Use seus dados com segurança com o playground do portal do Azure AI Foundry
Use este artigo para saber como usar com segurança o bate-papo do playground do Azure AI Foundry em seus dados. As seções a seguir fornecem nossa configuração recomendada para proteger seus dados e recursos usando o controle de acesso baseado em função do Microsoft Entra ID, uma rede gerenciada e pontos de extremidade privados. Recomendamos desativar o acesso à rede pública para recursos do Azure OpenAI, recursos do Azure AI Search e contas de armazenamento. O uso de redes selecionadas com regras IP não é suportado porque os endereços IP dos serviços são dinâmicos.
Nota
As configurações de rede virtual gerenciada do Azure AI Foundry aplicam-se apenas aos recursos de computação gerenciados do Azure AI Foundry, não aos serviços de plataforma como serviço (PaaS), como o Azure OpenAI ou o Azure AI Search. Ao usar serviços PaaS, não há risco de exfiltração de dados porque os serviços são gerenciados pela Microsoft.
A tabela a seguir resume as alterações feitas neste artigo:
Configurações | Predefinido | Proteger | Notas |
---|---|---|---|
Dados enviados entre serviços | Enviado através da rede pública | Enviado através de uma rede privada | Os dados são enviados criptografados usando HTTPS, mesmo através da rede pública. |
Autenticação de serviço | Chaves de API | Microsoft Entra ID | Qualquer pessoa com a chave da API pode autenticar-se no serviço. O Microsoft Entra ID fornece autenticação mais granular e robusta. |
Permissões de serviço | Chaves de API | Controlo de acesso baseado em funções | As chaves de API fornecem acesso total ao serviço. O controle de acesso baseado em função fornece acesso granular ao serviço. |
Acesso à rede | Público | Privado | O uso de uma rede privada impede que entidades fora da rede privada acessem recursos protegidos por ela. |
Pré-requisitos
Certifique-se de que o hub do Azure AI Foundry seja implantado com a configuração de acesso baseada em Identidade para a conta de Armazenamento. Essa configuração é necessária para o controle de acesso e a segurança corretos do seu Azure AI Foundry Hub. Você pode verificar essa configuração usando um dos seguintes métodos:
- No portal do Azure, selecione o hub e, em seguida, selecione Configurações, Propriedades e Opções. Na parte inferior da página, verifique se o tipo de acesso à conta de armazenamento está definido como Acesso baseado em identidade.
- Se estiver implantando usando modelos do Azure Resource Manager ou Bicep, inclua a
systemDatastoresAuthMode: 'identity'
propriedade em seu modelo de implantação. - Você deve estar familiarizado com o uso do controle de acesso baseado em função do Microsoft Entra ID para atribuir funções a recursos e usuários. Para obter mais informações, visite o artigo Controle de acesso baseado em função.
Configurar o Azure AI Foundry Hub Isolado de Rede
Se você estiver criando um novo hub do Azure AI Foundry, use um dos seguintes documentos para criar um hub com isolamento de rede:
- Criar um hub seguro do Azure AI Foundry no portal do Azure
- Criar um hub seguro do Azure AI Foundry usando o SDK do Python ou a CLI do Azure
Se você tiver um hub existente do Azure AI Foundry que não esteja configurado para usar uma rede gerenciada, use as seguintes etapas para configurá-lo para usar uma:
No portal do Azure, selecione o hub e, em seguida, selecione Configurações, Rede, Acesso público.
Para desativar o acesso à rede pública para o hub, defina Acesso à rede pública como Desativado. Selecione Guardar para aplicar as alterações.
Selecione Acesso de saída gerenciado ao espaço de trabalho e selecione o modo Permitir saída da Internet ou Permitir somente isolamento de rede de saída aprovado. Selecione Guardar para aplicar as alterações.
Configurar o recurso de serviços de IA do Azure
Dependendo da sua configuração, você pode usar um recurso de serviços de IA do Azure que também inclua o Azure OpenAI ou um recurso autônomo do Azure OpenAI. As etapas nesta seção configuram um recurso de serviços de IA. As mesmas etapas se aplicam a um recurso do Azure OpenAI.
