Подключения на портале Azure AI Foundry
Подключения на портале Azure AI Foundry — это способ проверки подлинности и использования ресурсов Майкрософт и не Microsoft в проектах Azure AI Foundry. Например, подключения можно использовать для потока запросов, обучающих данных и развертываний. Подключения можно создавать исключительно для одного проекта или совместно использовать для всех проектов в одном концентраторе.
Подключения к службам ИИ Azure
Вы можете создавать подключения к службам ИИ Azure, таким как Azure OpenAI и безопасность содержимого ИИ Azure. Затем вы можете использовать подключение в средстве потока запросов, например в средстве LLM.
В качестве другого примера можно создать подключение к ресурсу поиска ИИ Azure. Затем подключение можно использовать с помощью средств потока запроса, таких как средство поиска индекса.
Подключения к не службы Майкрософт
Azure AI Foundry поддерживает подключения к не службы Майкрософт, включая следующие:
- Подключение ключа API обрабатывает проверку подлинности в указанном целевом объекте отдельно. Это наиболее распространенный тип подключения, отличный от Майкрософт.
- Настраиваемое подключение позволяет безопасно хранить и получать доступ к ключам при хранении связанных свойств, таких как целевые объекты и версии. Пользовательские подключения полезны, если у вас есть множество целевых объектов, в которых не требуется доступ к учетным данным. Сценарии LangChain — это хороший пример использования пользовательских подключений к службе. Пользовательские подключения не управляют проверкой подлинности, поэтому вам придется самостоятельно управлять проверкой подлинности.
Подключения к хранилищам данных
Внимание
Подключения к данным нельзя совместно использовать в проектах. Они создаются исключительно в контексте одного проекта.
Создание подключения к данным позволяет получить доступ к внешним данным без копирования его в проект. Вместо этого подключение предоставляет ссылку на источник данных.
Подключение к данным обеспечивает следующие преимущества:
- Распространенный и простой API, взаимодействующий с различными типами хранилища, включая Microsoft OneLake, BLOB-объект Azure и Azure Data Lake 2-го поколения.
- Упрощение обнаружения полезных подключений в операциях группы.
- Для доступа на основе учетных данных (субъект-служба/SAS/ключ) подключение Azure AI Foundry защищает учетные данные. Таким образом, вам не нужно размещать эти сведения в скриптах.
При создании подключения с существующей учетной записью хранения Azure можно выбрать один из двух различных методов проверки подлинности:
На основе учетных данных: проверка подлинности доступа к данным с помощью субъекта-службы, маркера подписанного URL-адреса (SAS) или ключа учетной записи. Пользователи с разрешениями проекта читателя могут получить доступ к учетным данным.
На основе удостоверений: используйте идентификатор Microsoft Entra или управляемое удостоверение для проверки подлинности доступа к данным.
Совет
При использовании подключения на основе удостоверений управление доступом на основе ролей Azure (Azure RBAC) используется для определения того, кто может получить доступ к подключению. Прежде чем они смогут использовать подключение, необходимо назначить правильные роли Azure RBAC разработчикам. Дополнительные сведения см. в разделе "Сценарий: подключения с помощью идентификатора Microsoft Entra".
В следующей таблице показаны поддерживаемые облачные службы хранилища Azure и методы проверки подлинности:
| Поддерживаемая служба хранилища | Проверка подлинности на основе учетных данных | Проверка подлинности на основе удостоверений |
|---|---|---|
| контейнер BLOB-объектов Azure; | ✓ | ✓ |
| Microsoft OneLake | ✓ | ✓ |
| Azure Data Lake 2-го поколения | ✓ | ✓ |
Универсальный идентификатор ресурса (URI) представляет расположение хранилища на локальном компьютере, хранилище Azure или общедоступное расположение http или https. В этих примерах показаны URI для различных вариантов хранения:
| Место хранения | Примеры URI |
|---|---|
| Подключение Azure AI Foundry | azureml://datastores/<data_store_name>/paths/<folder1>/<folder2>/<folder3>/<file>.parquet |
| Локальные файлы | ./home/username/data/my_data |
| Общедоступный http-сервер или https | https://raw.githubusercontent.com/pandas-dev/pandas/main/doc/data/titanic.csv |
| Хранилище BLOB-объектов | wasbs://<containername>@<accountname>.blob.core.windows.net/<folder>/ |
| Azure Data Lake (2-го поколения) | abfss://<file_system>@<account_name>.dfs.core.windows.net/<folder>/<file>.csv |
| Microsoft OneLake | abfss://<file_system>@<account_name>.dfs.core.windows.net/<folder>/<file>.csv https://<accountname>.dfs.fabric.microsoft.com/<artifactname> |
Примечание.
Подключение Microsoft OneLake не поддерживает таблицы OneLake.
Хранилища ключей и секреты
Подключения позволяют безопасно хранить учетные данные, проходить проверку подлинности и использовать данные и сведения. Секреты, связанные с подключениями, безопасно сохраняются в соответствующем Azure Key Vault, придерживаясь надежных стандартов безопасности и соответствия требованиям. Администратор может выполнять аудит общих и проектных подключений на уровне концентратора (ссылка на rbac подключения).
Подключения Azure служат прокси-серверами хранилища ключей, а взаимодействие с подключениями — это прямое взаимодействие с хранилищем ключей Azure. Подключения Azure AI Foundry безопасно хранят ключи API в качестве секретов в хранилище ключей. Управление доступом на основе ролей Azure (Azure RBAC) позволяет управлять доступом к этим ресурсам подключения. Подключение ссылается на учетные данные из расположения хранилища ключей для дальнейшего использования. Вам не нужно напрямую работать с учетными данными после их хранения в хранилище ключей концентратора. У вас есть возможность хранить учетные данные в файле YAML. Команда CLI или пакет SDK могут переопределить их. Рекомендуется избежать хранения учетных данных в файле YAML, так как нарушение безопасности может привести к утечке учетных данных.