你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure AI Foundry 门户中的连接

可以通过 Azure AI Foundry 门户中的连接在 Azure AI Foundry 项目中验证和使用 Microsoft 资源和非 Microsoft 资源。 例如,连接可用于提示流、训练数据和部署。 可以专门为一个项目创建连接,也可以与同一中心的所有项目共享连接。

与 Azure AI 服务的连接

可以创建与 Azure AI 服务(例如 Azure OpenAI 和 Azure AI 内容安全)的连接。 然后,可以在提示流工具(如 LLM 工具)中使用连接。

LLM 工具在提示流中使用的连接的屏幕截图。

另一个示例是,你可以创建与 Azure AI 搜索资源的连接。 然后,提示流工具(如索引查找工具)可以使用连接。

索引查找工具在提示流中使用的连接的屏幕截图。

与非 Microsoft 服务的连接

Azure AI Foundry 支持与非 Microsoft 服务的连接,其中包括:

  • API 密钥连接单独处理对指定目标的身份验证。 这是最常见的非 Microsoft 连接类型。
  • 自定义连接允许在存储相关属性(如目标和版本)时安全地存储和访问密钥。 当你有许多目标或者无需凭据即可访问时,自定义连接非常有用。 LangChain 方案就是一个很好的例子,你可以在其中使用自定义服务连接。 自定义连接不会管理身份验证,因此你必须自行管理身份验证。

与数据存储的连接

重要

无法跨项目共享数据连接。 系统仅会在一个项目的上下文中创建这些链接。

通过创建数据连接,无需将其复制到项目即可访问外部数据。 相反,连接提供对数据源的引用。

数据连接具有以下优势:

  • 与不同的存储类型进行交互的常见易于使用的 API,包括 Microsoft OneLake、Azure Blob 和 Azure Data Lake Gen2。
  • 在团队运营中更轻松地发现有用的连接。
  • 对于基于凭据的访问(服务主体/SAS/密钥),Azure AI Foundry 连接可以保护凭据信息。 这样,就不需要在脚本中放置该信息。

创建与现有 Azure 存储帐户的连接时,可以在两种不同的身份验证方法之间进行选择:

  • 基于凭据:使用服务主体、共享访问签名 (SAS) 令牌或帐户密钥对数据访问进行身份验证。 具有“读者”项目权限的用户可以访问凭据。

  • 基于标识:使用 Microsoft Entra ID 或托管标识对数据访问进行身份验证。

    提示

    使用基于标识的连接时,Azure 基于角色的访问控制 (Azure RBAC) 用于确定谁可以访问连接。 必须先将正确的 Azure RBAC 角色分配给开发人员,然后才能使用该连接。 有关详细信息,请参阅方案:使用 Microsoft Entra ID 的连接

下表显示了支持的 Azure 基于云的存储服务和身份验证方法:

支持的存储服务 基于凭据的身份验证 基于标识的身份验证
Azure Blob 容器
Microsoft OneLake
Azure Data Lake Gen2

统一资源标识符 (URI) 表示本地计算机上的存储位置、Azure 存储或公开可用的 http 或 https 位置。 这些示例显示了不同存储选项的 URI:

存储位置 URI 示例
Azure AI Foundry 连接 azureml://datastores/<data_store_name>/paths/<folder1>/<folder2>/<folder3>/<file>.parquet
本地文件 ./home/username/data/my_data
公共 http 或 https 服务器 https://raw.githubusercontent.com/pandas-dev/pandas/main/doc/data/titanic.csv
Blob 存储 wasbs://<containername>@<accountname>.blob.core.windows.net/<folder>/
Azure Data Lake (gen2) abfss://<file_system>@<account_name>.dfs.core.windows.net/<folder>/<file>.csv
Microsoft OneLake abfss://<file_system>@<account_name>.dfs.core.windows.net/<folder>/<file>.csv https://<accountname>.dfs.fabric.microsoft.com/<artifactname>

注意

Microsoft OneLake 连接不支持 OneLake 表。

密钥保管库和机密

通过连接,可以安全地存储凭据、对访问进行身份验证,以及使用数据和信息。 与连接关联的机密按照严格的安全性和合规性标准,安全地保存在相应的 Azure Key Vault 中。 作为管理员,可以审核中心级别的共享连接和项目范围的连接(与连接 rbac 的链接)。

Azure 连接充当密钥保管库代理,而与连接的交互是与 Azure 密钥保管库的直接交互。 Azure AI Foundry 连接将 API 密钥作为机密安全地存储在密钥保管库中。 密钥保管库 Azure 基于角色的访问控制 (Azure RBAC) 控制对这些连接资源的访问。 连接从密钥保管库存储位置引用凭据以供后续使用。 将凭据存储在中心的密钥保管库后,无需直接处理凭据。 可以选择将凭据存储在 YAML 文件中。 CLI 命令或 SDK 可能会替代它们。 建议避免将凭据存储在 YAML 文件中,因为安全漏洞可能会导致凭据泄露。

后续步骤