Compartilhar via


Conexões no portal do Azure AI Foundry

As conexões no portal do Azure AI Foundry são uma forma de autenticar e consumir recursos da Microsoft e de terceiros em seus projetos do Azure AI Foundry. Por exemplo, as conexões podem ser usadas para um prompt flow, dados de treinamento e implantações. As conexões podem ser criadas exclusivamente para um projeto ou compartilhadas com todos os projetos no mesmo hub.

Conexões com serviços de IA do Azure

É possível criar conexões com serviços de IA do Azure, como o OpenAI do Azure e a Segurança de Conteúdo de IA do Azure. Em seguida, você pode usar a conexão em uma ferramenta do prompt flow, como a ferramenta LLM.

Captura de tela de uma conexão usada pela ferramenta LLM no prompt flow.

Também é possível, por exemplo, criar uma conexão com um recurso de Pesquisa de IA do Azure. Depois, a conexão pode ser usada por ferramentas de prompt flow, como a ferramenta de Pesquisa de Índice.

Captura de tela de uma conexão usada pela ferramenta de Pesquisa de Índice no prompt flow.

Conexões com serviços que não são da Microsoft

O Azure AI Foundry dá suporte a conexões com serviços que não são da Microsoft, incluindo o seguinte:

  • A conexão de chave de API manipula a autenticação para o destino especificado individualmente. Esse é o tipo de conexão não Microsoft mais comum.
  • A conexão personalizada permite armazenar e acessar chaves com segurança ao armazenar propriedades relacionadas, como destinos e versões. As conexões personalizadas são úteis quando você tem muitos destinos ou casos em que não precisará de uma credencial para o acesso. Os cenários do LangChain são um bom exemplo no qual você usará conexões de serviço personalizadas. As conexões personalizadas não gerenciam a autenticação, portanto, você terá que gerenciar a autenticação por conta própria.

Conexões com armazenamentos de dados

Importante

As conexões de dados não podem ser compartilhadas entre projetos. Elas são criadas exclusivamente no contexto de um projeto.

A criação de uma conexão de dados permite que você acesse dados externos sem copiá-los para o seu projeto. Em vez disso, a conexão fornece uma referência à fonte de dados.

Uma conexão de dados oferece estes benefícios:

  • Uma API comum e fácil de usar que interage com diferentes tipos de armazenamento, incluindo Microsoft OneLake, Blob do Azure e Azure Data Lake Gen2.
  • Descoberta mais fácil de armazenamentos de dados úteis em operações de equipe.
  • Para acesso baseado em credenciais (identidade de serviço/SAS/chave), a conexão do Azure AI Foundry protege as informações de credenciais. Dessa forma, você não precisará colocar essas informações em seus scripts.

Ao criar um armazenamento de dados com uma conta de Armazenamento do Azure existente, você pode escolher entre dois métodos de autenticação diferentes:

  • Baseado em credencial: autentique o acesso de dados com uma entidade de serviço, um token SAS (assinatura de acesso compartilhado) ou uma chave de conta. Os usuários com permissões de projeto de Leitor podem acessar as credenciais.

  • Baseado em identidade: use sua identidade Microsoft Entra ID ou identidade gerenciada para autenticar o acesso a dados.

    Dica

    Ao usar uma conexão baseada em identidade, o controle de acesso baseado em função (RBAC) do Azure é usado para determinar quem pode acessar a conexão. Você precisa atribuir as funções de RBAC do Azure corretas aos desenvolvedores antes que eles possam usar a conexão. Para obter mais informações, confira Cenário: Conexões usando o Microsoft Entra ID.

A seguinte tabela mostra os serviços de armazenamento e os métodos de autenticação baseados em nuvem do Azure com suporte:

Serviço de armazenamento com suporte Autenticação baseada em credencial Autenticação baseada em identidade
Contêiner de Blob do Azure
Microsoft OneLake
Azure Data Lake Gen2

Um URI (Uniform Resource Identifier) representa um local de armazenamento em seu computador local, armazenamento do Azure ou um local http ou https disponível publicamente. Estes exemplos mostram URIs para diferentes opções de armazenamento:

Local de armazenamento Exemplos de URI
Conexão do Azure AI Foundry azureml://datastores/<data_store_name>/paths/<folder1>/<folder2>/<folder3>/<file>.parquet
Arquivos locais ./home/username/data/my_data
Servidor http ou https público https://raw.githubusercontent.com/pandas-dev/pandas/main/doc/data/titanic.csv
Armazenamento de Blobs wasbs://<containername>@<accountname>.blob.core.windows.net/<folder>/
Azure Data Lake (gen2) abfss://<file_system>@<account_name>.dfs.core.windows.net/<folder>/<file>.csv
Microsoft OneLake abfss://<file_system>@<account_name>.dfs.core.windows.net/<folder>/<file>.csv https://<accountname>.dfs.fabric.microsoft.com/<artifactname>

Observação

A conexão do Microsoft OneLake não dá suporte a tabelas do OneLake.

Cofres de chaves e segredos

As conexões permitem que você armazene credenciais com segurança, autentique o acesso e consuma dados e informações. Os segredos associados às conexões são mantidos com segurança no Azure Key Vault correspondente, aderindo a padrões robustos de segurança e conformidade. Como administrador, você pode auditar conexões compartilhadas e com escopo de projeto em um nível de hub (link para RBAC de conexão).

As conexões do Azure funcionam como proxies de cofre de chaves, e as interações com as conexões são, na verdade, interações diretas com um cofre de chaves do Azure. As conexões do Azure AI Foundry armazenam chaves de API com segurança, como segredos, em um cofre de chaves. O cofre de chaves RBAC (controle de acesso baseado em função) do Azure controla o acesso a esses recursos de conexão. Uma conexão faz referência às credenciais do local de armazenamento do cofre de chaves para uso adicional. Você não precisará lidar diretamente com as credenciais depois que elas forem armazenadas no cofre de chaves do hub. Você tem a opção de armazenar as credenciais no arquivo YAML. Um comando da CLI ou SDK pode substituí-las. Recomendamos que você evite o armazenamento de credenciais em um arquivo YAML, pois uma violação de segurança pode levar a um vazamento de credencial.

Próximas etapas