Azure AI Studio ハブを作成および管理する方法
AI Studio において、ハブはチームが共同作業や作業の整理を行うための環境を提供し、チーム リーダーまたは IT 管理者がセキュリティ設定を一元的に設定し、使用状況と支出を管理するのに役立ちます。 ハブは、Azure portal または AI Studio から作成および管理できます。
この記事では、すぐに作業を開始できるように、既定の設定を使用して AI Studio でハブを作成および管理する方法について説明します。 ハブのセキュリティまたは依存リソースをカスタマイズする必要がありますか? その場合は、Azure portal かテンプレート オプションを使用します。
AI Studio でハブを作成する
新しいハブを作成するには、リソース グループまたは既存のハブの所有者ロールまたは共同作成者ロールが必要です。 アクセス許可が理由でハブを作成できない場合は、管理者に連絡してください。 組織で Azure Policy を使用している場合は、AI Studio 内でリソースを作成しないでください。 代わりに、Azure portal でハブを作成します。
Note
Azure AI Studio のハブは、セキュリティやリソースなど、AI プロジェクトに必要なすべてを管理するワンストップ ショップであるため、開発とテストを迅速化できます。 ハブがどのように役立つかの詳細については、ハブとプロジェクトの概要に関する記事を参照してください。
Azure AI Studio でハブを作成するには、次の手順に従ってください。
Azure AI Studio の [ホーム] ページに移動し、Azure アカウントでサインインします。
左ペインで、[すべてのリソース] を選びます。 このオプションが表示されない場合は、上部のバーで [All resources & projects] (すべてのリソースとプロジェクト) を選びます。 次に、[+ 新しいハブ] を選択します。
[新しいハブの作成] ダイアログで、ハブの名前 (contoso-hub など) を入力します。 リソース グループがない場合は、新しいリソース グループが作成され、指定したサブスクリプションにリンクされます。 既定 の [Azure AI サービスの接続] オプションは選択したままにします。
[次へ] を選択します。 既存のリソース グループを再利用しなかった場合は、新しいリソース グループ (rg-contoso) が作成されます。 ハブ用に Azure AI サービス (ai-contoso-hub) も作成されます。
Note
[リソース グループ] と [Connect Azure AI Services] (Azure AI サービスの接続) のエントリの前に (新規) が表示されない場合は、既存のリソースが使用されています。 このチュートリアルでは、[新しいリソース グループの作成] と [新しい AI サービスの作成] を使用して、別のエンティティを作成します。 こうすることで、チュートリアルの後にエンティティを削除することにより、予期しない課金が発生するのを防止できます。
情報を確認し、 [作成] を選択します。
ウィザードでハブの作成の進行状況を表示できます。
Azure portal で安全なハブを作成する
組織で Azure Policy を使用している場合は、リソースの作成に AI Studio を使用せずに、組織の要件を満たすハブをセットアップします。
Azure portal で、
Azure AI Studioを検索し、[+ 新しい Azure AI ハブ] を選択して新しいハブを作成します。ハブの名前、サブスクリプション、リソース グループ、および場所の詳細を入力します。
Azure AI サービスの基本モデルの場合は、既存の AI サービス リソースを選択するか、新しいリソースを作成します。 新しい Azure AI サービスには、Speech、Content Safety、Azure OpenAI 用の複数の API エンドポイントが含まれています。
[ストレージ] タブを選択して、ストレージ アカウントの設定を指定します。 資格情報を格納するには、Azure Key Vault を指定するか、Microsoft が管理する資格情報ストア (プレビュー) を使用します。
![ストレージ リソース情報を設定するオプションを含む [ハブの作成] のスクリーンショット。](../media/how-to/hubs/resource-create-resources.png)
[ネットワーク] タブを選択して、ネットワークの分離を設定します。 ネットワークの分離に関する詳細をご覧ください。 安全なハブを作成する手順については、「安全なハブの作成」を参照してください。
[暗号化] タブを選択して、データ暗号化を設定します。 Microsoft マネージド キーまたはカスタマー マネージド キーのいずれかを使用できます。
![暗号化の種類を選択するオプションが表示された [ハブの作成] のスクリーンショット。](../../reusable-content/ce-skilling/azure/media/ai-studio/resource-create-encryption.png)
[ID] タブを選択します。既定では、システム割り当て ID が有効になっていますが、[ストレージ] で既存のストレージ、キー コンテナー、コンテナー レジストリが選択されている場合は、ユーザー割り当て ID に切り替えることができます。
