Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Om du inte konfigurerar en Key Vault-anslutning lagrar Azure AI Foundry anslutningsinformation i ett Microsoft-hanterat Key Vault utanför din prenumeration. Om du vill hantera dina egna hemligheter ansluter du ditt Azure Key Vault till Azure AI Foundry.
Anmärkning
Granska begränsningar innan du konfigurerar en Key Vault-anslutning.
Begränsningar
Skapa endast Azure Key Vault-anslutningar när du behöver dem.
Om du tar med ditt eget Azure Key Vault kan du läsa de här begränsningarna:
Begränsa Azure Key Vault-anslutningar till en per AI Foundry-resurs. Ta bara bort en Azure Key Vault-anslutning om det inte finns några andra anslutningar på AI Foundry-resursen eller projektnivån.
AI Foundry stöder inte hemlig migrering. Ta bort och återskapa anslutningar själv.
Om du tar bort det underliggande Azure Key Vault bryts AI Foundry-resursen. Azure Key Vault lagrar hemligheter för anslutningar som inte använder Entra-ID. Alla AI Foundry-funktioner som är beroende av dessa anslutningar slutar fungera.
Om du tar bort anslutningshemligheter som AI Foundry-resursen lagrar i ditt BYO(Bring Your Own) Azure Key Vault kan anslutningar till andra tjänster brytas.
Skapa en Azure Key Vault-anslutning
Skapa en anslutning till Azure Key Vault.
Gå till projektet i Azure AI Foundry-portalen. Om du inte har ett projekt skapar du ett.
Kontrollera att det inte finns några anslutningar i avsnitten Resurs eller Projekt . Om det finns anslutningar är Azure Key Vault inte tillgängligt.
I avsnittet Resurs väljer du Anslutna resurser.
I avsnittet Anslutna resurser väljer du + Ny anslutning.
Välj Azure Key Vault.
Välj ditt Azure Key Vault och välj sedan Anslut.
Skapa en Key Vault-anslutning
Använd den här mallen:
/*
Set up your Key Vault connection
Select which RBAC role to assign:
1. Key Vault Administrator: 00482a5a-887f-4fb3-b363-3b7fe8e74483 - https://free.blessedness.top/en-us/azure/role-based-access-control/built-in-roles/security#key-vault-administrator
2. Key Vault Contributor: f25e0fa2-a7c8-4377-a976-54943a77a395 - https://free.blessedness.top/en-us/azure/role-based-access-control/built-in-roles/security#key-vault-contributor
3. Key Vault Secret Officer: b86a8fe4-44ce-4948-aee5-eccb2c155cd7 - https://free.blessedness.top/en-us/azure/role-based-access-control/built-in-roles/security#key-vault-secrets-officer
This template defaults to using the Key Vault Secret Officer role.
Run command:
az deployment group create \
--name AzDeploy \
--resource-group {RESOURCE-GROUP-NAME} \
--template-file connection-key-vault.bicep \
--parameters aiFoundryName={Foundry-resource-name} keyVaultName={KV-resource-name}
az deployment group create --name AzDeploy --resource-group {RESOURCE-GROUP-NAME} --template-file connection-key-vault.bicep --parameters aiFoundryName={Foundry-resource-name} keyVaultName={KV-resource-name}
*/
param aiFoundryName string = '<your-account-name>'
param keyVaultName string
//param resourceGroupName string = '<your-resource-group-name>'
resource aiFoundry 'Microsoft.CognitiveServices/accounts@2025-04-01-preview' existing = {
name: aiFoundryName
scope: resourceGroup()
}
// Conditionally refers your existing Azure Key Vault resource
resource existingKeyVault 'Microsoft.KeyVault/vaults@2024-11-01' existing = {
name: keyVaultName
scope: resourceGroup()
}
resource connection 'Microsoft.CognitiveServices/accounts/connections@2025-04-01-preview' = {
name: '${aiFoundryName}-keyvault'
parent: aiFoundry
properties: {
category: 'AzureKeyVault'
target: existingKeyVault.id
authType: 'AccountManagedIdentity'
isSharedToAll: true
metadata: {
ApiType: 'Azure'
ResourceId: existingKeyVault.id
location: existingKeyVault.location
}
}
}
// Include RBAC on Key Vault for Foundry
resource rbacAssignment 'Microsoft.Authorization/roleAssignments@2020-04-01-preview' = {
name: guid(existingKeyVault.id, 'KeyVaultSecretsOfficer')
scope: existingKeyVault
properties: {
roleDefinitionId: '/providers/Microsoft.Authorization/roleDefinitions/b86a8fe4-44ce-4948-aee5-eccb2c155cd7'
principalId: aiFoundry.identity.principalId
}
}
// All following connections should be created with the dependsOn property for both the key vault connection and the role assignment
Anslutningshantering för Key Vault
Creation
Skapa endast en Key Vault-anslutning när det är den enda anslutningen. Kontrollera att det inte finns några andra anslutningar på Foundry-resursen eller projektnivån. Tjänsten blockerar skapandet av Key Vault-anslutningar om det finns andra anslutningar. Om användargränssnittet inte visar en Nyckelvalvsanslutningskategori när du väljer en anslutning kan det vara orsaken. Ta bort andra anslutningar och försök sedan igen.
