Configuración de red y acceso para Azure OpenAI En Tus Datos (clásico)

Solo se aplica a:Portal de Foundry (clásico). Este artículo no está disponible para el nuevo portal de Foundry. Obtenga más información sobre el nuevo portal.

Utiliza este artículo para aprender a configurar las redes y el acceso con el control de acceso basado en roles de Microsoft Entra ID, redes virtuales y puntos de conexión privados al usar Azure OpenAI en sus datos.

Arquitectura de ingesta de datos

Cuando usas Azure OpenAI en tus datos para ingerir datos desde el almacenamiento de blobs de Azure, archivos locales o URLs en Búsqueda de Azure AI, se utiliza el siguiente proceso para procesar los datos.

• Los pasos 1 y 2 solo se usan para la carga de archivos.
• La descarga de direcciones URL a Blob Storage no se muestra en este diagrama. Una vez que las páginas web se descargan de Internet y se cargan en Blob Storage, los pasos 3 en adelante son los mismos.
• Se crea un indexador, un índice y un origen de datos en el recurso de Búsqueda de Azure AI mediante aptitudes precompiladas y vectorización integrada.
• Búsqueda de Azure AI controla la extracción, fragmentación y vectorización de documentos fragmentados mediante la vectorización integrada. Si se especifica un intervalo de programación, el indexador se ejecutará en consecuencia.

En el caso de las identidades administradas usadas en las llamadas de servicio, solo se admiten identidades administradas asignadas por el sistema. No se admiten identidades administradas asignadas por el usuario.

Arquitectura de inferencia

Al enviar llamadas API para chatear con un modelo de OpenAI de Azure en sus datos, el servicio debe recuperar los campos de índice durante el proceso de inferencia para realizar la asignación de campos. Por lo tanto, el servicio requiere que la identidad de OpenAI Azure tenga el rol Search Service Contributor para el servicio de búsqueda incluso durante la inferencia.

Si se proporciona una dependencia de incrustación en la solicitud de inferencia, Azure OpenAI vectorizará la consulta reescrita, y tanto la consulta como el vector se enviarán a Búsqueda de Azure AI para la búsqueda de vectores.

Control de acceso de nivel de documento

Azure OpenAI en los datos le permite restringir los documentos que se pueden usar en respuestas para distintos usuarios con filtros de seguridad de Búsqueda de Azure AI. Al habilitar el acceso a nivel de documento, Búsqueda de Azure AI recortará los resultados de la búsqueda en función de la pertenencia a grupos Microsoft Entra usuario especificada en el filtro. Solo puede habilitar el acceso de nivel de documento en los índices existentes de Búsqueda de Azure AI. Para habilitar el acceso de nivel de documento:

1. Para registrar la aplicación y crear usuarios y grupos, siga los pasos descritos en la documentación de Búsqueda de Azure AI.

2. Indexe los documentos con sus grupos permitidos. Asegúrese de que los nuevos campos de seguridad tengan el esquema:

   {"name": "group_ids", "type": "Collection(Edm.String)", "filterable": true }
   

   group_ids es el nombre de campo predeterminado. Si usa un nombre de campo diferente, como my_group_ids, puede asignar el campo en la asignación de campos de índice.

3. Asegúrese de que cada documento confidencial del índice tenga este valor de campo de seguridad establecido en los grupos permitidos del documento.

4. En el portal Microsoft Foundry, agregue el origen de datos. En la sección de asignación de campos de índice , puede asignar cero o un valor al campo grupos permitidos , siempre que el esquema sea compatible. Si el campo grupos permitidos no está asignado, el acceso a nivel de documento está deshabilitado.

Portal de Foundry

Una vez conectado el índice de Búsqueda de Azure AI, las respuestas de Studio tienen acceso al documento en función de los permisos de Microsoft Entra del usuario que ha iniciado sesión.

API

Al usar la API, pase el filter parámetro en cada solicitud de API. Por ejemplo:

Para obtener más información sobre la seguridad, consulte Autenticación de solicitudes.

{
    "messages": [
        {
            "role": "user",
            "content": "who is my manager?"
        }
    ],
    "data_sources": [
        {
            "type": "azure_search",
            "parameters": {
                "endpoint": "<AZURE_AI_SEARCH_ENDPOINT>",
                "key": "<AZURE_AI_SEARCH_API_KEY>",
                "index_name": "<AZURE_AI_SEARCH_INDEX>",
                "filter": "my_group_ids/any(g:search.in(g, 'group_id1, group_id2'))"
            }
        }
    ]
}

• my_group_ids es el nombre de campo seleccionado para grupos permitidos durante la asignación de campos.
• group_id1, group_id2 son grupos que se atribuyen al usuario que ha iniciado sesión. La aplicación cliente puede recuperar y almacenar en caché los grupos de usuarios mediante el Microsoft Graph API.

Configuración de recursos

Use las secciones siguientes para configurar los recursos para un uso seguro óptimo. Incluso si planea proteger solo parte de los recursos, debe seguir todos los pasos.

En este artículo se describe la configuración de red relacionada con deshabilitar la red pública para los recursos de Azure OpenAI, los recursos de búsqueda de Azure AI y las cuentas de almacenamiento. No se admite el uso de redes seleccionadas con reglas IP, ya que las direcciones IP de los servicios son dinámicas.

Creación de un grupo de recursos

Cree un grupo de recursos para poder organizar todos los recursos pertinentes. Los recursos del grupo de recursos incluyen, entre otros:

• Una red virtual
• Tres servicios clave: una Azure OpenAI, una Búsqueda de Azure AI, una cuenta de almacenamiento
• Tres puntos de conexión privados, cada uno está vinculado a un servicio de clave.
• Tres interfaces de red, cada una está asociada a un punto de conexión privado.
• Una puerta de enlace de red virtual para el acceso desde máquinas cliente locales
• Una aplicación web con red virtual integrada
• Una zona DNS privada, de modo que la aplicación web encuentre la dirección IP de Azure OpenAI.

Creación de una red virtual

La red virtual tiene tres subredes.

1. La primera subred se usa para la puerta de enlace de red virtual.
2. La segunda subred se usa para los puntos de conexión privados para los tres servicios clave.
3. La tercera subred está vacía y se usa para la integración de red virtual saliente de Web App.

Configuración de Azure OpenAI

Subdominio personalizado habilitado

El subdominio custom es necesario para la autenticación basada en Microsoft Entra ID y la zona DNS privada. Si el Azure recurso openAI se crea mediante la plantilla de ARM, el subdominio personalizado debe especificarse explícitamente.

Habilitación de la identidad administrada

Para permitir que las cuentas de Búsqueda de Azure AI y Storage Account reconozcan a Azure OpenAI en modelos de Foundry a través de la autenticación de Microsoft Entra ID, debe asignar una identidad administrada a Azure OpenAI en modelos de Foundry. La manera más fácil es activar la identidad administrada asignada por el sistema en el portal de Azure. Captura de pantalla que muestra la opción de identidad administrada asignada por el sistema en el portal de Azure.

Para establecer las identidades administradas a través de la API de administración, consulte la documentación de referencia de la API de administración.

"identity": {
  "principalId": "<YOUR-PRINCIPAL-ID>",
  "tenantId": "<YOUR-TENNANT-ID>",
  "type": "SystemAssigned, UserAssigned", 
  "userAssignedIdentities": {
    "/subscriptions/<YOUR-SUBSCIRPTION-ID>/resourceGroups/my-resource-group",
    "principalId": "<YOUR-PRINCIPAL-ID>", 
    "clientId": "<YOUR-CLIENT-ID>"
  }
}

Habilitar servicio confiable

Para permitir que Búsqueda de Azure AI llame al modelo de inserción de Azure OpenAI, mientras que Azure OpenAI no tiene acceso a la red pública, debe configurar Azure OpenAI para omitir Búsqueda de Azure AI como un servicio de confianza basado en la identidad administrada. Azure OpenAI identifica el tráfico de Búsqueda de Azure AI comprobando las reclamaciones en el JSON Web Token (JWT). Búsqueda de Azure AI debe utilizar la autenticación de identidad administrada asignada por el sistema para llamar al punto de conexión de incrustación.

Establézcalo networkAcls.bypass como AzureServices desde la API de administración. Para más información, consulte el artículo Redes virtuales.

Este paso solo se puede omitir si tiene un vínculo privado compartido para el recurso de Búsqueda de Azure AI.

Deshabilitación del acceso a la red pública

Puede deshabilitar el acceso a la red pública del recurso Azure OpenAI en el portal de Azure.

