Note
대체 허브 중심 RBAC 문서를 사용할 수 있습니다. Azure AI Foundry(허브 및 프로젝트)에 대한 역할 기반 액세스 제어입니다.
이 문서에서는 Azure AI Foundry 리소스에 대한 액세스를 관리하는 방법을 알아봅니다. Azure RBAC(Azure 역할 기반 액세스 제어)를 사용하여 새 리소스를 만들거나 기존 리소스를 사용하는 등 Azure 리소스에 대한 액세스를 관리합니다. Microsoft Entra ID에서 리소스에 대한 액세스를 허용하는 사용자 역할을 할당합니다. Azure에서는 기본 제공 역할을 제공하며 사용자 지정 역할을 만들 수 있습니다.
기본 제공 Azure AI 개발자 역할이 요구 사항을 충족하지 않는 경우 사용자 지정 역할을 만들 수 있습니다.
Warning
일부 역할을 적용하면 다른 사용자의 Azure AI 파운드리 포털에서 UI 기능이 제한될 수 있습니다. 예를 들어 사용자의 역할에 컴퓨팅 인스턴스를 만들 수 있는 권한이 없는 경우 포털에서 컴퓨팅 인스턴스를 만들 수 있는 옵션을 사용할 수 없습니다. 이 동작은 예상된 것이며 사용자가 액세스 거부 오류를 반환하는 작업을 시작하는 것을 방지합니다.
Azure AI Foundry 프로젝트 역할
Azure AI Foundry 포털에는 두 가지 수준의 액세스가 있습니다.
- 계정: 이 계정에는 Azure AI Foundry 리소스에 대한 인프라(가상 네트워크 설정, 고객 관리형 키, 관리 ID 및 정책 포함)가 있습니다. Azure AI Foundry 리소스에는 계정과 프로젝트 모두에 기본적으로 사용할 수 있는 기본 제공 역할이 있습니다. 다음은 기본 제공 역할 및 해당 권한의 표입니다.
| Role | Description |
|---|---|
| Azure AI 사용자 | AI 프로젝트에 대한 읽기 권한자 액세스 권한, AI 계정에 대한 읽기 권한자 액세스 권한 및 AI 프로젝트에 대한 데이터 작업을 부여합니다. 역할을 할당할 수 있는 경우 이 역할이 자동으로 할당됩니다. 그렇지 않으면 구독 소유자 또는 역할 할당 권한이 있는 사용자가 권한을 부여합니다. |
| Azure AI Project Manager | Azure AI Foundry 프로젝트에서 관리 작업을 수행하고, 프로젝트를 빌드 및 개발하고, 조건부로 Azure AI 사용자 역할을 다른 사용자 보안 주체에 할당할 수 있습니다. |
| Azure AI 계정 소유자 | AI 프로젝트 및 계정을 관리할 수 있는 모든 권한을 부여하고 Azure AI 사용자 역할을 다른 사용자 보안 주체에 조건부로 할당할 수 있습니다. |
Note
삭제된 AI Foundry 계정을 보고 제거하려면 구독 범위에 기여자 역할이 할당되어 있어야 합니다.
Azure AI 프로젝트 관리자와 Azure AI 계정 소유자 간의 주요 차이점은 다음과 같은 기능입니다.
- 새 Azure AI Foundry 계정 리소스를 만듭니다.
Azure AI 계정 소유자만 이 작업을 수행할 수 있습니다.
두 번째 차이점은 역할 정의, 즉 데이터 동작
Microsoft.CognitiveServices/*에 나타납니다. 이 데이터 작업을 통해 사용자는 프로젝트 내에서 데이터 작업 읽기, 쓰기 혹은 삭제를 완료할 수 있습니다. Azure AI 프로젝트 관리자는 이 작업을 수행할 수 있지만 Azure AI 계정 소유자는 수행할 수 없습니다. Azure AI 사용자 및 Azure AI 프로젝트 관리자만 AI 프로젝트에 대한 데이터 작업을 가져옵니다. Azure AI 프로젝트 관리자를 상승된 Azure AI 사용자로 간주합니다.
이러한 기본 제공 역할 할당 외에도 소유자, 기여자 및 읽기 권한자와 같은 Azure 권한 있는 관리자 역할이 있습니다. 이러한 역할은 Azure AI Foundry 리소스 권한과 관련이 없으므로 이전에 설명한 기본 제공 역할을 최소 권한 액세스에 사용합니다.
다음 표를 사용하여 Azure 권한 있는 관리자 역할을 포함하여 각 기본 제공 역할에 대한 권한을 확인합니다.
| 기본 제공 역할 | Foundry 프로젝트 만들기 | Foundry 계정 만들기 | 프로젝트에서 빌드 및 개발(데이터 작업) | 역할 할당 완료 | 프로젝트 및 계정에 대한 읽기 권한자 액세스 | 모델 관리 |
|---|---|---|---|---|---|---|
| Azure AI 사용자 | ✔ | ✔ | ||||
| Azure AI Project Manager | ✔ | ✔ | ✔ (Azure AI 사용자 역할만 할당) | ✔ | ||
| Azure AI 계정 소유자 | ✔ | ✔ | ✔ (Azure AI 사용자 역할만 할당) | ✔ | ✔ | |
| Owner | ✔ | ✔ | ✔ (모든 사용자에게 모든 역할 할당) | ✔ | ✔ | |
| Contributor | ✔ | ✔ | ✔ | ✔ | ||
| Reader | ✔ |
프로젝트의 기본 역할
Azure AI 사용자
Azure AI 사용자 역할에 대한 권한은 다음과 같습니다.
{
"id": "/providers/Microsoft.Authorization/roleDefinitions/53ca6127-db72-4b80-b1b0-d745d6d5456d",
"properties": {
"roleName": "Azure AI User",
"description": "Grants reader access to AI projects, reader access to AI accounts, and data actions for an AI project.",
"assignableScopes": ["/"],
"permissions": [
{
"actions": [
"Microsoft.CognitiveServices/*/read",
"Microsoft.CognitiveServices/accounts/listkeys/action",
"Microsoft.Insights/alertRules/read",
"Microsoft.Insights/diagnosticSettings/read",
"Microsoft.Insights/logDefinitions/read",
"Microsoft.Insights/metricdefinitions/read",
"Microsoft.Insights/metrics/read",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": ["Microsoft.CognitiveServices/*"],
"notDataActions": []
}
]
}
}
Note
Azure AI 사용자 역할만 사용자 계정에 할당되고 다른 Azure 기본 제공 역할이 할당되지 않은 경우 Foundry 포털에서 Foundry 리소스를 보려면 Azure AI Foundry 리소스에 대한 읽기 권한자 역할도 할당합니다. 파운드리 포털 UX 환경에만 적용됩니다.
Azure AI 프로젝트 관리자
Azure AI 계정 소유자 역할은 조건부 Azure 역할 할당 위임을 사용합니다. 조건부 위임을 사용하면 역할은 리소스 그룹의 사용자 주체에게 Azure AI 사용자 역할만 할당할 수 있습니다. 조건부 위임을 사용하면 관리자가 역할 할당을 위임하여 팀이 AI Foundry 프로젝트 빌드를 시작할 수 있습니다. 자세한 내용은 조건이 있는 다른 사용자에게 Azure 역할 할당 관리 위임을 참조하세요.
Azure AI 프로젝트 관리자 역할에 대한 권한은 다음과 같습니다.
{
"id": "/providers/Microsoft.Authorization/roleDefinitions/eadc314b-1a2d-4efa-be10-5d325db5065e",
"properties": {
"roleName": "Azure AI Project Manager",
"description": "Lets you perform developer actions and management actions on Azure AI Foundry Projects. Allows for making role assignments, but limited to Cognitive Service User role.",
"assignableScopes": [
"/"
],
"permissions": [
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete",
"Microsoft.CognitiveServices/accounts/*/read",
"Microsoft.CognitiveServices/accounts/projects/*",
"Microsoft.CognitiveServices/locations/*/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.CognitiveServices/*"
],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{53ca6127-db72-4b80-b1b0-d745d6d5456d})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{53ca6127-db72-4b80-b1b0-d745d6d5456d}))"
}
]
}
}
Azure AI 계정 소유자
Azure AI 계정 소유자 역할은 조건이 있는 다른 사용자에게 위임된 Azure 역할 할당 관리를 활용합니다. 조건부 위임으로 인해 Azure AI 계정 소유자 역할은 리소스 그룹의 다른 사용자 원칙에 Azure AI 사용자 역할만 할당할 수 있습니다. 조건부 위임을 사용하면 엔터프라이즈 관리자가 역할 할당 작업을 위임하여 AI Foundry 프로젝트 빌드 및 개발을 시작할 수 있습니다. 조건이 있는 역할 할당에 대한 자세한 내용은 조건이 있는 다른 사용자에게 Azure 역할 할당 관리 위임을 참조하세요.
새 Azure AI 계정 소유자 역할에 대한 전체 권한 집합은 다음과 같습니다.
{
"id": "/providers/Microsoft.Authorization/roleDefinitions/e47c6f54-e4a2-4754-9501-8e0985b135e1",
"properties": {
"roleName": "Azure AI Account Owner",
"description": "Grants full access to manage AI projects and accounts. Grants conditional assignment of the Azure AI User role to other user principals.",
"assignableScopes": [
"/"
],
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete",
"Microsoft.CognitiveServices/*",
"Microsoft.Features/features/read",
"Microsoft.Features/providers/features/read",
"Microsoft.Features/providers/features/register/action",
"Microsoft.Insights/alertRules/*",
"Microsoft.Insights/diagnosticSettings/*",
"Microsoft.Insights/logDefinitions/read",
"Microsoft.Insights/metricdefinitions/read",
"Microsoft.Insights/metrics/read",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/deployments/operations/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourcegroups/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{53ca6127-db72-4b80-b1b0-d745d6d5456d})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{53ca6127-db72-4b80-b1b0-d745d6d5456d}))"
}
]
}
}
프로젝트에 대한 샘플 엔터프라이즈 RBAC 설정
이 표에서는 엔터프라이즈 Azure AI Foundry 리소스에 대한 RBAC(역할 기반 액세스 제어)의 예시를 보여 줍니다.
| Persona | Role | Purpose |
|---|---|---|
| IT 관리자 | 구독 소유자 | IT 관리자는 Azure AI Foundry 리소스가 엔터프라이즈 표준을 충족하는지 확인합니다. 관리자에게 리소스에 대한 Azure AI 계정 소유자 역할을 할당하여 새 Azure AI Foundry 계정을 만들 수 있도록 합니다. 관리자에게 리소스에 대한 Azure AI 프로젝트 관리자 역할을 할당하여 계정 내에서 프로젝트를 만들 수 있도록 합니다. |
| Managers | Azure AI Foundry 리소스의 Azure AI 계정 소유자 | 관리자는 Azure AI Foundry 리소스를 관리하고, 모델을 배포하고, 컴퓨팅 리소스를 감사하고, 연결을 감사하고, 공유 연결을 만듭니다. 프로젝트에서 빌드할 수는 없지만 Azure AI 사용자 역할을 자신과 다른 사용자에게 할당하여 빌드를 시작할 수 있습니다. |
| 팀 리더 또는 수석 개발자 | Azure AI Foundry 리소스의 Azure AI 프로젝트 관리자 | 수석 개발자는 팀을 위한 프로젝트를 만들고 해당 프로젝트에서 빌드를 시작합니다. 프로젝트를 만든 후 프로젝트 소유자는 다른 멤버를 초대하고 Azure AI 사용자 역할을 할당합니다. |
| 팀 구성원 또는 개발자 | Azure AI Foundry 리소스의 Azure AI 사용자 | 개발자는 프로젝트에서 에이전트를 빌드합니다. |
Important
기여자 역할을 가진 사용자는 Azure AI Foundry에서 모델을 배포할 수 있습니다.
AI Foundry 외부에서 만든 리소스에 액세스
AI Foundry 리소스를 만들 때 기본 제공 RBAC(역할 기반 액세스 제어) 권한을 통해 리소스에 액세스할 수 있습니다. AI Foundry 외부에서 만든 리소스를 사용하려면 다음 두 가지 모두 true인지 확인합니다.
- 리소스에 액세스할 수 있는 권한이 있습니다. 예를 들어 새 Azure Blob Storage 계정을 사용하려면 해당 스토리지 계정의 Storage Blob 데이터 판독기 역할에 AI Foundry 계정 리소스의 관리 ID를 추가합니다. 새 Azure AI 검색 원본을 사용하려면 Azure AI 검색 역할 할당에 AI Foundry를 추가합니다.
