Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo, aprenderá los conceptos básicos de control de acceso basado en roles (RBAC) para Microsoft Foundry, incluidos los alcances, los roles integrados y los patrones comunes de asignación en empresas.
Sugerencia
Los roles de RBAC se aplican al autenticarse mediante Microsoft Entra ID. Si usa la autenticación basada en claves en su lugar, la clave concede acceso completo sin restricciones de rol. Microsoft recomienda usar la autenticación Entra ID para mejorar la seguridad y el control de acceso pormenorizado.
Para obtener más información sobre la autenticación y la autorización en Microsoft Foundry, consulte Autenticación y autorización.
Asignaciones mínimas de roles para comenzar
Para los nuevos usuarios de Azure y Microsoft Foundry, comience con estas asignaciones mínimas para que la entidad de seguridad del usuario principal y la identidad administrada del proyecto puedan acceder a las características de Foundry.
Puede comprobar las asignaciones actuales mediante Comprobar acceso de un usuario en un recurso de Azure único.
- Asigne el rol Azure AI User en el recurso Foundry al user principal.
- Asigne el rol Azure AI User en el recurso Foundry a la identidad administrada del proyecto.
Si el usuario que creó el proyecto puede asignar roles (por ejemplo, al tener el rol de Azure Owner en el ámbito de la suscripción o en el grupo de recursos), ambas asignaciones se agregan automáticamente.
Para asignar estos roles manualmente, siga estos pasos rápidos.
Asignar un rol a la entidad de servicio de usuario
En el Azure portal, abra el recurso Foundry y vaya a Access control (IAM). Crear una asignación de roles para Azure AI User, establecer Members en Usuario, grupo o entidad de servicio, seleccione su entidad de usuario y, a continuación, seleccione Review + assign.
Asigna un rol a la identidad administrada de tu proyecto
En el portal de Azure, abra su proyecto Foundry y vaya a Control de acceso (IAM). Crear una asignación de roles para Usuario de Azure AI, establezca Members en Managed identity, seleccione la identidad administrada de su proyecto y, después, seleccione Revisar + asignar.
Terminología para el control de acceso basado en roles en Foundry
Para comprender el control de acceso basado en roles en Microsoft Foundry, tenga en cuenta dos preguntas para su empresa.
- ¿Qué permisos quiero que tenga mi equipo al compilar en Microsoft Foundry?
- ¿En qué ámbito quiero asignar permisos a mi equipo?
Para ayudar a responder a estas preguntas, estas son descripciones de cierta terminología que se usa en este artículo.
- Permisos: acciones permitidas o denegadas que una identidad puede realizar en un recurso, como leer, escribir, eliminar o administrar las operaciones del plano de control y del plano de datos.
- Scope: conjunto de recursos de Azure a los que se aplica una asignación de roles. Entre los ámbitos típicos se incluyen la suscripción, el grupo de recursos, el recurso Foundry o el proyecto Foundry.
- Role: una colección con nombre de permisos que define qué acciones se pueden realizar en los recursos de Azure en un ámbito determinado.
Una identidad obtiene un rol con permisos específicos en un ámbito seleccionado en función de los requisitos empresariales.
En Microsoft Foundry, considere dos ámbitos al completar las asignaciones de roles.
- Recurso de Foundry: el ámbito de nivel superior que define el límite administrativo, de seguridad y de supervisión de un entorno de Microsoft Foundry.
- Foundry project: un sub-ámbito dentro de un recurso de Foundry usado para organizar el trabajo y controlar el acceso a las API, herramientas y flujos de trabajo de desarrollador de Foundry.
Roles integrados
Un rol integrado en Foundry es un rol creado por Microsoft que cubre escenarios comunes de acceso y que se puede asignar a los miembros del equipo. Entre los roles integrados clave que se usan en Azure se incluyen Propietario, Colaborador y Lector. Estos roles no son específicos de los permisos de recursos de Foundry.