Para permitir el acceso a Azure OpenAI desde las máquinas cliente, como al usar el portal de Foundry, debe crear conexiones de punto de conexión privado que se conecten al recurso Azure OpenAI.

Configuración de Búsqueda de Azure AI

Puede usar el plan de tarifa básico y superior para el recurso de búsqueda. No es necesario, pero si usa el plan de tarifa S2, hay opciones avanzadas disponibles.

Habilitación de la identidad administrada

Para permitir que los demás recursos reconozcan el Búsqueda de Azure AI mediante la autenticación de Microsoft Entra ID, debe asignar una identidad administrada para la Búsqueda de Azure AI. La forma más sencilla es activar la identidad administrada asignada por el sistema del portal de Azure.

Una captura de pantalla que muestra la configuración de identidad administrada para Búsqueda de Azure AI en el portal de Azure.

Habilitación del control de acceso basado en rol

Como Azure OpenAI usa la identidad administrada para acceder a Búsqueda de Azure AI, debe habilitar el control de acceso basado en rol en la Búsqueda de Azure AI. Para hacerlo en el portal de Azure, seleccione Ambos o Control de acceso basado en roles en la pestaña Claves en el portal de Azure.

Para obtener más información, consulte el artículo Búsqueda de Azure AI RBAC.

Deshabilitación del acceso a la red pública

Puede deshabilitar el acceso a la red pública del recurso de Búsqueda de Azure AI en el portal de Azure.

Para permitir el acceso a su recurso de Búsqueda de Azure AI desde sus las máquinas cliente, por ejemplo, mediante el portal de Foundry, debe crear conexiones de puntos de conexión privados que se conecten a su recurso de Búsqueda de Azure AI.

Habilitar servicio confiable

Puede habilitar el servicio confiable de su recurso de búsqueda desde el portal de Azure.

Vaya a la pestaña red del recurso de búsqueda. Con el acceso a la red pública establecido en disabled, seleccione Allow Azure services en la lista de servicios de confianza para acceder a este servicio de búsqueda.

También puede usar la API REST para habilitar el servicio de confianza. En este ejemplo se usa el CLI de Azure y la herramienta jq.

rid=/subscriptions/<YOUR-SUBSCRIPTION-ID>/resourceGroups/<YOUR-RESOURCE-GROUP>/providers/Microsoft.Search/searchServices/<YOUR-RESOURCE-NAME>
apiVersion=2024-03-01-Preview
#store the resource properties in a variable
az rest --uri "https://management.azure.com$rid?api-version=$apiVersion" > search.json

#replace bypass with AzureServices using jq
jq '.properties.networkRuleSet.bypass = "AzureServices"' search.json > search_updated.json

#apply the updated properties to the resource
az rest --uri "https://management.azure.com$rid?api-version=$apiVersion" \
    --method PUT \
    --body @search_updated.json

Creación de un vínculo privado compartido

Esta sección solo es aplicable al recurso de búsqueda del plan de tarifa S2, ya que requiere compatibilidad con puntos de conexión privados para indexadores con un conjunto de aptitudes.

Para crear un vínculo privado compartido desde su recurso de búsqueda que se conecta a su recurso de Azure OpenAI, consulte la documentación de search. Seleccione Tipo de recurso como Microsoft.CognitiveServices/accounts y Group ID como openai_account.

Al compartir el vínculo privado, el paso 8 del diagrama de arquitectura de ingesta de datos cambia de omitir el servicio de confianza a vínculo privado compartido.

Configuración de la cuenta de almacenamiento

Habilitar servicio confiable

Para permitir el acceso a la cuenta de almacenamiento desde Azure OpenAI y Búsqueda de Azure AI, debe configurar la cuenta de almacenamiento para omitir Azure OpenAI y Búsqueda de Azure AI como servicios de confianza basados en la identidad administrada.

En el portal de Azure, vaya a la pestaña redes de la cuenta de almacenamiento, elija "Redes seleccionadas" y seleccione Allow Azure services en la lista de servicios de confianza para acceder a esta cuenta de almacenamiento y haga clic en Guardar.

Deshabilitación del acceso a la red pública

Puede deshabilitar el acceso a la red pública de la cuenta de almacenamiento en el portal de Azure.

