de Azure AI, Propietario de Azure AI, Propietario de la cuenta de Azure AI y Administrador de proyectos de Azure AI. Es posible que siga viendo los nombres anteriores en algunos lugares mientras se implementa el cambio de nombre. El cambio de nombre no modifica los identificadores de rol y los permisos principales.
Asigne el rol Usuario de Foundry del recurso de Foundry a la identidad administrada del proyecto.
Si el usuario que creó el proyecto puede asignar roles (por ejemplo, si tiene el Azure Owner rol en el ámbito de suscripción o grupo de recursos), ambas asignaciones se agregan automáticamente.
Para asignar estos roles manualmente, siga estos pasos rápidos.
Asignar un rol a la entidad de servicio de usuario
En el portal de Azure, abra el recurso Foundry y vaya a Control de acceso (IAM). Cree una asignación de rol para Foundry User, configure Miembros como Usuario, grupo o entidad de servicio, seleccione su usuario y, a continuación, seleccione Revisar y asignar.
Asignación de un rol a la identidad administrada del proyecto
En el portal de Azure, abra el proyecto Foundry y vaya a Control de acceso (IAM). Cree una asignación de roles para Foundry User, establezca Miembros en Identidad administrada, seleccione la identidad administrada del proyecto y, a continuación, seleccione Revisar y asignar.
Terminología del control de acceso basado en rol en Foundry
Para comprender el control de acceso basado en rol en Microsoft Foundry, considere dos preguntas para su empresa.
- ¿Qué permisos quiero que tenga mi equipo al compilar en Microsoft Foundry?
- ¿En qué ámbito quiero asignar permisos a mi equipo?
Para ayudar a responder a estas preguntas, estas son descripciones de cierta terminología que se usa en este artículo.
- Permisos: acciones permitidas o denegadas que una identidad puede realizar en un recurso, como leer, escribir, eliminar o administrar las operaciones del plano de control y del plano de datos.
- Scope: conjunto de recursos de Azure a los que se aplica una asignación de roles. Entre los ámbitos típicos se incluyen la suscripción, el grupo de recursos, el recurso Foundry o el proyecto Foundry.
- Role: una colección nominada de permisos que define qué acciones se pueden realizar en los recursos de Azure en un ámbito determinado.
Una identidad obtiene un rol con permisos específicos en un ámbito seleccionado en función de los requisitos empresariales.
En Microsoft Foundry, considere dos ámbitos al completar las asignaciones de roles.
- Recurso de Foundry: ámbito de nivel superior que define el límite administrativo, de seguridad y de monitorización de un entorno de Microsoft Foundry.
- Proyecto foundry: un sub-ámbito dentro de un recurso Foundry usado para organizar el trabajo y aplicar el control de acceso para las API, herramientas y flujos de trabajo de desarrollador de Foundry.
Roles integrados
Un rol integrado en Foundry es un rol creado por Microsoft que cubre escenarios comunes de acceso que puedes asignar a los miembros de tu equipo. Entre los roles integrados clave que se usan en Azure se incluyen Propietario, Colaborador y Lector. Estos roles no son específicos de los permisos de recursos de Foundry.
En el caso de los recursos de Foundry, utilice roles integrados adicionales para seguir los principios de acceso de privilegio mínimo. En la tabla siguiente se enumeran los roles integrados clave para Foundry con enlaces a las definiciones exactas de estos roles en roles integrados de IA + Machine Learning.
| Rol | Descripción |
|---|---|
| Usuario de Foundry | Concede acceso de lectura al proyecto Foundry, al recurso Foundry y a las acciones de datos para tu proyecto Foundry. Si puede asignar roles, este rol se le asigna automáticamente. De lo contrario, el propietario de la suscripción o un usuario con permisos de asignación de roles lo concede. Rol de acceso con privilegios mínimos en Foundry. |
| Administrador de proyectos de Foundry | Le permite realizar acciones de administración sobre proyectos de Foundry, compilar y desarrollar proyectos, y asignar condicionalmente el rol de usuario de Foundry a otras identidades de usuario. |
| Propietario de la cuenta de Foundry | Otorga acceso completo para administrar proyectos y recursos, y permite asignar condicionalmente a otras identidades de usuario los roles Foundry User, ACR y de monitorización. |
| Propietario de Foundry | Concede pleno acceso para administrar proyectos y recursos, y para compilar y desarrollar proyectos. Permite asignar condicionalmente los roles de usuario de Foundry, ACR y supervisión. Rol de autoservicio con privilegios elevados diseñado para nativos digitales. |
Nota
No asigne roles integrados que empiecen por Cognitive Services. Estos roles están diseñados para acceder directamente a los recursos de AI Services y no se aplican a escenarios de Foundry. Del mismo modo, no use el rol Azure AI Developer para el trabajo de Foundry. A pesar del nombre, este rol se circunscribe a las áreas de trabajo de Azure Machine Learning y los centros de Foundry, no a los proyectos de Foundry ni a los agentes alojados de Foundry. Para acceder al proyecto de Foundry, use Foundry User o Foundry Owner en su lugar.
