Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Azure AI Foundry innehåller en omfattande uppsättning verktyg som hjälper utvecklingsteam att skapa, anpassa, utvärdera och driva AI-agenter och dess sammansättningsmodeller och verktyg.
Den här artikeln är avsedd att ge IT-säkerhetsteam information om Azure-tjänstarkitekturen, dess komponenter och dess relation till relaterade Azure-resurstyper. Använd den här informationen för att vägleda hur du anpassar din Foundry-distribution efter organisationens krav. Mer information om hur du distribuerar AI Foundry i din organisation finns i Distribution av Azure AI Foundry.
Azure AI-resurstyper och -leverantörer
Inom Azure AI-produktfamiljen särskiljer vi tre Azure-resursproviders som stöder användarbehov i olika lager i stacken.
| Resursleverantör | Purpose | Stödjer resurstyper |
|---|---|---|
| Microsoft.CognitiveServices | Stödjer agentstyrd och GenAI-applikationsutveckling genom att komponera och anpassa fördefinierade modeller. | Azure AI Foundry; Azure OpenAI-tjänsten; Azure Speech; Azure Vision |
| Microsoft.Search | Stöd för kunskapshämtning över dina data | Azure AI-sökning |
| Microsoft.MachineLearningServices | Träna, distribuera och använda anpassade maskininlärningsmodeller med öppen källkod | Azure AI Hub (och dess projekt); Azure Machine Learning-arbetsyta |
Azure AI Foundry-resursen är den primära resursen för Azure AI och rekommenderas för de flesta användningsfall. Den bygger på samma Azure-resursprovider och resurstyp som tjänsterna Azure OpenAI, Azure Speech, Azure Vision och Azure Language. Det ger åtkomst till hela utbudet av funktioner från samtliga enskilda tjänster.
| Resurstyp | Resursprovider och typ | Kind | Funktioner som stöds |
|---|---|---|---|
| Azure AI Foundry | Microsoft.CognitiveServices/account |
AIServices |
Agenter, utvärderingar, Azure OpenAI, Tal, Vision, Språk och Innehållsanalys |
| Azure AI Foundry-projekt | Microsoft.CognitiveServices/account/project |
AIServices |
Underkälla till ovanstående |
| Azure AI Speech-tjänst | Microsoft.CognitiveServices/account |
Speech |
Speech |
| Azure AI språkverktyg | Microsoft.CognitiveServices/account |
Language |
Language |
| Azure AI Vision | Microsoft.CognitiveServices/account |
Vision |
Vision |
| Azure OpenAI-tjänst | Microsoft.CognitiveServices/account |
OpenAI |
Azure OpenAI-modeller och deras anpassning |
| Azure AI Hub | Microsoft.MachineLearningServices/workspace |
hub |
Anslutningshubben och säkerhetskonfigurationshållaren för hubbbaserade projekt |
| Azure AI Hub-projekt | Microsoft.MachineLearningServices/workspace |
project |
Anpassad ML-modellträning och modellhosting |
Resurstyper under samma providernamnområden delar samma hanterings-API:er och använder liknande Azure Role Based Access Control-åtgärder , nätverkskonfigurationer och alias för Azure Policy-konfiguration. Om du uppgraderar från Azure OpenAI till Azure AI Foundry fortsätter dina befintliga anpassade Azure-principer och Azure Role Based Access Control-åtgärder att gälla.
Säkerhetsdriven separation av problem
Azure AI Foundry tillämpar en tydlig separation mellan hanterings- och utvecklingsåtgärder för att säkerställa säkra och skalbara AI-arbetsbelastningar.
Top-Level Resursstyrning: Hanteringsåtgärder, till exempel att konfigurera säkerhet, upprätta anslutningar med andra Azure-tjänster och hantera distributioner, är begränsade till den översta Azure AI Foundry-resursen. Utvecklingsaktiviteter isoleras i dedikerade projektcontainrar, som kapslar in användningsfall och ger gränser för åtkomstkontroll, filer, agenter och utvärderingar.