Para permitir el acceso a su cuenta de almacenamiento a través de las máquinas cliente, como cuando va a usar el portal de Foundry, debe crear conexiones de puntos de conexión privados que se conecten al almacenamiento de blobs.

Asignaciones de roles

Hasta ahora, ya ha configurado cada recurso para que funcione de forma independiente. A continuación, debe permitir que los servicios se autoricen entre sí.

En la tabla anterior, Assignee significa la identidad administrada asignada por el sistema de ese recurso.

El administrador debe tener el rol de Owner en estos recursos para poder agregar asignaciones de roles.

Consulte la documentación de Azure RBAC para obtener instrucciones sobre cómo establecer estos roles en el portal de Azure. Puede usar el script available en GitHub para agregar las asignaciones de roles mediante programación.

Para permitir que los desarrolladores usen estos recursos para compilar aplicaciones, el administrador debe agregar la identidad de los desarrolladores con las siguientes asignaciones de roles a los recursos.

Configuración de la puerta de enlace y el cliente

Para acceder al Azure OpenAI desde las máquinas cliente locales, uno de los enfoques consiste en configurar Azure VPN Gateway y Azure cliente VPN.

Siga esta guía para crear una puerta de enlace de red virtual para la red virtual.

Siga esta guía para agregar la configuración de punto a sitio y habilitar la autenticación basada en Microsoft Entra ID. Descargue el paquete de configuración del perfil de cliente VPN de Azure, descomprima e importe el archivo />

captura de pantalla

Configure el archivo hosts de máquina local para que apunte los nombres de host de los recursos a las direcciones IP privadas de la red virtual. El archivo /> para Windows y en en Linux. Ejemplo:

10.0.0.5 contoso.openai.azure.com
10.0.0.6 contoso.search.windows.net
10.0.0.7 contoso.blob.core.windows.net

Portal de fundición

Debe poder usar todas las características del portal de Foundry , incluida la ingesta y la inferencia, desde las máquinas cliente locales.

Aplicación web

La aplicación web se comunica con el recurso Azure OpenAI. Dado que el recurso de OpenAI de Azure tiene deshabilitada la red pública, la aplicación web debe configurarse para usar el punto de conexión privado en la red virtual para acceder al recurso de OpenAI de Azure.

La aplicación web debe resolver el nombre de host de Azure OpenAI en la dirección IP privada del punto de conexión privado para Azure OpenAI. Por lo tanto, primero debe configurar la zona DNS privada para la red virtual.

1. Cree una zona DNS privada en el grupo de recursos.
2. Agregue un registro DNS. La dirección IP es la IP privada del punto de conexión privado para su recurso de OpenAI de Azure, y puede obtener la dirección IP de la interfaz de red asociada al punto de conexión privado de su recurso de OpenAI de Azure.
3. Vincule la zona DNS privada a la red virtual para que la aplicación web integrada en esta red virtual pueda usar esta zona DNS privada.

Al implementar la aplicación web desde el portal de Foundry, seleccione la misma ubicación con la red virtual y seleccione una SKU adecuada para que pueda admitir la característica de integración de red virtual.

Una vez implementada la aplicación web, en la pestaña redes del portal de Azure, configure la integración de red virtual de tráfico saliente de la aplicación web, elija la tercera subred que ha reservado para la aplicación web.

Uso de la API

Asegúrese de que la credencial de inicio de sesión tenga el rol Cognitive Services OpenAI Contributor en el recurso de OpenAI de Azure y ejecute az login primero.

API de ingesta

Consulte el artículo de referencia de la API de ingesta para obtener más información sobre los objetos de solicitud y respuesta usados por la API de ingesta.

API de inferencia

Consulte el artículo de referencia de la API de inferencia para más información sobre los objetos de solicitud y respuesta usados por la API de inferencia.

Uso de Microsoft Defender para la nube

Ahora puede integrar Microsoft Defender para la nube (versión preliminar) con los recursos de Azure para proteger las aplicaciones. Microsoft Defender para la nube protege tus aplicaciones con protección contra amenazas para cargas de trabajo de IA, proporcionando a los equipos alertas de seguridad basadas en pruebas y enriquecidas con señales de inteligencia sobre amenazas de Microsoft, y permite a los equipos reforzar su postura de seguridad con recomendaciones integradas de prácticas recomendadas de seguridad.

Use este formulario para solicitar acceso.