En el caso de los recursos de Foundry, utilice roles adicionales integrados para adherirse a los principios de acceso con privilegios mínimos. En la tabla siguiente se enumeran los roles predefinidos clave para Foundry y los vínculos a las definiciones exactas de los roles predefinidos en AI + Machine Learning.
| Rol | Description |
|---|---|
| Usuario de Azure AI | Concede al lector acceso a recursos y acciones de datos del proyecto Foundry. Si puede asignar roles, este rol se le asigna de forma automática. De lo contrario, el propietario de la suscripción o un usuario con permisos de asignación de roles lo concede. Rol de acceso de menor privilegio en Foundry. |
| Azure AI Project Manager | Permite realizar acciones de administración en proyectos de Foundry, compilar y desarrollar con proyectos, y asignar condicionalmente el rol Usuario de IA de Azure a otros principales de usuario. |
| Propietario de la cuenta de Azure IA | Concede acceso completo para administrar proyectos y recursos, y le permite asignar condicionalmente el rol de usuario de IA de Azure a otros principales de usuario. |
| Propietario de Azure AI | Concede acceso completo a proyectos y recursos administrados, y permite construir y desarrollar con proyectos. Rol de autoservicio muy privilegiado diseñado para nativos digitales. |
Permisos para cada rol integrado
Utilice la siguiente tabla y diagrama para ver los permisos permitidos para cada rol integrado en Foundry, incluidos los roles integrados clave de Azure.
| Rol integrado | Creación de proyectos de Foundry | Creación de cuentas de Foundry | Construir y desarrollar en un proyecto (acciones de datos) | Asignaciones completas de los roles | Acceso de lectura a proyectos y cuentas | Administración de modelos |
|---|---|---|---|---|---|---|
| Usuario de Azure AI | ✔ | ✔ | ||||
| Azure AI Project Manager | ✔ | ✔ | ✔ (solo asignar el rol de usuario de Azure AI) | ✔ | ||
| Propietario de la cuenta de Azure IA | ✔ | ✔ | ✔ (solo asignar el rol de usuario de Azure AI) | ✔ | ✔ | |
| Propietario de Azure AI | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Propietario | ✔ | ✔ | ✔ (asignar cualquier rol a cualquier usuario) | ✔ | ✔ | |
| Colaborador | ✔ | ✔ | ✔ | ✔ | ||
| Reader | ✔ |
Para obtener más información sobre los roles integrados en Azure y Foundry, consulte Roles integrados de Azure. Para obtener más información sobre la delegación condicional que se utiliza en el rol de Propietario de Cuenta de IA de Azure y Administrador de Proyectos de IA de Azure, consulte Delegar la gestión de asignaciones de roles de Azure a otros con condiciones.
Ejemplos de asignaciones de RBAC empresarial para proyectos
Este es un ejemplo de cómo implementar control de acceso basado en roles (RBAC) para un recurso en Enterprise Foundry.
| Persona | Rol y ámbito | Propósito |
|---|---|---|
| Administrador de TI | Propietario en el contexto de la suscripción | El administrador de TI garantiza que el recurso Foundry cumple los estándares empresariales. Asigne a los administradores el rol Propietario de la cuenta de Azure AI en el recurso para que puedan crear nuevas cuentas de Foundry. Asigne a los administradores el rol Azure AI Project Manager en el recurso para permitirles crear proyectos dentro de una cuenta. |
| Managers | Propietario de la cuenta de Azure AI en el ámbito del recurso Foundry | Los administradores administran el recurso Foundry, implementan modelos, auditan los recursos de proceso, auditan las conexiones y crean conexiones compartidas. No pueden crear en proyectos, pero pueden asignar el rol Azure AI User a sí mismos y a otros para empezar a crear. |
| Responsable de equipo o desarrollador en jefe | Azure AI Project Manager en el ámbito del recurso Foundry | Los desarrolladores en jefe crean proyectos para sus equipos y empiezan a compilar en esos proyectos. Después de crear un proyecto, los propietarios del proyecto invitan a otros miembros y asignan el rol Azure AI User. |
| Miembros del equipo o desarrolladores | Usuario de Azure AI en el ámbito del proyecto Foundry y como lector en el ámbito del recurso Foundry. | Los desarrolladores desarrollan agentes en un proyecto con modelos Foundry implementados previamente y conexiones pregeneradas. |
Administración de asignaciones de roles
Para administrar roles en Foundry, debe tener permiso para asignar y quitar roles en Azure. El rol integrado Azure Owner incluye ese permiso. Puede asignar roles a través del portal de Foundry (página Administrador), Azure portal IAM o Azure CLI. Puede quitar roles mediante Azure portal IAM o Azure CLI.
