Contrôler le déploiement du modèle avec des stratégies personnalisées
Quand vous utilisez des modèles provenant d’Azure AI Services et d’Azure OpenAI avec Azure AI Foundry, il peut être nécessaire d’utiliser des stratégies personnalisées pour contrôler les options de type de déploiement disponibles pour les utilisateurs ou les modèles spécifiques que les utilisateurs peuvent déployer. Cet article vous guide dans la façon de créer des stratégies pour contrôler les déploiements de modèles en utilisant des stratégies Azure.
Prérequis
- Un abonnement Azure. Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.
- Autorisations de création et d’affectation de stratégies. Pour créer et affecter des stratégies, vous devez être Propriétaire ou Contributeur de stratégie de ressources au niveau de l’abonnement Azure ou du groupe de ressources.
- Bonne connaissance d’Azure Policy. Pour en savoir plus, consultez Présentation d’Azure Policy.
Créer une stratégie personnalisée
Suivez ces étapes pour créer et affecter un exemple de stratégie personnalisée pour contrôler les déploiements de modèles :
Dans le portail Azure, sélectionnez Stratégie sur le côté gauche de la page. Vous pouvez également rechercher Stratégie dans la barre de recherche en haut de la page.
À gauche du tableau de bord Azure Policy, sélectionnez Création, Définitions, puis + Définition de stratégie en haut de la page.
Dans le formulaire Définition de stratégie, utilisez les valeurs suivantes :
- Emplacement de définition : sélectionnez l’abonnement ou le groupe d’administration dans lequel vous souhaitez stocker la définition de stratégie.
-
Nom de la stratégie : entrez un nom unique pour la définition de stratégie. Par exemple :
Custom allowed Azure AI services and Azure OpenAI models. - Description : entrez une description pour la définition de stratégie.
- Catégorie : vous pouvez créer une catégorie ou utiliser une catégorie existante. Par exemple, « Gouvernance du modèle IA ».
Dans Règle de stratégie, entrez les détails de la règle de stratégie au format JSON. Sélectionnez le scénario qui s’applique le mieux à votre cas :
La stratégie suivante vous permet de contrôler les modèles et les versions spécifiques disponibles pour le déploiement. Vous pouvez appliquer cette stratégie à différents niveaux en fonction de vos besoins.
{ "mode": "All", "policyRule": { "if": { "allOf": [ { "field": "type", "equals": "Microsoft.CognitiveServices/accounts/deployments" }, { "not": { "value": "[concat(field('Microsoft.CognitiveServices/accounts/deployments/model.name'), ',', field('Microsoft.CognitiveServices/accounts/deployments/model.version'))]", "in": "[parameters('allowedModels')]" } } ] }, "then": { "effect": "deny" } }, "parameters": { "allowedModels": { "type": "Array", "metadata": { "displayName": "Allowed AI models", "description": "The list of allowed models to be deployed." } } } }Conseil
Les services Azure AI étaient initialement nommés Azure Cognitive Services. Ce nom est toujours utilisé en interne par Azure, par exemple cette stratégie personnalisée où vous pouvez voir une valeur de
Microsoft.CognitiveServices. Azure OpenAI fait partie des services Azure AI. Cette stratégie s’applique donc également aux modèles Azure OpenAI.Cliquez sur Enregistrer pour enregistrer votre définition de stratégie. Après l’enregistrement, vous arrivez à la page de vue d’ensemble de la définition de stratégie.
Dans la page de présentation de la définition de stratégie, sélectionnez Affecter une stratégie pour affecter la définition de stratégie.
Dans la page Affecter une stratégie, utilisez les valeurs suivantes sous l’onglet De base :
- Étendue : sélectionnez l’étendue dans laquelle vous souhaitez affecter la stratégie. L’étendue peut être un groupe d’administration, un abonnement ou un groupe de ressources.
- Définition de stratégie : ce champ est prérempli avec le titre de la définition de stratégie que vous avez créée précédemment.
- Nom d’affectation : entrez un nom unique pour l’affectation.