Role-Based åtkomstkontroll (RBAC): Azure RBAC-åtgärder är utformade för att återspegla den här uppdelningen av ansvarsområden. Kontrollplanåtgärder (till exempel att skapa utplaceringar och projekt) skiljer sig från dataplansåtgärder (till exempel att bygga agenter, köra utvärderingar och ladda upp filer). RBAC-tilldelningar kan definieras både på resursnivå och på enskild projektnivå. Hanterade identiteter kan tilldelas på valfri nivå för att stödja säker automatisering och tjänståtkomst.
Övervakning och observerbarhet: Azure Monitor-mått segmenteras efter omfång. Hanterings- och användningsmått är tillgängliga på den översta resursen, medan projektspecifika mått, till exempel utvärderingsprestanda eller agentaktivitet, är begränsade till de enskilda projektcontainrarna.
Infrastruktur för databehandling
Azure AI Foundry använder en flexibel beräkningsarkitektur för att stödja olika scenarier för modellanvändning och utförande av arbetsbelastningar.
Modellvärdarkitektur: Åtkomst till Foundry-modeller tillhandahålls på olika sätt:
- Standarddistribution i Azure AI Foundry-resurser
- Distribution till serverlösa API-slutpunkter i Azure AI Hub-resurser
- Distribution till hanterade beräkningar i Azure AI Hub-resurser
En översikt över data, sekretess och säkerhetsöverväganden med dessa distributionsalternativ finns i Data, sekretess och säkerhet för användning av modeller
Arbetsbelastningskörning: Agenter, utvärderingar och Batch-jobb körs som hanterad containerberäkning, fullständigt hanterad av Microsoft.
Nätverksintegrering: För förbättrad säkerhet och efterlevnad när dina agenter ansluter till externa system gör containerinmatning att plattformsnätverket kan vara värd för API:er och mata in ett undernät i nätverket, vilket möjliggör lokal kommunikation mellan dina Azure-resurser i samma virtuella nätverk.
Datalagring
Azure AI Foundry tillhandahåller flexibla och säkra lagringsalternativ för data för att stödja en mängd olika AI-arbetsbelastningar.
Hanterad lagring för filuppladdning: I standardkonfigurationen använder Azure AI Foundry Microsoft-hanterade lagringskonton som är logiskt avgränsade och har stöd för direkt filuppladdning för utvalda användningsfall, till exempel OpenAI-modeller, assistenter och agenter, utan att kräva ett lagringskonto som tillhandahålls av kunden.
Bring Your Own Storage (valfritt): Användare kan också ansluta sina egna Azure Storage-konton. Foundry-verktyg kan läsa indata från och skriva utdata till dessa konton, beroende på verktyg och användningsfall.
Bring-your-own-lagring för lagring av agenttillstånd:
- I den grundläggande konfigurationen lagrar agenttjänsten trådar, meddelanden och filer i Microsoft-hanterad lagring med flera klientorganisationer, med logisk separation.
- Med agentstandardkonfigurationen kan du ta med din egen lagring för tråd- och meddelandedata. I den här konfigurationen isoleras data efter projekt i kundens lagringskonto.
Customer-Managed Nyckelkryptering: Som standard använder Azure-tjänster Microsoft-hanterade krypteringsnycklar för att kryptera data under överföring och i vila. Data krypteras och dekrypteras med FIPS 140-2-kompatibel 256-bitars AES-kryptering. Kryptering och dekryptering är transparenta, vilket innebär att kryptering och åtkomst hanteras åt dig. Dina data skyddas som standard och du behöver inte ändra din kod eller dina program för att utnyttja krypteringen.
Bring Your Own Key Vault: Som standard lagrar AI Foundry alla API-nyckelbaserade anslutningshemligheter i ett hanterat Azure Key Vault. För användare som föredrar att hantera detta själva kan de ansluta till sitt nyckelvalv till Foundry-resursen. En Azure Key Vault-anslutning hanterar alla anslutningshemligheter på projekt- och resursnivå. Gå och lär dig hur du konfigurerar en Azure Key Vault-anslutning till AI Foundry.
När du använder kundhanterade nycklar krypteras dina data i Microsoft-hanterad infrastruktur med hjälp av dina nycklar.
Mer information om datakryptering finns i kundhanterade nycklar för kryptering med Azure AI Foundry.