LUIS 基于角色的访问控制

重要

LUIS 将于 2025 年 10 月 1 日停用,从 2023 年 4 月 1 日开始,你将无法创建新的 LUIS 资源。 建议将 LUIS 应用程序迁移对话语言理解,以便从持续的产品支持和多语言功能中受益。

LUIS 支持 Azure 基于角色的访问控制 (Azure RBAC),这是用于管理对 Azure 资源的个人访问权限的授权系统。 使用 Azure RBAC,可为不同的团队成员分配 LUIS 创作资源的不同级别权限。 有关详细信息,请参阅 Azure RBAC 文档

启用 Microsoft Entra 身份验证

若要使用 Azure RBAC,必须启用 Microsoft Entra 身份验证。 可以使用自定义子域创建新资源,或者为现有资源创建自定义子域

将角色分配添加到语言理解创作资源

可将 Azure RBAC 分配添加到语言理解创作资源。 若要授予对 Azure 资源的访问权限,可以添加角色分配。

  1. Azure 门户中,选择“所有服务”。

  2. 选择“Azure AI 服务”,并导航到特定语言理解创作资源。

    注意

    你还可以为整个资源组、订阅或管理组设置 Azure RBAC。 要执行此操作,请选择所需的作用域级别,然后导航到所需的项目。 例如,选择“资源组”,然后导航到特定的资源组。

  3. 在左侧导航窗格上,选择“访问控制(IAM)”。

  4. 依次选择“+ 添加”和“添加角色分配” 。

  5. 在下一屏幕上的“角色”选项卡上,选择要添加的角色。

  6. 在“成员”选项卡上,选择用户、组、服务主体或托管标识。

  7. 在“查看 + 分配”选项卡上,选择“查看 + 分配”,以分配角色 。

几分钟后,将向目标分配所选作用域中的选定角色。 有关这些步骤的帮助,请参阅使用 Azure 门户分配 Azure 角色

LUIS 角色类型

使用下表来确定 LUIS 应用程序的访问需求。

这些自定义角色仅适用于创作(语言理解创作),而不适用于预测资源(语言理解)。

注意

  • “所有者”和“参与者”角色优先于自定义 LUIS 角色。
  • Microsoft Entra ID (Azure Microsoft Entra ID) 仅用于自定义 LUIS 角色。
  • 如果你在 Azure 上被分配为“参与者”,你的角色将在 LUIS 门户中显示为“所有者”。

认知服务 LUIS 读者

只应验证和查看 LUIS 应用程序的用户,通常是在部署项目之前确保应用程序正常运行的测试人员。 他们可能想要查看应用程序的资产(陈述、意向、实体),以通知应用开发人员需要进行的任何更改,但不能直接访问。

功能

API 访问

  • 读取陈述
  • 意向
  • 实体
  • 测试应用程序

以下各项之下的所有 GET API:

以下各项之下的所有 API:

认知服务 LUIS 写入者

负责生成和修改 LUIS 应用程序的用户,在更大的团队中作为协作者。 协作者可以以任何方式修改 LUIS 应用程序,训练这些更改,并在门户中验证/测试这些更改。 但是,此用户没有权限将此应用程序部署到运行时,因为他们可能会在生产环境中意外反映其更改。 他们也不能删除应用程序或更改其预测资源和终结点设置(分配或取消分配预测资源,以公开终结点)。 这会限制此角色更改当前在生产环境中使用的应用程序。 他们还可以在此资源下创建新的应用程序,但有上文所述的限制。

功能

API 访问

  • 认知服务 LUIS 读者涵盖的所有功能。

可添加的功能:

  • 陈述
  • 意向
  • 实体
  • LUIS 读者涵盖的所有 API

以下各项之下的所有 POST、PUT 和 DELETE API:

以下各项除外

认知服务 LUIS 所有者

注意

  • 如果分配给你“所有者”和“LUIS 所有者”角色,则你将在 LUIS 门户中显示为“LUIS 所有者”。

这些用户是生产环境中 LUIS 应用程序的网关守卫。 他们应该具有对任何基础函数的完全访问权限,因此可以查看应用程序中的所有内容,并且可以通过直接访问来编辑创作环境和运行时环境中的任何更改。

功能

API 访问

  • 认知服务 LUIS 写入者涵盖的所有功能
  • 部署模型
  • 删除应用程序
  • 所有可用于 LUIS 的 API

后续步骤