Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Microsoft Foundry proporciona un conjunto completo de herramientas para ayudar a los equipos de desarrollo a crear, personalizar, evaluar y operar agentes de inteligencia artificial y los modelos y herramientas que usan.
En este artículo se proporcionan operaciones de TI y equipos de seguridad con detalles sobre el recurso Foundry y la arquitectura del servicio Azure subyacente, sus componentes y su relación con otros tipos de recursos Azure. Use esta información para guiar cómo personalizar la implementación de Foundry en los requisitos de su organización. Para obtener más información sobre cómo implementar Foundry en su organización, consulte Foundry Rollout.
Tipos de recursos y proveedores de Azure IA
Dentro de la familia de productos Azure AI, puede usar los proveedores de recursos de Azure que respaldan las necesidades del usuario en diferentes niveles de la arquitectura.
| Proveedor de recursos | Propósito | Admite tipos de recursos. |
|---|---|---|
| Microsoft.CognitiveServices | Admite el desarrollo de aplicaciones Agentic y GenAI que componen y personalizan modelos precompilados. | Foundry; Servicio Azure OpenAI; Azure Speech; Azure Vision |
| Microsoft.Search | Apoyo a la recuperación de conocimiento sobre tus datos | Azure AI Search |
En muchos escenarios, el recurso Foundry es el punto de partida recomendado. Los recursos de Foundry comparten el espacio de nombres del proveedor Microsoft.CognitiveServices con servicios como Azure OpenAI, Azure Speech, Azure Vision y Azure Language. Este espacio de nombres de proveedor compartido ayuda a alinear las API de administración, los patrones de control de acceso, las políticas de red y el comportamiento de las directivas en los recursos relacionados de inteligencia artificial.
| Tipo de recurso | Proveedor de recursos y tipo | Variante | Capacidades compatibles |
|---|---|---|---|
| Microsoft Foundry | Microsoft.CognitiveServices/account |
AIServices |
Agentes, evaluaciones, Azure OpenAI, Voz, Visión, Lenguaje y Comprensión del contenido |
| Proyecto de fundición | Microsoft.CognitiveServices/account/project |
AIServices |
Subrecurso del anterior |
| Voz de Azure en Foundry Tools | Microsoft.CognitiveServices/account |
Speech |
Speech |
| Azure Language en Foundry Tools | Microsoft.CognitiveServices/account |
Language |
Language |
| Azure Vision en Foundry Tools | Microsoft.CognitiveServices/account |
Vision |
Visión |
Los tipos de recursos de los mismos espacios de nombres de proveedor comparten las mismas API de administración y utilizan acciones similares de Control de acceso basado en roles de Azure, configuraciones de red similares y alias para la configuración de Azure Policy. Si va a actualizar desde Azure OpenAI a Foundry, las directivas de Azure personalizadas existentes y las acciones de Access Control basadas en roles de Azure siguen aplicándose.
Cómo se relacionan los recursos en Foundry
Utilice este modelo al planificar la arquitectura y los límites de acceso.
- Recurso de Foundry: recurso general de Azure en el que se administran las configuraciones de gobernanza, como redes, seguridad e implementaciones de modelos.
- Project: límite de desarrollo dentro del recurso Foundry donde los equipos crean y evalúan casos de uso.
- Activos del proyecto: archivos, agentes, evaluaciones y artefactos relacionados con un ámbito de proyecto.
Esta separación permite a los equipos de TI aplicar controles centralizados a nivel de recursos mientras los equipos de desarrollo trabajan dentro de los límites de nivel de proyecto.
Separación impulsada por la seguridad de preocupaciones
Foundry aplica una separación clara entre las operaciones de administración y desarrollo para garantizar cargas de trabajo de inteligencia artificial seguras y escalables.
Top-Level Resource Governance: Las operaciones de administración, como configurar la seguridad, establecer la conectividad con otros servicios Azure y administrar implementaciones, se limitan al recurso Foundry de nivel superior. Las actividades de desarrollo están aisladas dentro de contenedores de proyecto dedicados, que encapsulan casos de uso y proporcionan límites para el control de acceso, archivos, agentes y evaluaciones.
Role-Based Access Control (RBAC): Las acciones de RBAC en Azure reflejan esta separación de preocupaciones. Las acciones del plano de control, como la creación de implementaciones y proyectos, son distintas de las acciones del plano de datos, como la creación de agentes, la ejecución de evaluaciones y la carga de archivos. Puede establecer el ámbito de las asignaciones de RBAC tanto en el recurso de nivel superior como en el nivel de proyecto individual. Asigne identidades administradas en ambos ámbitos para admitir la automatización segura y el acceso de servicio. Para obtener más información, consulte Role-based access control for Microsoft Foundry.
Entre las asignaciones de inicio comunes para la incorporación con privilegios mínimos se incluyen:
- Usuario de Azure AI para cada entidad de usuario desarrollador en el ámbito del recurso de Foundry.
- Azure AI User para cada identidad administrada de proyecto en el ámbito del recurso Foundry.
Para obtener definiciones de roles e instrucciones de planeamiento de ámbito, consulte control de acceso basado en roles para Microsoft Foundry.