Permisos para cada rol integrado
Utilice la siguiente tabla y diagrama para ver los permisos correspondientes de cada rol integrado en Foundry, incluidos los roles integrados clave de Azure.
| Rol integrado | Creación de proyectos de Foundry | Creación de cuentas de Foundry | Crear y desarrollar en un proyecto (acciones de datos) | Completar asignaciones de funciones | Acceso de lector a proyectos y cuentas | Administrar modelos |
|---|---|---|---|---|---|---|
| Usuario de Foundry | ✔ | ✔ | ||||
| Administrador de proyectos de Foundry | ✔ | ✔ | ✔ (asigna solo el rol Foundry User) | ✔ | ||
| Propietario de la cuenta de Foundry | ✔ | ✔ | ✔ (asigna solo el rol Foundry User) | ✔ | ✔ | |
| Propietario de Foundry | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Propietario | ✔ | ✔ | ✔ (asignar cualquier rol a cualquier usuario) | ✔ | ✔ | |
| Colaborador | ✔ | ✔ | ✔ | ✔ | ||
| Lector | ✔ |
Importante
Recientemente se cambió el nombre de los roles RBAC de Foundry. Foundry User, Foundry Owner, Foundry Account Owner y Foundry Project Manager se llamaban anteriormente Usuario de Azure AI, Propietario de Azure AI, Propietario de la cuenta de Azure AI y Administrador de proyectos de Azure AI. Es posible que siga viendo los nombres anteriores en algunos lugares mientras se implementa el cambio de nombre. El cambio de nombre no modifica los identificadores de rol y los permisos principales.
Use estas pestañas para explorar las diferencias entre los roles integrados, asignados en el nivel de recursos de Foundry (excepto el propietario, que se asigna en el nivel de suscripción).
- Propietario
- Propietario de Foundry
- Propietario de la cuenta de Foundry
- Administrador de proyectos de Foundry
- Usuario de Foundry
Ejemplos de asignaciones de RBAC empresarial para proyectos
Este es un ejemplo de cómo implementar el control de acceso basado en rol (RBAC) para un recurso de Enterprise Foundry.
| Persona | Rol y ámbito | Propósito |
|---|---|---|
| Administrador de TI | Propietario en el contexto de la suscripción | El administrador de TI garantiza que el recurso Foundry cumple los estándares empresariales. Asigne a los administradores el rol de Foundry Account Owner en el recurso para que puedan crear nuevas cuentas de Foundry. Asigne a los administradores el rol Foundry Project Manager en el recurso para permitirles crear proyectos dentro de una cuenta. |
| Administradores | Propietario de la cuenta de Foundry en el ámbito del recurso de Foundry | Los administradores administran el recurso Foundry, implementan modelos, auditan los recursos de proceso, auditan las conexiones y crean conexiones compartidas. No pueden crear en proyectos, pero pueden asignarse a sí mismos y a otros el rol Usuario de Foundry para empezar a crear. |
| Responsable de equipo o desarrollador principal | Administrador de proyectos de Foundry en el ámbito de recursos de Foundry | Los desarrolladores principales crean proyectos para su equipo y comienzan a desarrollarlos en esos proyectos. Después de crear un proyecto, los propietarios del proyecto invitan a otros miembros y asignan el rol Usuario de Foundry . |
| Miembros del equipo o desarrolladores | Usuario de Foundry en el ámbito de proyecto de Foundry y Lector en el ámbito de recurso de Foundry | Los desarrolladores crean agentes en un proyecto con modelos de Foundry implementados previamente y conexiones preconstruidas. |
Administrar asignaciones de roles
Para administrar roles en Foundry, debe tener permiso para asignar y quitar roles en Azure. El rol integrado Azure Owner incluye ese permiso. Puede asignar roles a través del portal de Foundry (página Administrador), Azure IAM del portal o CLI de Azure. Puede quitar roles mediante Azure portal IAM o CLI de Azure.