![マネージド ID を選択するオプションを含む [ハブの作成] のスクリーンショット。](../../reusable-content/ce-skilling/azure/media/ai-studio/resource-create-identity.png)
Note
[ユーザー割り当て ID] を選択した場合、新しいハブを正常に作成するには、ID に
Cognitive Services Contributorロールが必要です。[タグ] タブを選択してタグを追加します。
![タグを追加するオプションを含む [ハブの作成] のスクリーンショット。](../../reusable-content/ce-skilling/azure/media/ai-studio/resource-create-tags.png)
[確認と作成]>[作成] の順に選択します。
![ストレージ リソース情報を設定するオプションを含む [ハブの作成] のスクリーンショット。](../media/how-to/hubs/resource-create-resources.png#lightbox)
![暗号化の種類を選択するオプションが表示された [ハブの作成] のスクリーンショット。](../../reusable-content/ce-skilling/azure/media/ai-studio/resource-create-encryption.png#lightbox)
![マネージド ID を選択するオプションを含む [ハブの作成] のスクリーンショット。](../../reusable-content/ce-skilling/azure/media/ai-studio/resource-create-identity.png#lightbox)
![タグを追加するオプションを含む [ハブの作成] のスクリーンショット。](../../reusable-content/ce-skilling/azure/media/ai-studio/resource-create-tags.png#lightbox)
Azure portal からハブを管理する
アクセスの制御の管理
Azure portal 内の [アクセス制御 (IAM)] からロールの割り当てを管理します。 ハブのロールベースのアクセス制御の詳細は、リンク先を確認してください。
ユーザーにアクセス許可を付加するには、次のようにします。
[+ 追加] を選択して、ハブにユーザーを追加します。
割り当てるロールを選択します。
ロールを付与するメンバーを選択します。
![Azure portal ハブ ビュー内の [メンバーの追加] ページのスクリーンショット。](../../reusable-content/ce-skilling/azure/media/ai-studio/resource-rbac-members.png)
レビューと割り当て。 ユーザーにアクセス許可が適用されるまで最大 1 時間かかる場合があります。
![Azure portal ハブ ビュー内の [メンバーの追加] ページのスクリーンショット。](../../reusable-content/ce-skilling/azure/media/ai-studio/resource-rbac-members.png#lightbox)
ネットワーク
ハブのネットワーク設定は、リソースの作成時に設定する、または Azure portal ビュー内の [ネットワーク] タブ内で変更することができます。 新しいハブを作成すると、マネージド仮想ネットワークが呼び出されます。 組み込みの Managed Virtual Network を使って、ネットワーク分離構成を合理化し、自動化します。 Managed Virtual Network 設定は、ハブ内に作成されたすべてのプロジェクトに適用されます。
ハブの作成時に、次のネットワーク分離モードから選択します: パブリック、インターネット送信付きプライベート、承認された送信付きプライベート。 リソースをセキュリティ保護するために、ネットワークのニーズに応じて [インターネット アウトバウンドに関してプライベート] または [承認されたアウトバウンドに関してプライベート] を選択します。 プライベート分離モードでは、受信アクセス用にプライベート エンドポイントを作成する必要があります。 ネットワークの分離に関する詳細については、マネージド仮想ネットワーク分離に関する記事をご覧ください。 安全なハブを作成するには、「安全なハブの作成」を参照してください。
Azure portal 内でハブを作成すると、関連する Azure AI サービス、Storage アカウント、Key Vault (オプション)、Application Insights (オプション)、Container Registry (オプション) が作成されます。 これらのリソースは、作成時に [リソース] タブに表示されます。