- Application de la stratégie : vérifiez que le champ Application de la stratégie est défini sur Activé. Si ce n’est pas activé, la stratégie n’est pas appliquée.
Sélectionnez Suivant en bas de la page ou l’onglet Paramètres en haut de la page.
Configurez les paramètres de la stratégie (le cas échéant) :
Sous l’onglet Paramètres, définissez Modèles IA autorisés sur la liste des modèles que vous souhaitez autoriser. La liste doit être une liste séparée par des virgules des noms de modèles et des versions approuvées, entre crochets. Par exemple :
["gpt-4,0613", "gpt-35-turbo,0613"].Conseil
Vous trouverez les noms des modèles et leurs versions dans le catalogue de modèles Azure AI Foundry. Sélectionnez le modèle pour afficher les détails, puis copiez le nom du modèle et sa version dans le titre.
Si vous le souhaitez, sélectionnez l’onglet Messages de non-conformité en haut de la page et définissez un message personnalisé pour le manque de conformité.
Sélectionnez l’onglet Vérifier + créer et vérifiez que l’affectation de stratégie est correcte. Lorsque vous êtes prêt, sélectionnez Créer pour affecter la stratégie.
Informez vos développeurs que la stratégie est en place. Ils reçoivent un message d’erreur s’ils tentent de déployer un modèle qui n’est pas dans la liste des modèles autorisés.
Vérifier une attribution de stratégie
Pour vérifier que la stratégie est affectée, accédez à Stratégie dans le portail Azure, puis sélectionnez Affectations sous Création. Vous devriez voir la stratégie répertoriée.
Effectuez le monitoring de la conformité
Pour surveiller la conformité à la stratégie, procédez de la manière suivante :
Dans le portail Azure, sélectionnez Stratégie sur le côté gauche de la page. Vous pouvez également rechercher Stratégie dans la barre de recherche en haut de la page.
À gauche du tableau de bord Azure Policy, sélectionnez Conformité. Chaque affectation de stratégie est répertoriée avec l’état de conformité. Pour afficher plus de détails, sélectionnez l’affectation de stratégie. L’exemple suivant montre le rapport de conformité d’une stratégie qui bloque les déploiements de type Standard global.
Mettre à jour l’affectation de stratégie
Pour mettre à jour une affectation de stratégie existante avec de nouveaux modèles, procédez de la manière suivante :
- Dans le portail Azure, sélectionnez Stratégie sur le côté gauche de la page. Vous pouvez également rechercher Stratégie dans la barre de recherche en haut de la page.
- À gauche du tableau de bord Azure Policy, sélectionnez Affectations, et recherchez l’affectation de stratégie existante. Sélectionnez les points de suspension (...) en regard de l’affectation, puis sélectionnez Modifier l’affectation.
- À partir de l’onglet Paramètres, mettez à jour le paramètre Modèles autorisés avec les nouveaux modèles.
- Dans l’onglet Vérifier + Enregistrer, sélectionnez Enregistrer pour mettre à jour l’affectation de stratégie.
Bonnes pratiques
- Étendue granulaire : affectez des stratégies à l’étendue appropriée pour équilibrer le contrôle et la flexibilité. Par exemple, appliquez au niveau de l’abonnement pour contrôler toutes les ressources de l’abonnement ou appliquez au niveau du groupe de ressources pour contrôler les ressources d’un groupe spécifique.
- Nommage de stratégie : utilisez une convention de nommage cohérente pour les affectations de stratégie afin de faciliter l’identification de l’objectif de la stratégie. Incluez des informations telles que l’objectif et l’étendue dans le nom.
- Documentation : conservez les enregistrements des affectations de stratégie et des configurations à des fins d’audit. Documentez les modifications apportées à la stratégie au fil du temps.
- Révisions régulières : passez régulièrement en revue les affectations de stratégie pour vous assurer qu’elles s’alignent sur les exigences de votre organisation.
- Test : testez les stratégies dans un environnement hors production avant de les appliquer aux ressources de production.
- Communication : assurez-vous que les développeurs connaissent les stratégies en place et comprennent ce que leur travail implique.