Se você não tiver um recurso de serviços de IA do Azure existente para seu hub do Azure AI Foundry, crie um.
No portal do Azure, selecione o recurso de serviços de IA e, em seguida, selecione __Resource Gerenciamento, Identidade e Sistema atribuídos.
Para criar uma identidade gerenciada para o recurso de serviços de IA, defina o Status como Ativado. Selecione Guardar para aplicar as alterações.
Para desativar o acesso à rede pública, selecione Rede, Firewalls e redes virtuais e defina Permitir acesso de para Desativado. Em Exceções, verifique se Permitir serviços do Azure na lista de serviços confiáveis está habilitado. Selecione Guardar para aplicar as alterações.
Para criar um ponto de extremidade privado para o recurso de serviços de IA, selecione Rede, Conexões de ponto de extremidade privado e, em seguida, selecione + Ponto de extremidade privado. Esse ponto de extremidade privado é usado para permitir que os clientes em sua Rede Virtual do Azure se comuniquem com segurança com o recurso de serviços de IA. Para obter mais informações sobre como usar pontos de extremidade privados com serviços de IA do Azure, visite o artigo Usar pontos de extremidade privados.
- Na guia Noções básicas, insira um nome exclusivo para o ponto de extremidade privado, interface de rede e selecione a região na qual criar o ponto de extremidade privado.
- Na guia Recurso, aceite o subrecurso de destino da conta.
- Na guia Rede Virtual, selecione a Rede Virtual do Azure à qual o ponto de extremidade privado se conecta. Essa rede deve ser a mesma à qual seus clientes se conectam e à qual o hub do Azure AI Foundry tem uma conexão de ponto de extremidade privada.
- Na guia DNS, selecione os padrões para as configurações de DNS.
- Continue para a guia Revisar + criar e selecione Criar para criar o ponto de extremidade privado.
Atualmente, não é possível desabilitar a autenticação local (chave compartilhada) para serviços de IA do Azure por meio do portal do Azure. Em vez disso, você pode usar o seguinte cmdlet do Azure PowerShell :
Set-AzCognitiveServicesAccount -resourceGroupName "resourceGroupName" -name "AIServicesAccountName" -disableLocalAuth $true
Para obter mais informações, visite o artigo Desabilitar autenticação local nos serviços de IA do Azure.
Configurar a Pesquisa de IA do Azure
Talvez você queira considerar o uso de um índice do Azure AI Search quando quiser:
- Personalize o processo de criação do índice.
- Reutilize um índice criado anteriormente ingerindo dados de outras fontes de dados.
Para usar um índice existente, ele deve ter pelo menos um campo pesquisável. Certifique-se de que pelo menos uma coluna de vetor válida esteja mapeada ao usar a pesquisa vetorial.
Importante
As informações nesta seção só são aplicáveis para proteger o recurso Azure AI Search para uso com o Azure AI Foundry. Se você estiver usando o Azure AI Search para outros fins, talvez seja necessário definir configurações adicionais. Para obter informações relacionadas sobre como configurar o Azure AI Search, visite os seguintes artigos:
Se você não tiver um recurso existente do Azure AI Search para seu hub do Azure AI Foundry, crie um.
No portal do Azure, selecione o recurso AI Search e, em seguida, selecione Configurações, Identidade e Sistema atribuído.
Para criar uma identidade gerenciada para o recurso AI Search, defina o Status como Ativado. Selecione Guardar para aplicar as alterações.
Para desativar o acesso à rede pública, selecione Configurações, Rede e Firewalls e redes virtuais. Defina Acesso à rede pública como Desativado. Em Exceções, verifique se Permitir serviços do Azure na lista de serviços confiáveis está habilitado. Selecione Guardar para aplicar as alterações.
Para criar um ponto de extremidade privado para o recurso AI Search, selecione Rede, Conexões de ponto de extremidade privado e, em seguida, selecione + Criar um ponto de extremidade privado.