En el portal de Foundry, administre los permisos mediante:
- En la página Inicio de Foundry, seleccione el recurso Foundry.
- Seleccione Usuarios para agregar o quitar usuarios para el recurso.
Puede administrar permisos en el portal Azure en Access Control (IAM) o mediante CLI de Azure.
Por ejemplo, el siguiente comando asigna el rol de usuario de Foundry a [email protected] en el grupo de recursos this-rg de la suscripción 00000000-0000-0000-0000-000000000000:
az role assignment create --role "53ca6127-db72-4b80-b1b0-d745d6d5456d" --assignee "[email protected]" --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/this-rg
Nota
Dado que los roles de RBAC de Foundry se cambiaron recientemente de nombre, use el identificador de definición de rol (GUID) en lugar del nombre del rol en el código para evitar problemas durante la implementación del cambio de nombre:
-
Usuario de Foundry:
53ca6127-db72-4b80-b1b0-d745d6d5456d -
Propietario de la fundición:
c883944f-8b7b-4483-af10-35834be79c4a -
Propietario de la cuenta de Foundry:
e47c6f54-e4a2-4754-9501-8e0985b135e1 -
Foundry Project Manager:
eadc314b-1a2d-4efa-be10-5d325db5065e
Creación de roles personalizados para proyectos
Si los roles integrados no cumplen los requisitos empresariales, cree un rol personalizado que permita un control preciso sobre las acciones y ámbitos permitidos. Esta es una definición de rol personalizada de nivel de suscripción de ejemplo:
{
"properties": {
"roleName": "My Enterprise Foundry User",
"description": "Custom role for Foundry at my enterprise to only allow building Agents. Assign at subscription level.",
"assignableScopes": ["/subscriptions/<your-subscription-id>"],
"permissions": [ {
"actions": ["Microsoft.CognitiveServices/*/read", "Microsoft.Authorization/*/read", "Microsoft.CognitiveServices/accounts/listkeys/action","Microsoft.Resources/deployments/*"],
"notActions": [],
"dataActions": ["Microsoft.CognitiveServices/accounts/AIServices/agents/*"],
"notDataActions": []
} ]
}
}
Para obtener más información sobre cómo crear un rol personalizado, consulte los artículos siguientes.
- Azure Portal
- CLI de Azure
- Azure PowerShell
- Desactivar características en versión preliminar en Microsoft Foundry. En este artículo se proporcionan más detalles sobre los permisos específicos de Foundry en el control y el plano de datos que puede usar al crear roles personalizados.
Notas y limitaciones
Para ver y purgar las cuentas de Foundry eliminadas, debe tener asignado el rol Colaborador en el ámbito de la suscripción.
Los usuarios con el rol Colaborador pueden implementar modelos en Foundry.
Necesita el rol Propietario en el permiso del recurso para crear roles personalizados en el recurso.
Si tienes permisos para asignar roles en Azure (por ejemplo, el rol Propietario asignado en el ámbito de la cuenta) a tu identidad de usuario, y implementas un recurso de Foundry desde Azure Portal o desde la interfaz de usuario del portal de Foundry, el rol Usuario de Foundry se asigna automáticamente a tu identidad de usuario. Esta asignación no se aplica al implementar Foundry desde el SDK o la CLI.
Importante
Recientemente se cambió el nombre de los roles RBAC de Foundry. Foundry User, Foundry Owner, Foundry Account Owner y Foundry Project Manager se llamaban anteriormente Usuario de Azure AI, Propietario de Azure AI, Propietario de la cuenta de Azure AI y Administrador de proyectos de Azure AI. Es posible que siga viendo los nombres anteriores en algunos lugares mientras se implementa el cambio de nombre. El cambio de nombre no modifica los identificadores de rol y los permisos principales.
Al crear un recurso Foundry, los permisos integrados de control de acceso basado en rol (RBAC) proporcionan acceso al recurso. Para usar los recursos creados fuera de Foundry, asegúrese de que el recurso tiene permisos que le permiten acceder a ellos. A continuación se incluyen algunos ejemplos:
- Para usar una nueva cuenta de Azure Blob Storage, agregue la identidad administrada del recurso de cuenta de Foundry al rol Lector de datos de Storage Blob en esa cuenta de almacenamiento.
- Para usar un nuevo origen de Búsqueda de Azure AI, agregue Foundry a las asignaciones de roles de Búsqueda de Azure AI.