När du skapar en Key Vault-anslutning används inte det hanterade Key Vault i Azure.
Borttagning
Ta bort alla andra anslutningar innan du tar bort en Azure Key Vault-anslutning från AI Foundry. När du har tagit bort alla andra anslutningar på foundry-resursen och projektnivåerna tar du bort Key Vault-anslutningen. Foundry stöder inte hemlig migrering.
Uppdatera eller ändra
Om du vill växla från Azure Key Vault 1 till Azure Key Vault 2 tar du bort Azure Key Vault 1-anslutningen och skapar sedan Azure Key Vault 2-anslutningen. Följ stegen för att ta bort och skapa och migrera eventuella anslutningshemligheter.
Hemlig livscykel för Key Vault
När du tar bort anslutningar från ditt hanterade Nyckelvalv tas motsvarande hemligheter bort. Om du tar bort en Key Vault-anslutning tas även dess hemligheter bort.
Ge AI Foundry åtkomst till ditt nyckelvalv
Beroende på hur ditt nyckelvalv etableras kan du behöva tillämpa ytterligare behörigheter. Kontrollera om ditt Azure Key Vault använder rollbaserad åtkomstkontroll (RBAC) eller åtkomstprinciper och fortsätt sedan.
Rollbaserad åtkomstkontroll (RBAC)
När du har skapat Key Vault-anslutningen tilldelar du en lämplig RBAC-roll i Azure-portalen. Key Vault-deltagare eller Key Vault-administratör är två roller som fungerar. För minimala behörigheter använder du Key Vault Secrets Officer.
Åtkomstprinciper
På samma sätt som RBAC-roller tilldelar du lämplig åtkomstprincip för nyckelvalvet (om tillämpligt) till Foundry-resursens hanterade identitet.
Infrastruktur som kodmallar
Bästa praxis är att när du konfigurerar ARM-, Bicep- eller Terraform-mallar för att skapa resurser kontrollerar du att Azure Key Vault-anslutningen är den första anslutningen du skapar och att alla andra anslutningar är beroende av att Key Vault-anslutningen lyckas. Den här ordningen hjälper till att minska fel i Key Vault-anslutningen. Om du inte följer den här bästa praxisen kan dina mallar stöta på konkurrensförhållanden i dina anslutningar. Därför kan distributioner fungera ibland och misslyckas vid andra tillfällen eftersom Foundry inte stöder hemlig migrering.
När du har skapat Foundry-resursen och Key Vault-anslutningen tilldelar du lämpliga RBAC-roller till Foundry-resursen. Gör så att alla andra anslutningar är beroende av att rolltilldelningen lyckas. Detsamma gäller om ditt Key Vault använder åtkomstprinciper i stället för RBAC.
Följ den här ordningen i infrastrukturen som kodmallar
- Skapa Foundry-resursen.
- Skapa ett Foundry-projekt.
- Skapa Azure Key Vault-anslutningen.
- Tilldela lämplig RBAC-roll i Key Vault för Foundry-resursen.
- (Valfritt) Kontrollera att RBAC-rollen har börjat gälla.
- Skapa andra anslutningar på resurs- eller projektnivå och ange
dependsOnfältet för steg 3 och 4.
Borttagning
Om du automatiserar borttagningen av resurser med hjälp av mallar följer du stegen för att skapa i omvänd ordning:
- Ta bort alla anslutningar på foundry-resursen eller projektnivån.
- Ta bort Azure Key Vault-anslutningen.
- Ta bort alla Foundry-projekt.
- Ta bort Foundry-resursen.