프로젝트에 대한 역할을 사용하여 액세스 관리
Azure AI Foundry 계정 리소스의 소유자인 경우 역할을 추가하거나 제거합니다. 1. Azure AI Foundry의 홈 페이지에서 Azure AI Foundry 리소스를 선택합니다.
- 리소스에 대한 사용자를 추가하거나 제거하려면 사용자를 선택합니다. 또한 Access Control(IAM)에서 또는 Azure CLI를 사용하여 Azure Portal에서 권한을 관리합니다.
예를 들어 다음 명령은 ID가 joe@contoso.com인 구독의 리소스 그룹 this-rg에 대해 Azure AI 사용자 역할을 00000000-0000-0000-0000-000000000000에 할당합니다.
az role assignment create --role "Azure AI User" --assignee "joe@contoso.com" --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/this-rg
프로젝트에 대한 사용자 지정 역할 만들기
기본 제공 역할로 충분하지 않은 경우 사용자 지정 역할을 만듭니다. 사용자 지정 역할에는 Azure AI Foundry 리소스에 대한 읽기, 쓰기, 삭제 및 컴퓨팅 권한이 포함될 수 있습니다. 프로젝트, 리소스 그룹 또는 구독 범위에서 역할을 사용할 수 있도록 합니다.
Note
해당 리소스에서 사용자 지정 역할을 만들려면 해당 범위에서 소유자 역할이 필요합니다.
사용자 지정 역할을 만들려면 다음 문서 중 하나를 사용합니다.
사용자 지정 역할에 대한 자세한 내용은 Azure 사용자 지정 역할 문서를 참조하세요.
Azure AI Foundry에서 Microsoft Entra 그룹 사용
Microsoft Entra ID는 리소스, 애플리케이션 및 작업에 대한 액세스를 관리하는 여러 가지 방법을 제공합니다. Microsoft Entra 그룹을 사용하면 각 개별 사용자 대신 사용자 그룹에 액세스 권한과 권한을 부여할 수 있습니다. 엔터프라이즈 IT 관리자를 위해 Azure Portal에서 Microsoft Entra 그룹을 만들어 개발자의 역할 할당 프로세스를 간소화할 수 있습니다. Microsoft Entra 그룹을 만들 때 필요한 리소스에 필요한 역할 할당을 그룹에 할당하여 Foundry 프로젝트에서 작업하는 새 개발자에게 필요한 역할 할당 수를 최소화할 수 있습니다.
Azure AI Foundry에서 Entra ID 그룹을 사용하려면 다음 단계를 완료합니다.
Azure Portal에서 그룹으로 이동합니다.
그룹 포털에서 새 보안 그룹을 만듭니다.
Microsoft Entra 그룹의 소유자를 할당하고 조직의 개별 사용자 주체를 그룹에 멤버로 추가합니다. 그룹을 저장합니다.
역할 할당이 필요한 리소스로 이동합니다.
- 본보기: Foundry에서 에이전트를 빌드하고 추적을 실행하려면 최소 권한 'Azure AI 사용자' 역할을 사용자 원칙에 할당해야 합니다. 엔터프라이즈의 모든 사용자가 Foundry에서 빌드할 수 있도록 새 Microsoft Entra 그룹에 'Azure AI 사용자' 역할을 할당합니다.
- 본보기: Azure AI Foundry에서 추적 및 모니터링 기능을 사용하려면 연결된 Application Insights 리소스에 대한 '읽기 권한자' 역할 할당이 필요합니다. 기업의 모든 사용자가 추적 및 모니터링 기능을 사용할 수 있도록 새 Microsoft Entra 그룹에 '읽기 권한자' 역할을 할당합니다.
액세스 제어(IAM)로 이동합니다.
할당할 역할을 선택합니다.
"사용자, 그룹 또는 서비스 원칙"에 대한 액세스를 할당하고 새 보안 그룹을 선택합니다.
검토 및 할당. 이제 역할 할당이 그룹에 할당된 모든 사용자 원칙에 적용됩니다.
Entra ID 그룹, 필수 구성 요소 및 제한 사항에 대한 자세한 내용은 다음을 참조하세요.