Para ajustar un modelo en Foundry, necesita permisos de plano de datos y de plano de control. La implementación de un modelo afinado es un permiso del plano de control. Por lo tanto, el único rol integrado con permisos de plano de datos y de plano de control es el rol Propietario de Foundry. O bien, si lo prefiere, también puede asignar el rol Usuario de Foundry para los permisos del plano de datos y el rol Propietario de la cuenta de Foundry para los permisos del plano de control.
Contenido relacionado
- Cree un proyecto.
- Agregue una conexión en el portal de Foundry.
- Autenticación y autorización en Foundry.
- Desactivar características en versión preliminar en Microsoft Foundry.
Apéndice
Ejemplos de aislamiento de acceso
Cada organización puede tener requisitos de aislamiento de acceso diferentes en función de los roles de usuario de su empresa. El aislamiento de acceso hace referencia a los roles asignados a los usuarios de la empresa, ya sea para separar los permisos mediante nuestros roles integrados o para usar un rol unificado y con permisos elevados. Hay tres opciones de aislamiento de acceso para Foundry que puede seleccionar para su organización en función de los requisitos de aislamiento de acceso.
Sin aislamiento de acceso. Esto significa que en su empresa no tiene ningún requisito para separar los permisos entre un desarrollador, un administrador de proyectos o un administrador. Los permisos para estos roles se pueden asignar entre equipos.
Por lo tanto, deberías...
Conceda a todos los usuarios de la empresa el rol de Propietario de Foundry en el ámbito del recurso
Importante
Recientemente se cambió el nombre de los roles RBAC de Foundry. Foundry User, Foundry Owner, Foundry Account Owner y Foundry Project Manager se llamaban anteriormente Usuario de Azure AI, Propietario de Azure AI, Propietario de la cuenta de Azure AI y Administrador de proyectos de Azure AI. Es posible que siga viendo los nombres anteriores en algunos lugares mientras se implementa el cambio de nombre. El cambio de nombre no modifica los identificadores de rol y los permisos principales.
Aislamiento de acceso parcial. Esto significa que el administrador de proyectos de su empresa debe poder desarrollar dentro de proyectos, así como crear proyectos. Pero los administradores no deben poder desarrollarse en Foundry, solo crear cuentas y proyectos de Foundry.
Por lo tanto, deberías...
- Conceda al administrador el rol de Propietario de cuenta de Foundry en el ámbito del recurso
- Otorgue a su desarrollador y a sus gestores de proyectos el rol de Foundry Project Manager en el recurso
Aislamiento de acceso total. Esto significa que los administradores, los administradores de proyectos y los desarrolladores tienen permisos claros asignados que no se superponen para sus diferentes funciones dentro de una empresa.
Por lo tanto, deberías...
- Conceda a su administrador el rol de Foundry Account Owner en el ámbito del recurso
- Asigne a su desarrollador el rol Lector en el ámbito del recurso de Foundry y Foundry User en el ámbito del proyecto
- Conceda al administrador de proyectos el rol de Administrador de proyectos de Foundry en el ámbito del recurso
Uso de grupos de Microsoft Entra con Foundry
Microsoft Entra ID proporciona varias maneras de administrar el acceso a recursos, aplicaciones y tareas. Mediante el uso de grupos de Microsoft Entra, puede conceder acceso y permisos a un grupo de usuarios en lugar de a cada usuario individual. Los administradores de TI empresariales pueden crear grupos de Microsoft Entra en el portal de Azure para simplificar el proceso de asignación de roles para los desarrolladores. Al crear un grupo de Microsoft Entra, puede minimizar el número de asignaciones de roles necesarias para los nuevos desarrolladores que trabajan en proyectos de Foundry asignando al grupo la asignación de roles necesaria en el recurso necesario.
Complete los pasos siguientes para usar Microsoft Entra ID grupos con Foundry:
- Cree un grupo Security en Groups en el portal de Azure.
- Agregue un propietario y las entidades de seguridad de usuario de su organización que necesiten acceso compartido.
- Abra el recurso de destino y vaya a Control de acceso (IAM) .
- Asigne el rol necesario a Usuario, grupo o principal de servicio y seleccione el nuevo grupo de seguridad.
- Seleccione Revisar y asignar para que la asignación de roles se aplique a todos los miembros del grupo.
Ejemplos comunes:
- Para compilar agentes, ejecutar seguimientos y usar las funcionalidades principales de Foundry, asigne Foundry User al grupo de Microsoft Entra.
- Para usar las características de seguimiento y supervisión, asigne Lector en el recurso de Application Insights conectado al mismo grupo.
Para más información sobre Microsoft Entra ID grupos, requisitos previos y limitaciones, consulte: