语言基于角色的访问控制

Azure AI 语言支持 Azure 基于角色的访问控制 (Azure RBAC),这是用于管理对 Azure 资源的个人访问权限的授权系统。 使用 Azure RBAC,可为不同的团队成员分配项目创作资源的不同级别权限。 有关详细信息,请参阅 Azure RBAC 文档

启用 Microsoft Entra 身份验证

若要使用 Azure RBAC,必须启用 Microsoft Entra 身份验证。 可以使用自定义子域创建新资源,或者为现有资源创建自定义子域

将角色分配添加到语言资源

可将 Azure RBAC 分配到语言资源。 若要授予对 Azure 资源的访问权限,可以添加角色分配。

  1. Azure 门户中,选择“所有服务”。

  2. 选择“Azure AI 服务”,然后导航到你的特定语言资源。

    注意

    你还可以为整个资源组、订阅或管理组设置 Azure RBAC。 要执行此操作,请选择所需的作用域级别,然后导航到所需的项目。 例如,选择“资源组”,然后导航到特定的资源组。

  3. 在左侧导航窗格上,选择“访问控制(IAM)”。

  4. 依次选择“+ 添加”和“添加角色分配” 。

  5. 在下一屏幕上的“角色”选项卡上,选择要添加的角色。

  6. 在“成员”选项卡上,选择用户、组、服务主体或托管标识。

  7. 在“查看 + 分配”选项卡上,选择“查看 + 分配”,以分配角色 。

几分钟后,将向目标分配所选作用域中的选定角色。 有关这些步骤的帮助,请参阅使用 Azure 门户分配 Azure 角色

语言角色类型

使用下表来确定语言项目的访问需求。

这些自定义角色仅适用于语言资源。

注意

  • 所有角色都可以访问所有预生成功能
  • “所有者”和“参与者”角色优先于自定义语言角色。
  • Microsoft Entra ID 仅用于自定义语言角色的情况
  • 如果你在 Azure 上被分配为“参与者”,你的角色将在 Language Studio 门户中显示为“所有者”。

认知服务语言读取者

只应验证和查看语言应用的用户,通常是在部署项目之前确保应用程序正常运行的测试人员。 他们可能想要查看应用程序的资产,以通知应用开发人员需要进行的任何更改,但不能直接访问。 读者有权查看评估结果。

功能

API 访问

  • 读取
  • 测试

以下各项之下的所有 GET API:

认知服务语言写入者

负责生成和修改应用程序的用户,在更大的团队中作为协作者。 协作者可以以任何方式修改语言应用,训练这些更改,并在门户中验证/测试这些更改。 但是,此用户没有权限将此应用程序部署到运行时,因为他们可能会在生产环境中意外反映其更改。 他们也不能删除应用程序或更改其预测资源和终结点设置(分配或取消分配预测资源,以公开终结点)。 这会限制此角色更改当前在生产环境中使用的应用程序。 他们还可以在此资源下创建新的应用程序,但有上文所述的限制。

功能

API 访问

  • 认知服务语言读者涵盖的所有功能。
  • 功能:
  • 定型
  • 写入

认知服务语言所有者

注意

如果你被指定为“所有者”和“语言所有者”,你将在 Language Studio 门户中显示为“认知服务语言所有者”。

这些用户是生产环境中语言应用程序的网关守卫。 他们应该具有对任何基础函数的完全访问权限,因此可以查看应用程序中的所有内容,并且可以通过直接访问来编辑创作环境和运行时环境中的任何更改

功能

API 访问

  • 认知服务语言写入者涵盖的所有功能
  • 部署
  • 删除