DAY16 實戰 Azure Machine Learning RBAC

我們今天就來實戰 RBAC 吧！還記得前幾天我們大篇幅講了 Azure Machine Learning（下稱 AML）的資料標記功能嗎？

今天我們就來實做一個角色，讓然後指派這個角色給使用者，讓該使用者只有標註資料的權限。

建立新的使用者

1. 首先我們先到 Azure AD 裡面，建立新的使用者。點選 Azure Portal 左方 Blade 選單的 Azure AD 進去，然後按左上角的 Create。
   

2. 點下 Create 之後，右邊會跳出一個視窗，選擇 Create user。

• 然後在 User name 幫他建了一個新的帳號，到時候他就可以靠這個像是 Email 的格式登入 Azure。
• 在 Name 裡幫他取一個響亮的名字，這裡我們取 koko the labeler。
• 密碼設定的部分，看是要自動產生，還是建立一個客製化的密碼。不過在首次登入時，會要 user 改成自己的密碼。
• 剩下的設定讓它 default 就好了，然後按下 Create，就建立一個新的使用者啦！

3. 接著我們進入到建立 AML 的 Resource group 裡面，然後點左邊選單的中的 Access Control(IAM)進去，然後左上角的 Add 點下去後，我們選最下面那個 Add custom role，我們就來建立一個客製化的角色吧！

4. 進去 custom role 頁面後，上方會有5個頁簽，我們先在第一個 Basics 裡輸入這個角色的名稱，我們取名為 Data Labeler。剩下的選項就讓它 Default，baseline permissions 就讓它選 start from scratch。
   

5. 然後我們直接切換到 JSON 那個頁簽，可以看到這個角色權限的設定是由 JSON 來完成的。畫面中的 permissions 裡，可以做的和不可以做的，都是空白的。我們點擊右上角的 Edit，來編輯這個 JSON。
   

6. 我們把 JSON 改為如下圖所示。可以仔細看 Actions 和 notActions 裡面的設定，我們只讓這個 role 可以讀 workspace 和 labeling project，然後可以寫 label。但是我們不讓它可以讀這個 project 的 summary。
   

7. 然後我們就切換到 Review + create，看一下我們的設定，然後左下的 Create 點下去。
   

8. 接著我們進到 AML 那個資源裡，然後點左邊選單的中的 Access Control(IAM)進去，然後左上角的 Add 點下去後，我們選那個 Add role assignment。
   

9. 這時候右邊會跳出選單，我們在 Role 那個欄位，可以選到我們剛剛建立的 Labeler。然後我們再把稍早建立的使用者，koko the labeler，指派 Labeler 這個角色給他。然後按 Save
   

切換使用者登入

10. 我們開個無痕視窗，用稍早建立的那個使用者登入吧！登入後進到 AML 這個資源，可以看到我們這次鐵人賽建立的 workspace。
    

11. 然後我們點擊進去後，會發現只能看到資料標記這個 Project，其他什麼東西也看不到了！我們就點擊進去標記個幾張影像吧！
    

12. 接著我們再切換回主帳號，可以看到 Dashboard 右邊，多了 koko the labeler 標記的紀錄了。
    

以上就是今天的 RBAC 實戰啦！我們建立了一個新的使用者，和客製化了一個角色，然後把角色指派給新使用者。新使用者就可以來協助資料的標記了！