- Na guia Noções básicas, insira um nome exclusivo para o ponto de extremidade privado, interface de rede e selecione a região na qual criar o ponto de extremidade privado.
- Na guia Recurso, selecione a Assinatura que contém o recurso, defina o Tipo de recurso como Microsoft.Search/searchServices e selecione o recurso Azure AI Search. O único subrecurso disponível é searchService.
- Na guia Rede Virtual, selecione a Rede Virtual do Azure à qual o ponto de extremidade privado se conecta. Essa rede deve ser a mesma à qual seus clientes se conectam e à qual o hub do Azure AI Foundry tem uma conexão de ponto de extremidade privada.
- Na guia DNS, selecione os padrões para as configurações de DNS.
- Continue para a guia Revisar + criar e selecione Criar para criar o ponto de extremidade privado.
Para habilitar o acesso à API com base em controles de acesso baseados em função, selecione Configurações, Chaves e defina o controle de acesso à API como Controle de acesso baseado em função ou Ambos. Selecione _Sim para aplicar as alterações.
Nota
Selecione Ambos se você tiver outros serviços que usam uma chave para acessar a Pesquisa de IA do Azure. Selecione Controle de acesso baseado em função para desabilitar o acesso baseado em chave.
Configurar o Armazenamento do Azure (somente ingestão)
Se você estiver usando o Armazenamento do Azure para o cenário de ingestão com o playground do portal do Azure AI Foundry, precisará configurar sua Conta de Armazenamento do Azure.
Criar um recurso de Conta de Armazenamento
No portal do Azure, selecione o recurso Conta de Armazenamento e, em seguida, selecione Segurança + rede, Rede e Firewalls e redes virtuais.
Para desativar o acesso à rede pública e permitir o acesso a partir de serviços fidedignos, defina Acesso à rede pública como Ativado a partir de redes virtuais e endereços IP selecionados. Em Exceções, verifique se Permitir serviços do Azure na lista de serviços confiáveis está habilitado.
Defina Acesso à rede pública como Desativado e selecione Salvar para aplicar as alterações. A configuração para permitir o acesso de serviços confiáveis ainda está habilitada.
Para criar um ponto de extremidade privado para o Armazenamento do Azure, selecione Rede, Conexões de ponto de extremidade privado e selecione + Ponto de extremidade privado.
- Na guia Noções básicas, insira um nome exclusivo para o ponto de extremidade privado, interface de rede e selecione a região na qual criar o ponto de extremidade privado.
- Na guia Recurso, defina o subrecurso Destino como blob.
- Na guia Rede Virtual, selecione a Rede Virtual do Azure à qual o ponto de extremidade privado se conecta. Essa rede deve ser a mesma à qual seus clientes se conectam e à qual o hub do Azure AI Foundry tem uma conexão de ponto de extremidade privada.
- Na guia DNS, selecione os padrões para as configurações de DNS.
- Continue para a guia Revisar + criar e selecione Criar para criar o ponto de extremidade privado.
Repita a etapa anterior para criar um ponto de extremidade privado, no entanto, desta vez defina o subrecurso Destino como arquivo. O ponto de extremidade privado anterior permite comunicação segura para armazenamento de blob, e esse ponto de extremidade privado permite comunicação segura para armazenamento de arquivos.
Para desativar a autenticação local (chave compartilhada) no armazenamento, selecione Configuração, em Configurações. Defina Permitir acesso à chave da conta de armazenamento como Desativado e selecione Salvar para aplicar as alterações. Para obter mais informações, visite o artigo Impedir autorização com chave compartilhada.
Configurar o Azure Key Vault
O Azure AI Foundry usa o Azure Key Vault para armazenar e gerenciar segredos com segurança. Para permitir o acesso ao cofre de chaves a partir de serviços confiáveis, use as etapas a seguir.
Nota
Estas etapas pressupõem que o cofre de chaves já tenha sido configurado para isolamento de rede quando você criou seu Azure AI Foundry Hub.
- No portal do Azure, selecione o recurso Cofre da Chave e, em seguida, selecione Configurações, Rede e Firewalls e redes virtuais.
- Na seção Exceção da página, verifique se Permitir que serviços confiáveis da Microsoft ignorem o firewall está habilitado.
Configurar conexões para usar o Microsoft Entra ID
As conexões do Azure AI Foundry com os serviços de IA do Azure e a Pesquisa de IA do Azure devem usar o Microsoft Entra ID para acesso seguro. As conexões são criadas a partir do Azure AI Foundry em vez do portal do Azure.
Importante
Usar o Microsoft Entra ID com o Azure AI Search é atualmente um recurso de visualização. Para obter mais informações sobre conexões, visite o artigo Adicionar conexões .
- no Azure AI Foundry, selecione Conexões. Se você tiver conexões existentes com os recursos, poderá selecionar a conexão e, em seguida, selecionar o ícone de lápis na seção Detalhes do Access para atualizar a conexão. Defina o campo Autenticação como ID do Microsoft Entra e selecione Atualizar.
- Para criar uma nova ligação, selecione + Nova ligação e, em seguida, selecione o tipo de recurso. Procure o recurso ou insira as informações necessárias e, em seguida, defina Autenticação como ID do Microsoft Entra. Selecione Adicionar conexão para criar a conexão.
Repita estas etapas para cada recurso ao qual você deseja se conectar usando a ID do Microsoft Entra.
Atribuir funções a recursos e usuários
Os serviços precisam se autorizar mutuamente para acessar os recursos conectados. O administrador que executa a configuração precisa ter a função Proprietário nesses recursos para adicionar atribuições de função. A tabela a seguir lista as atribuições de função necessárias para cada recurso. A coluna Cessionário refere-se à identidade gerenciada atribuída pelo sistema do recurso listado. A coluna Recurso refere-se ao recurso que o cessionário precisa acessar. Por exemplo, a Pesquisa de IA do Azure tem uma identidade gerenciada atribuída ao sistema que precisa ser atribuída à função de Colaborador de Dados de Blob de Armazenamento para a Conta de Armazenamento do Azure.
Para obter mais informações sobre como atribuir funções, consulte Tutorial: Conceder a um usuário acesso a recursos.
Recurso | Função | Cessionário | Description |
---|---|---|---|
Pesquisa de IA do Azure | Contribuidor de dados do índice de pesquisa | Serviços de IA do Azure/OpenAI | Acesso de leitura-gravação ao conteúdo em índices. Importe, atualize ou consulte a coleção de documentos de um índice. Usado apenas para cenários de ingestão e inferência. |
Pesquisa de IA do Azure | Leitor de dados de índice de pesquisa | Serviços de IA do Azure/OpenAI | O serviço de inferência consulta os dados do índice. Usado apenas para cenários de inferência. |
Pesquisa de IA do Azure | Colaborador do Serviço de Pesquisa | Serviços de IA do Azure/OpenAI | Acesso de leitura-gravação a definições de objeto (índices, aliases, mapas de sinônimos, indexadores, fontes de dados e conjuntos de habilidades). O serviço de inferência consulta o esquema de índice para mapeamento automático de campos. O serviço de ingestão de dados cria índice, fontes de dados, conjunto de habilidades, indexador e consulta o status do indexador. |
Serviços de IA do Azure/OpenAI | Colaborador de Serviços Cognitivos | Pesquisa de IA do Azure | Permitir que a Pesquisa crie, leia e atualize o recurso AI Services. |
Serviços de IA do Azure/OpenAI | Função de Contribuidor dos Serviços Cognitivos | Pesquisa de IA do Azure | Permitir à Pesquisa a capacidade de ajustar, implantar e gerar texto |
Conta de armazenamento do Azure | Contribuidor de Dados de Blobs de Armazenamento | Pesquisa de IA do Azure | Lê blob e escreve armazenamento de conhecimento. |
Conta de armazenamento do Azure | Contribuidor de Dados de Blobs de Armazenamento | Serviços de IA do Azure/OpenAI | Lê do contêiner de entrada e grava o resultado do pré-processo no contêiner de saída. |
Ponto de extremidade privado do Armazenamento de Blobs do Azure | Leitor | Projeto Azure AI Foundry | Para seu projeto do Azure AI Foundry com rede gerenciada habilitada para acessar o armazenamento de Blob em um ambiente restrito de rede |
Azure OpenAI Resource para modelo de chat | Utilizador OpenAI dos Serviços Cognitivos | Recurso do Azure OpenAI para incorporar modelo | [Opcional] Necessário somente se estiver usando dois recursos do Azure OpenAI para se comunicar. |
Nota
A função Usuário do OpenAI dos Serviços Cognitivos só é necessária se você estiver usando dois recursos do Azure OpenAI: um para seu modelo de chat e outro para seu modelo de incorporação. Se isso se aplicar, habilite Serviços Confiáveis E verifique se a Conexão para seu modelo de incorporação do recurso Azure OpenAI tem o EntraID habilitado.