Las métricas de Monitoring and Observability: Azure Monitor se segmentan por ámbito. Puede ver las métricas de administración y uso en el recurso de nivel superior, mientras que las métricas específicas del proyecto, como el rendimiento de evaluación o la actividad del agente, se circunscriben a los contenedores de proyectos individuales.
Infraestructura informática
La arquitectura de hospedaje de modelos se proporciona mediante la implementación estándar en los recursos de Foundry. Para obtener información general sobre los datos, la privacidad y las consideraciones de seguridad con la implementación, consulte Datos, privacidad y seguridad para el uso de modelos.
Ejecución de la carga de trabajo: Los agentes, las evaluaciones y los trabajos de Batch se ejecutan como proceso de contenedor administrado, totalmente administrados por Microsoft.
Integración de redes: Para mejorar la seguridad y el cumplimiento cuando los agentes se conectan con sistemas externos, la inserción de contenedores permite que la red de plataforma hospede las API e inserte una subred en la red. Esta configuración habilita la comunicación local de los recursos de Azure dentro del mismo virtual network.
Si necesita aislamiento de red de un extremo a otro, revise las limitaciones actuales antes de la implementación. En la nueva experiencia del portal de Foundry, los escenarios de aislamiento de un extremo a otro no están plenamente soportados. Use la experiencia clásica, el SDK o las instrucciones de la CLI para implementaciones aisladas de red. Para obtener más información, consulte How to configure a private link for Foundry.
Almacenamiento de datos
Foundry proporciona opciones de storage de datos flexibles y seguras para admitir una amplia gama de cargas de trabajo de inteligencia artificial.
Almacenamiento gestionado para la carga de archivos: En la configuración predeterminada, Foundry usa cuentas de almacenamiento gestionadas por Microsoft que están separadas lógicamente y admiten subidas de archivos directas para casos de uso seleccionados, como modelos, asistentes y agentes de OpenAI, sin necesidad de una cuenta de almacenamiento proporcionada por el cliente.
Traiga su propio almacenamiento (opcional): los usuarios pueden conectar sus propias cuentas de Azure Storage de forma opcional. Las herramientas de Fundición pueden leer datos de entrada y escribir resultados en estas cuentas, dependiendo de la herramienta y del caso de uso
Lleve su propio almacenamiento para almacenar el estado del agente
- En la configuración básica, el servicio Agente almacena subprocesos, mensajes y archivos en storage multiinquilino administrados por Microsoft, con separación lógica.
- Con la configuración estándar del agente, puede utilizar su propio almacenamiento para los datos de hilos y mensajes. En esta configuración, los datos se aíslan por proyecto dentro de la cuenta de almacenamiento del cliente.
Cifrado de claves administradas porCustomer: de forma predeterminada, los servicios de Azure usan claves de cifrado administradas por Microsoft para cifrar los datos en tránsito y en reposo. Los datos se cifran y descifran mediante el cifrado AES compatible con FIPS 140-2 de 256 bits. El cifrado y el descifrado son transparentes, lo que significa que el cifrado y el acceso se administran para usted. Dado que los datos están protegidos de forma predeterminada, no es necesario modificar el código ni las aplicaciones para utilizar el cifrado.
Antes de habilitar las claves administradas por el cliente para Foundry, confirme estos requisitos previos:
- Key Vault se implementa en la misma región de Azure que el recurso Foundry.
- La eliminación temporal y la protección de purga están habilitadas en Key Vault.
- Las identidades administradas tienen permisos de clave necesarios, como el rol Key Vault Crypto User al usar Azure RBAC.
Bring your own Key Vault: De forma predeterminada, Foundry almacena todos los secretos de conexión basados en claves de API en un Azure Key Vault administrado. Para los usuarios que prefieren administrar esto a sí mismos, pueden conectar su bóveda de claves al recurso Foundry. Una conexión de Azure Key Vault administra todos los secretos de conexión a nivel de proyecto y recurso. Para obtener más información, consulte cómo configurar una conexión de Azure Key Vault a Foundry.
Cuando se usan claves administradas por el cliente, los datos de la infraestructura administrada por Microsoft se cifran mediante las claves.
Para más información sobre el cifrado de datos, consulte Claves administradas por el cliente para el cifrado con Foundry.
Validar decisiones de arquitectura
Antes de la implementación, valide lo siguiente para el entorno de destino:
- Confirme que los modelos y características necesarios están disponibles en las regiones de implementación. Para más información, consulte Disponibilidad de características entre regiones en la nube.
- Confirme que las asignaciones de roles se delimitan correctamente tanto en el recurso Foundry como en los niveles de proyecto. Para obtener más información, consulte Role-based access control for Microsoft Foundry.
- Confirme los requisitos de aislamiento de red y las rutas de acceso privadas. Para obtener más información, consulte How to configure a private link for Foundry.
- Confirme los requisitos de cifrado y administración de secretos, incluidas las claves administradas por el cliente y la integración de Azure Key Vault. Para obtener más información, consulte Claves administradas por Customer para el cifrado con Foundry y cómo configurar una conexión de Azure Key Vault con Foundry.