Creación y administración de un centro de Azure AI Foundry

En el portal de la Fundición de IA de Azure, los centros proporcionan el entorno para que un equipo colabore y organice el trabajo, y le ayudan como responsable del equipo o administrador de TI a definir de forma central la configuración de seguridad y controlar el uso y el gasto. Puede crear y administrar un centro desde Azure Portal y, a continuación, los desarrolladores pueden crear proyectos desde el centro.

En este artículo, aprenderá a crear y administrar un centro en el portal de Azure AI Foundry con la configuración predeterminada para que pueda empezar a trabajar rápidamente. ¿Necesita personalizar la seguridad o los recursos dependientes del centro? Después, use Azure Portal o las opciones de plantilla.

Creación de un centro de conectividad seguro en Azure Portal

Si su organización usa Azure Policy, configure un centro que cumpla los requisitos de la organización en lugar de usar Azure IA Foundry para la creación de recursos.

1. En Azure Portal, busque Azure AI Foundry. En el menú de la izquierda, elija AI Hubs; después, haga clic en + Crear y Hub.

   

2. Escriba el nombre del centro, la suscripción, el grupo de recursos y los detalles de ubicación. Para los modelos base de los servicios de Azure AI, seleccione un recurso de servicios de IA existente o cree uno nuevo. Los servicios de Azure AI incluyen varios puntos de conexión de API para voz, seguridad de contenido y Azure OpenAI.

   

3. Seleccione la pestaña Storage para especificar la configuración de la cuenta de almacenamiento. Para almacenar credenciales, proporcione la instancia de Azure Key Vault o use la instancia de Credential Store administrada por Microsoft (versión preliminar).

   

4. Seleccione la pestaña Acceso entrante y Acceso saliente para configurar el aislamiento de red. Para más información, consulte el artículo aislamiento de red .

5. Seleccione la pestaña Cifrado para configurar el cifrado de datos. De forma predeterminada, para el cifrado se usan las claves administradas por Microsoft. Puede seleccionar Cifrar datos mediante una clave administrada por el cliente.

   

6. Seleccione la pestaña Identidad. De forma predeterminada, Identidad asignada por el sistema está habilitado, pero puede cambiar a Identidad asignada por el usuario si el almacenamiento, el almacén de claves y el registro de contenedor existentes están seleccionados en Storage. También puede seleccionar si se va a usar el acceso basado en credenciales o basado en identidades a la cuenta de almacenamiento.

   

   Nota:

   Si selecciona Identidad asignada por el usuario, la identidad debe tener el rol de Cognitive Services Contributor para crear correctamente un nuevo centro.

7. Seleccione Revisar y crear>Crear.

Administración del centro desde Azure Portal

Administración del control de acceso

Puede agregar y quitar usuarios del Centro de administración del portal de Azure AI Foundry. Tanto el centro como los proyectos del centro tienen una entrada Usuarios en el menú izquierdo que permite agregar y quitar usuarios. Al agregar usuarios, puede asignarles roles integrados.

Para las asignaciones de roles personalizadas, use Control de acceso (IAM) en Azure Portal.

Para otorgar permisos a los usuarios en el portal de Azure, consulte el artículo Asignaciones de roles de Azure.

Redes

La configuración de red del centro de conectividad se puede establecer durante la creación de recursos o cambiarla en la pestaña Redes en la vista de Azure Portal. Al crear un centro, se invoca una red virtual administrada. Esto simplifica y automatiza la configuración de aislamiento de red con una red virtual administrada integrada. La configuración de Virtual Network administrado se aplica a todos los proyectos creados dentro de un centro.

En la creación del centro, seleccione entre los modos de aislamiento de red: Público, Privado con salida a Internet y Privado con salida aprobada. Para proteger el recurso, seleccione Privado con saliente de Internet o Privado con saliente aprobado para sus necesidades de red. Para los modos de aislamiento privado se debe crear un punto de conexión privado para el acceso entrante. Para más información sobre el aislamiento de red, consulte Aislamiento de red virtual administrado. Para crear un centro seguro, consulte Creación de un centro seguro.

En la creación del centro en Azure Portal, se proporciona la creación de servicios de Azure AI asociados, la cuenta de almacenamiento, el almacén de claves (opcional), Application Insights (opcional) y Container Registry (opcional). Estos recursos se encuentran en la pestaña Recursos durante la creación.

Para conectarse a Servicios de Azure AI (Azure OpenAI, Búsqueda de Azure AI y la Seguridad del contenido de Azure AI) o cuentas de almacenamiento en el portal de Azure AI Foundry, cree un punto de conexión privado en la red virtual. Asegúrese de que la marca de acceso a la red pública (PNA) esté deshabilitada al crear la conexión de punto de conexión privado. Para más información sobre las conexiones de servicios de Azure AI, consulte Redes virtuales para los servicios de Azure AI. Si lo desea, puede traer su propia Búsqueda de Azure AI, pero requiere una conexión de punto de conexión privado desde la red virtual.