Atribuir funções a desenvolvedores
Para permitir que seus desenvolvedores usem esses recursos para criar aplicativos, atribua as seguintes funções à identidade do desenvolvedor no Microsoft Entra ID. Por exemplo, atribua a função de Colaborador dos Serviços de Pesquisa à ID do Microsoft Entra do desenvolvedor para o recurso Azure AI Search.
Para obter mais informações sobre como atribuir funções, consulte Tutorial: Conceder a um usuário acesso a recursos.
Recurso | Função | Cessionário | Description |
---|---|---|---|
Pesquisa de IA do Azure | Colaborador de Serviços de Pesquisa | ID do Microsoft Entra do desenvolvedor | Liste chaves de API para listar índices do Azure OpenAI Studio. |
Pesquisa de IA do Azure | Contribuidor de dados do índice de pesquisa | ID do Microsoft Entra do desenvolvedor | Necessário para o cenário de indexação. |
Serviços de IA do Azure/OpenAI | Função de Contribuidor dos Serviços Cognitivos | ID do Microsoft Entra do desenvolvedor | Chame a API de ingestão pública do Azure OpenAI Studio. |
Serviços de IA do Azure/OpenAI | Colaborador de Serviços Cognitivos | ID do Microsoft Entra do desenvolvedor | Liste chaves de API do Azure OpenAI Studio. |
Serviços de IA do Azure/OpenAI | Contribuinte | ID do Microsoft Entra do desenvolvedor | Permite chamadas para o plano de controle. |
Conta de armazenamento do Azure | Contribuinte | ID do Microsoft Entra do desenvolvedor | Listar Conta SAS para carregar arquivos do Azure OpenAI Studio. |
Conta de armazenamento do Azure | Contribuidor de Dados de Blobs de Armazenamento | ID do Microsoft Entra do desenvolvedor | Necessário para que os desenvolvedores leiam e gravem no armazenamento de blobs. |
Conta de armazenamento do Azure | Contribuidor com Privilégios aos Dados dos Ficheiros de Armazenamento | ID do Microsoft Entra do desenvolvedor | Necessário para acessar o compartilhamento de arquivos no armazenamento para dados do Promptflow. |
O grupo de recursos ou a assinatura do Azure em que o desenvolvedor precisa implantar o aplicativo Web | Contribuinte | ID do Microsoft Entra do desenvolvedor | Implante o aplicativo Web na assinatura do Azure do desenvolvedor. |
Usar seus dados no portal do Azure AI Foundry
Agora, os dados que você adiciona ao Azure AI Foundry estão protegidos na rede isolada fornecida pelo seu hub e projeto do Azure AI Foundry. Para obter um exemplo de uso de dados, visite o tutorial do copiloto de criar uma pergunta e resposta.
Implantar aplicativos Web
Para obter informações sobre como configurar implantações de aplicativos Web, visite o artigo Usar o Azure OpenAI em seus dados com segurança .
Limitações
Ao usar o playground de bate-papo no portal do Azure AI Foundry, não navegue para outra guia no Studio. Se você navegar para outra guia, quando retornar à guia Bate-papo, deverá remover seus dados e adicioná-los novamente.