DAY16 实战 Azure Machine Learning RBAC

我们今天就来实战 RBAC 吧！还记得前几天我们大篇幅讲了 Azure Machine Learning（下称 AML）的资料标记功能吗？

今天我们就来实做一个角色，让然後指派这个角色给使用者，让该使用者只有标注资料的权限。

建立新的使用者

1. 首先我们先到 Azure AD 里面，建立新的使用者。点选 Azure Portal 左方 Blade 选单的 Azure AD 进去，然後按左上角的 Create。
   

2. 点下 Create 之後，右边会跳出一个视窗，选择 Create user。

• 然後在 User name 帮他建了一个新的帐号，到时候他就可以靠这个像是 Email 的格式登入 Azure。
• 在 Name 里帮他取一个响亮的名字，这里我们取 koko the labeler。
• 密码设定的部分，看是要自动产生，还是建立一个客制化的密码。不过在首次登入时，会要 user 改成自己的密码。
• 剩下的设定让它 default 就好了，然後按下 Create，就建立一个新的使用者啦！

3. 接着我们进入到建立 AML 的 Resource group 里面，然後点左边选单的中的 Access Control(IAM)进去，然後左上角的 Add 点下去後，我们选最下面那个 Add custom role，我们就来建立一个客制化的角色吧！

4. 进去 custom role 页面後，上方会有5个页签，我们先在第一个 Basics 里输入这个角色的名称，我们取名为 Data Labeler。剩下的选项就让它 Default，baseline permissions 就让它选 start from scratch。
   

5. 然後我们直接切换到 JSON 那个页签，可以看到这个角色权限的设定是由 JSON 来完成的。画面中的 permissions 里，可以做的和不可以做的，都是空白的。我们点击右上角的 Edit，来编辑这个 JSON。
   

6. 我们把 JSON 改为如下图所示。可以仔细看 Actions 和 notActions 里面的设定，我们只让这个 role 可以读 workspace 和 labeling project，然後可以写 label。但是我们不让它可以读这个 project 的 summary。
   

7. 然後我们就切换到 Review + create，看一下我们的设定，然後左下的 Create 点下去。
   

8. 接着我们进到 AML 那个资源里，然後点左边选单的中的 Access Control(IAM)进去，然後左上角的 Add 点下去後，我们选那个 Add role assignment。
   

9. 这时候右边会跳出选单，我们在 Role 那个栏位，可以选到我们刚刚建立的 Labeler。然後我们再把稍早建立的使用者，koko the labeler，指派 Labeler 这个角色给他。然後按 Save
   

切换使用者登入

10. 我们开个无痕视窗，用稍早建立的那个使用者登入吧！登入後进到 AML 这个资源，可以看到我们这次铁人赛建立的 workspace。
    

11. 然後我们点击进去後，会发现只能看到资料标记这个 Project，其他什麽东西也看不到了！我们就点击进去标记个几张影像吧！
    

12. 接着我们再切换回主帐号，可以看到 Dashboard 右边，多了 koko the labeler 标记的纪录了。
    

以上就是今天的 RBAC 实战啦！我们建立了一个新的使用者，和客制化了一个角色，然後把角色指派给新使用者。新使用者就可以来协助资料的标记了！