Encriptación

Los proyectos que usan el mismo centro de conectividad comparten su configuración de cifrado. El modo de cifrado solo se puede establecer en el momento de la creación del centro entre claves administradas por Microsoft y claves administradas por el cliente (CMK).

En la vista de Azure Portal, vaya a la pestaña cifrado para buscar la configuración de cifrado del centro.

En el caso de los centros que usan el modo de cifrado CMK, puede actualizar la clave de cifrado a una nueva versión de clave. Esta operación de actualización está restringida a claves y versiones de clave dentro de la misma instancia de almacén de claves que la clave original.

Actualización de Azure Application Insights y Azure Container Registry

Para usar entornos personalizados para Flujo de avisos, es necesario configurar una instancia de Azure Container Registry para el centro. Para usar Azure Application Insights para implementaciones de Flujo de avisos, se requiere un recurso de Azure Application Insights configurado para el centro. Al actualizar los recursos de Azure Container Registry o Application Insights asociados al área de trabajo, se puede interrumpir el linaje de los trabajos anteriores, los puntos de conexión de inferencia implementados o la capacidad de volver a ejecutar trabajos anteriores en esta área de trabajo. Después de asociarse con un centro de Fundición de IA de Azure, los recursos de Azure Container Registry y Application Insights no se pueden desasociar (se establece en null).

Puede usar Azure Portal, las opciones del SDK o la CLI de Azure, o las plantillas de infraestructura como código para actualizar Azure Application Insights y Azure Container Registry para el centro.

from azure.ai.ml.entities import Hub

my_app_insights = "{APPLICATION_INSIGHTS_ARM_ID}"
my_container_registry = "{CONTAINER_REGISTRY_ARM_ID}"

# construct a basic hub
my_hub = Hub(name="myexamplehub", 
             ___location="East US", 
             application_insights=my_app_insights,
             container_registry=my_container_registry)

# update_dependent_resources is used to give consent to update the workspace dependent resources.
created_hub = ml_client.workspaces.begin_update(workspace=my_hub, update_dependent_resources=True).result()

az ml workspace update -n "myexamplehub" -g "{MY_RESOURCE_GROUP}" -a "APPLICATION_INSIGHTS_ARM_ID" -u

Elegir cómo se almacenarán las credenciales

Seleccione escenarios en los que el portal de Azure AI Foundry almacene credenciales en su nombre. Por ejemplo, al crear una conexión en el portal de Azure AI Foundry para acceder a una cuenta de Azure Storage con una clave de cuenta almacenada, al acceder a Azure Container Registry con una contraseña de administrador o al crear instancias de proceso con claves SSH habilitadas. No se almacenan credenciales con conexiones al elegir la autenticación basada en identidades de Microsoft Entra ID.

Elija dónde se almacenarán las credenciales:

• Su instancia de Azure Key Vault: esto requiere la administración de su propia instancia de Azure Key Vault y configurarla por centro. Proporciona más control sobre el ciclo de vida de los secretos. Por ejemplo: para establecer directivas de expiración. También es posible compartir secretos almacenados con otras aplicaciones de Azure.

• Instancia de Credential Store administrada por Microsoft (versión preliminar): en esta variante, Microsoft administra una instancia de Azure Key Vault en su nombre por centro. No se necesita ninguna administración de recursos por su parte y el almacén no se muestra en la suscripción de Azure. El ciclo de vida de los datos secretos sigue el ciclo de vida de los recursos de los centros y proyectos. Por ejemplo, al eliminar la conexión de almacenamiento de un proyecto, también se elimina el secreto almacenado.

Una vez creado el centro, no es posible cambiar entre Azure Key Vault y el uso de una instancia de Credential Store administrada por Microsoft.

Eliminar un centro de Azure AI Foundry

Para eliminar un centro de Azure AI Foundry, seleccione el centro y, a continuación, seleccione Eliminar centro en la sección Propiedades del centro de la página.

Al eliminar un centro, se eliminan todos los proyectos asociados. Al eliminar un proyecto, también se eliminan todos los puntos de conexión anidados del proyecto. Opcionalmente, es posible eliminar los recursos conectados. Sin embargo, asegúrese de que ninguna otra aplicación esté usando esta conexión. Por ejemplo, otra implementación de Azure AI Foundry podría estar usándola.

Contenido relacionado

• Creación de un proyecto
• Más información sobre Azure AI Foundry
• Más información sobre los centros