Azure AI サービス (Azure OpenAI、Azure AI Search、Azure AI Content Safety) や Azure AI Studio のストレージ アカウントに接続するには、仮想ネットワーク内にプライベート エンドポイントを作成します。 プライベート エンドポイント接続の作成時に、公衆ネットワーク アクセス (PNA) フラグが無効になっていることを確認します。 Azure AI サービス接続の詳細については、こちらのドキュメントに従ってください。 必要に応じて、BYO (独自のものを使用する) 検索ができますが、この場合、仮想ネットワークからのプライベート エンドポイント接続が必要になります。
暗号化
同じハブを使用するプロジェクトは、暗号化の構成を共有します。 暗号化モードは、ハブの作成時にのみ、Microsoft マネージド キーとカスタマー マネージド キーのどちらかを設定できます。
Azure portal ビューから暗号化タブに移動し、ハブの暗号化設定を確認します。 CMK 暗号化モードを使用するハブでは、暗号化キーを新しいキー バージョンに更新できます。 この更新操作は、元のキーと同じ Key Vault インスタンス内のキーとキー バージョンに限定されます。
![Azure portal のハブの [暗号化] ページのスクリーンショット。](../../reusable-content/ce-skilling/azure/media/ai-studio/resource-manage-encryption.png#lightbox)
Azure Application Insights と Azure Container Registry を更新する
プロンプト フローにカスタム環境を使用するには、ハブ用に Azure Container Registry を構成する必要があります。 プロンプト フローのデプロイに Azure Application Insights を使用するには、ハブに構成された Azure Application Insights リソースが必要です。 ワークスペースにアタッチされた Azure Container Registry または Application Insights リソースを更新すると、以前のジョブ、デプロイされた推論エンドポイント、またはこのワークスペースで以前のジョブを再実行する機能の系列が壊れるおそれがあります。
また、Azure portal、Azure SDK/CLI オプション、またはコードとしてのインフラストラクチャ テンプレートを使用して、ハブの Azure Application Insights と Azure Container Registry の両方を更新することができます。
作成中または作成後の更新時に、これらのリソースのハブを構成できます。
Azure portal から Azure Application Insights を更新するには、Azure portal 内でハブの [プロパティ] に移動し、[Application Insights を変更する] を選択します。
資格情報の格納方法を選択する
ユーザーに代わって資格情報を格納するための AI Studio のシナリオを選択します。 たとえば、格納されたアカウント キーを使用して Azure Storage アカウントにアクセスしたり、管理パスワードを使用して Azure Container Registry にアクセスしたりするための接続を AI Studio に接続する場合や、有効な SSH キーを使用してコンピューティング インスタンスを作成する場合などがあります。 EntraID ID ベースの認証を選択した場合は、資格情報は接続とともに格納されません。
資格情報を格納する場所を以下から選択できます。
Azure Key Vault: これを使用するには、独自の Azure Key Vault インスタンスを管理し、それをハブごとに構成する必要があります。 これにより、有効期限ポリシーの設定など、シークレットのライフサイクルをさらに細かく制御できます。 また、格納されているシークレットを Azure の他のアプリケーションと共有することもできます。
Microsoft が管理する資格情報ストア (プレビュー): この方法では、Microsoft がユーザーに代わってハブごとに Azure Key Vault インスタンスを管理します。 ご自分の側でリソース管理を行う必要はなく、コンテナーは Azure サブスクリプションに表示されません。 シークレット データのライフサイクルは、ハブとプロジェクトのリソース ライフサイクルに従います。 たとえば、プロジェクトのストレージ接続が削除されると、格納されているシークレットも削除されます。
ハブが作成された後は、Azure Key Vault と Microsoft が管理する資格情報ストアの使用を切り替えることはできません。
Azure AI Studio ハブを削除する
Azure AI Studio からハブを削除するには、ハブを選択し、ページの [Hub properties] (Hub のプロパティ) セクションから [Delete hub] (ハブの削除) を選択します。
Note
Azure portal からハブを削除することもできます。
ハブを削除すると、関連するすべてのプロジェクトが削除されます。 プロジェクトが削除されると、プロジェクトの入れ子になったエンドポイントもすべて削除されます。 必要に応じて、接続されているリソースを削除できます。ただし、他のどのアプリケーションもこの接続を使用していないことを確認してください。 たとえば、別の Azure AI Studio デプロイでそれを使用している可能性があります。