En el portal de Foundry, administre los permisos mediante:
- Abra la página Admin en Foundry, seleccione Operate>Admin.
- Seleccione el nombre del project.
- Seleccione Agregar usuario para administrar project access. Esta acción solo está disponible si tiene permisos de asignación de roles.
- Aplique el mismo flujo para los accesos a nivel de recursos en Foundry.
Puede administrar permisos en el Azure portal en Access Control (IAM) o mediante Azure CLI.
Por ejemplo, el comando siguiente asigna el rol usuario de IA de Azure a joe@contoso.com para el grupo de recursos this-rg en la suscripción 00000000-0000-0000-0000-000000000000:
az role assignment create --role "Azure AI User" --assignee "joe@contoso.com" --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/this-rg
Crear roles personalizados para proyectos
Si los roles integrados no cumplen los requisitos empresariales, cree un rol personalizado que permita un control preciso sobre las acciones y ámbitos permitidos. Esta es una definición de rol personalizada de nivel de suscripción de ejemplo:
{
"properties": {
"roleName": "My Enterprise Foundry User",
"description": "Custom role for Foundry at my enterprise to only allow building Agents. Assign at subscription level.",
"assignableScopes": ["/subscriptions/<your-subscription-id>"],
"permissions": [ {
"actions": ["Microsoft.CognitiveServices/*/read", "Microsoft.Authorization/*/read", "Microsoft.CognitiveServices/accounts/listkeys/action","Microsoft.Resources/deployments/*"],
"notActions": [],
"dataActions": ["Microsoft.CognitiveServices/accounts/AIServices/agents/*"],
"notDataActions": []
} ]
}
}
Para obtener más información sobre cómo crear un rol personalizado, consulte los artículos siguientes.
- Azure portal
- Azure CLI
- Azure PowerShell
- Desactivar la vista previa con acceso basado en roles. En este artículo se proporcionan más detalles sobre los permisos específicos de Foundry en el control y el plano de datos que puede usar al crear roles personalizados.
Notas y limitaciones
- Para ver y purgar las cuentas de Foundry eliminadas, debe tener asignado el rol Colaborador en el ámbito de la suscripción.
- Los usuarios con el rol Colaborador pueden implementar modelos en Foundry.
- Necesita el rol de propietario en el ámbito de un recurso para crear roles personalizados dentro de dicho recurso.
- Si tiene permisos para asignar roles en Azure (por ejemplo, el rol Propietario asignado en el ámbito de la cuenta) a su principal de usuario y despliega un recurso de Foundry desde la interfaz de usuario del portal de Azure o la interfaz de usuario del portal de Foundry, el rol Azure AI User se asigna automáticamente a su principal de usuario. Esta asignación no se aplica al implementar Foundry desde el SDK o la CLI.
- Al crear un recurso Foundry, los permisos de control de acceso basado en roles integrado (RBAC) le proporcionan acceso al recurso. Para usar los recursos creados fuera de Foundry, asegúrese de que el recurso tiene permisos que le permiten acceder. Estos son algunos ejemplos:
- Para usar una nueva cuenta de Azure Blob Storage, agregue la identidad administrada del recurso de cuenta de Foundry al rol Lector de Datos de Blobs de almacenamiento en esa cuenta de almacenamiento.
- Para usar un nuevo origen de Azure AI Search, agregue Foundry a las asignaciones de roles de Azure AI Search.
- Para ajustar un modelo en Foundry, necesita permisos de plano de datos y de plano de control. La implementación de un modelo afinado es un permiso del plano de control. Por lo tanto, el único rol integrado con permisos de plano de datos y de plano de control es el rol propietario de Azure AI. O bien, si lo prefiere, también puede asignar el rol Azure usuario de IA para los permisos del plano de datos y el rol Azure propietario de la cuenta de IA para permisos del plano de control.
Contenido relacionado
- Crear un project.
- Comprobar el acceso de un usuario a un único recurso de Azure.
- Autenticación y autorización en Foundry.
- Desactivar características de vista previa con acceso basado en roles.
Apéndice
Ejemplos de aislamiento de Access
Cada organización puede tener diferentes requisitos de aislamiento de acceso según los perfiles de usuario de su empresa. El aislamiento de acceso se refiere a qué usuarios de su empresa reciben asignaciones de roles para lograr una separación de permisos mediante nuestros roles integrados, o bien un rol unificado y altamente permisivo. Hay tres opciones de aislamiento de acceso para Foundry que puede seleccionar para su organización según sus requisitos de aislamiento de acceso.
Sin aislamiento de acceso. Esto significa que en su empresa no tiene ningún requisito para separar los permisos entre un desarrollador, un administrador de project o un administrador. Los permisos para estos roles se pueden asignar entre equipos.
Por lo tanto, deberías...
- Conceda a todos los usuarios de la empresa el rol Propietario de Azure AI en el ámbito del recurso
Aislamiento de acceso parcial. Esto significa que el administrador de proyectos de su empresa debe poder gestionar proyectos, así como crearlos. Pero los administradores no deben poder desarrollarse en Foundry, solo crear cuentas y proyectos de Foundry.
Por lo tanto, deberías...
- Conceda el rol de Propietario de la cuenta de Azure AI al administrador en el ámbito del recurso.
- Conceda a los desarrolladores y administradores de proyecto el rol Azure AI Project Manager en el recurso
Acceso de aislamiento completo. Esto significa que los administradores, los jefes de proyecto y los desarrolladores tienen permisos claramente asignados que no se superponen para sus distintas funciones dentro de una empresa.
Por lo tanto, debes...
- Conceda al administrador el Propietario de Cuenta de Azure AI en el ámbito de los recursos
- Conceda al desarrollador el rol Reader en el ámbito del recurso Foundry y el rol Azure AI User en el ámbito del proyecto.
- Conceda al administrador de proyecto el rol Azure AI Project Manager en el ámbito del recurso
Uso de grupos de Microsoft Entra con Foundry
Microsoft Entra ID proporciona varias maneras de administrar access a recursos, aplicaciones y tareas. Mediante el uso de grupos de Microsoft Entra, puede conceder access y permisos a un grupo de usuarios en lugar de a cada usuario individual. Los administradores de TI empresariales pueden crear grupos de Microsoft Entra en el Azure portal para simplificar el proceso de asignación de roles para los desarrolladores. Al crear un grupo de Microsoft Entra, puede minimizar el número de asignaciones de roles necesarias para los nuevos desarrolladores que trabajan en proyectos de Foundry asignando al grupo la asignación de roles necesaria en el recurso necesario.
Complete los pasos siguientes para usar Microsoft Entra ID grupos con Foundry:
- Cree un grupo Security en Groups en el Azure portal.
- Agregue un propietario y las principales de usuario en su organización que necesiten acceso compartido.
- Abra el recurso de destino y vaya a Access control (IAM).
- Asigne el rol necesario a usuario, grupo o entidad de servicio y seleccione el nuevo grupo de seguridad.
- Seleccione Revisar y asignar para que la asignación de roles se aplique a todos los miembros del grupo.
Ejemplos comunes:
- Para crear agentes, ejecutar rastros y usar las capacidades principales de Foundry, asigne Usuario de IA de Azure al grupo de Microsoft Entra.
- Para usar las características de rastreo y monitoreo, asigne Lector en el recurso de Application Insights conectado al mismo grupo.
Para más información sobre Microsoft Entra ID grupos, requisitos previos y limitaciones, consulte: