Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Note
Ce document fait référence au portail Microsoft Foundry (classique).
🔍 Consultez la documentation Microsoft Foundry (nouvelle) pour en savoir plus sur le nouveau portail.
Important
- Azure OpenAI service prend en charge le périmètre de sécurité du réseau et est disponible en aperçu public selon des conditions d'utilisation supplémentaires. Il est disponible dans les régions qui fournissent la fonctionnalité. Cette préversion est fournie sans contrat de niveau de service et n’est pas recommandée pour les charges de travail de production. Certaines fonctionnalités peuvent être limitées ou non prises en charge.
- Consultez la section Limitations et considérations avant de commencer.
Vue d’ensemble
Cet article explique comment joindre un service Azure OpenAI à un périmètre de sécurité réseau pour contrôler l'accès réseau à votre compte Azure OpenAI. En joignant un périmètre de sécurité réseau, vous pouvez :
- Enregistrez tous les accès à votre compte dans le contexte de ressources Azure dans le même périmètre.
- Bloquez toute exfiltration de données du compte vers d’autres services en dehors du périmètre.
- Autorisez l'accès à votre compte en utilisant les fonctionnalités d'accès entrées et sorties du périmètre de sécurité réseau.
Vous pouvez ajouter une Azure OpenAI service à un périmètre de sécurité réseau dans le Azure portal, comme décrit dans cet article. Vous pouvez également utiliser l’API REST Azure Virtual Network Manager pour joindre un service et utiliser les API REST de gestion pour afficher et synchroniser les paramètres de configuration.
Limitations et considérations
Les clés gérées par le client d'Azure OpenAI risquent de ne pas se comporter comme prévu. Les ressources Azure OpenAI dans l’abonnement Azure risquent de ne pas pouvoir utiliser l'API de fine-tuning ou l'API des assistants.
Le périmètre de sécurité réseau contrôle uniquement les opérations de plan de données dans Azure OpenAI, et non les opérations de plan de contrôle. Par exemple, les utilisateurs peuvent déployer un modèle dans leur ressource OpenAI Azure sécurisée par le périmètre, mais ne peuvent pas utiliser des modèles affinés, charger des fichiers ou démarrer une session dans Chat Playground. Dans ces scénarios de plan de données, un message d’erreur indique que access est bloqué par le périmètre de sécurité réseau, comme prévu.
Pour un service Azure OpenAI au sein d'un périmètre de sécurité, la ressource doit utiliser une identité managée affectée par le système ou l'utilisateur et avoir une attribution de rôle qui autorise l'accès en lecture aux sources de données.
Envisagez de sécuriser avec un périmètre de sécurité réseau lors de la configuration de Azure Blob Storage pour Azure OpenAI. Azure OpenAI prend désormais en charge l’utilisation d'Azure Blob Storage pour les fichiers d’entrée et de sortie du Batch Azure OpenAI. Sécurisez les communications avec Blob Storage et Azure OpenAI en plaçant les deux ressources dans le même périmètre. Pour plus d’informations sur le scénario Azure OpenAI Batch et Blob Storage, consultez Configuring Azure Blob Storage pour Azure OpenAI.
Prerequisites
Avertissement
Veillez à bien comprendre les limitations et l’impact de votre abonnement Azure répertoriés dans la section précédente avant d’inscrire la fonctionnalité en préversion.
Inscrivez la fonctionnalité de périmètre de sécurité réseau à partir des fonctionnalités Azure portal en préversion. Les noms des fonctionnalités sont les suivants :
OpenAI.NspPreviewAllowNSPInPublicPreview
Ou utilisez les commandes CLI suivantes pour inscrire les deux fonctionnalités en préversion
az feature registration create --name OpenAI.NspPreview --namespace Microsoft.CognitiveServicesaz feature registration create --name AllowNSPInPublicPreview --namespace Microsoft.Network
Assurez-vous que les fournisseurs Microsoft.CognitiveServices et Microsoft.Network sont inscrits. Pour vérifier si les indicateurs de fonctionnalité sont autorisés, utilisez la commande az feature registration list.
Configurer l’identité managée sur votre compte OpenAI Azure
Pour permettre à votre compte Storage de reconnaître votre Azure OpenAI service via l’authentification Microsoft Entra ID, vous devez activer l’identité managée pour votre Azure OpenAI service. Le moyen le plus simple consiste à activer l’identité managée affectée par le système sur Azure portal. Le rôle requis pour votre compte Storage est « Storage Blob Data Contributor ». Vérifiez que le rôle est affecté à votre compte Storage à partir de votre compte OpenAI Azure.
Affecter un compte OpenAI Azure à un périmètre de sécurité réseau
Azure périmètre de sécurité réseau permet aux administrateurs de définir une limite d’isolation réseau logique pour les ressources PaaS (par exemple, Azure Storage et Azure SQL Database) déployées en dehors des réseaux virtuels. Elle limite la communication aux ressources au sein du périmètre et autorise le trafic public extérieur par le biais de règles d'accès entrantes et sortantes.
Vous pouvez ajouter Azure OpenAI à un périmètre de sécurité réseau afin que toutes les requêtes se produisent dans la limite de sécurité.
Dans le Azure portal, recherchez le service de périmètre de sécurité réseau de votre abonnement.
Sélectionnez Ressources associées dans le menu de gauche.
Sélectionnez Ajouter>des ressources associées à un profil existant.
Sélectionnez le profil que vous avez créé lors de la création du périmètre de sécurité réseau d’un profil.
Sélectionnez Associate, puis sélectionnez le Azure OpenAI service que vous avez créé.
Sélectionnez Associer dans la section inférieure gauche de l’écran pour créer l’association.
Modes d'accès du périmètre de sécurité réseau
Le périmètre de sécurité réseau prend en charge deux modes de access différents pour les ressources associées :
| Mode | Descriptif |
|---|---|
| Mode d’apprentissage | Il s’agit du mode access par défaut. En mode d’apprentissage, le périmètre de sécurité réseau consigne tout le trafic vers l’Azure OpenAI service qui aurait été refusé si le périmètre était en mode appliqué. Cela permet aux administrateurs réseau de comprendre les modèles de access existants de l’Azure OpenAI service avant d’implémenter l’application des règles de access. |
| Mode Appliqué | En mode imposé, le périmètre de sécurité réseau enregistre et refuse tout le trafic qui n'est pas explicitement autorisé par les règles d'accès. |
Périmètre de sécurité réseau et paramètres réseau Azure OpenAI service
Le paramètre publicNetworkAccess détermine l’association Azure services OpenAI avec un périmètre de sécurité réseau.
- En mode Apprentissage, le paramètre
publicNetworkAccesscontrôle l'accès public à la ressource. - En mode Appliqué, le paramètre
publicNetworkAccessest remplacé par les règles du périmètre de sécurité réseau. Par exemple, si un service Azure OpenAI avec un paramètrepublicNetworkAccessdeenabledest associé à un périmètre de sécurité réseau en mode appliqué, l'accès au service Azure OpenAI est toujours contrôlé par les règles du périmètre de sécurité réseau.
Modifier le mode d'accès de périmètre de sécurité du réseau
Accédez à votre ressource de périmètre de sécurité réseau dans le Azure portal.
Sélectionnez Ressources dans le menu de gauche.
Recherchez votre Azure OpenAI service dans le tableau.
Sélectionnez les trois points à droite de la ligne Azure OpenAI service. Sélectionnez Change access mode dans la fenêtre contextuelle.
capture d’écran
Sélectionnez le mode access souhaité, puis sélectionnez Appliquer.
Une capture d'écran montrant le bouton pour appliquer le mode d'accès.
Activer l'enregistrement des accès réseau
Accédez à votre ressource de périmètre de sécurité réseau dans le Azure portal.
Sélectionnez Paramètres de diagnostic dans le menu de gauche.
Sélectionnez Ajouter le paramètre de diagnostic.
Entrez un nom tel que « diagnostic » pour le nom du paramètre de diagnostic.
Sous Journaux, sélectionnez
allLogs.allLogsgarantit que tous les accès réseau entrant et sortant vers les ressources de votre périmètre de sécurité réseau sont journalisés.Sous Détails de destination, sélectionnez Archiver dans un compte storage ou Envoyer à l’espace de travail Log Analytics. Le compte storage doit se trouver dans la même région que le périmètre de sécurité réseau. Vous pouvez utiliser un compte storage existant ou en créer un nouveau. Un espace de travail Log Analytics peut se trouver dans une région différente de celle utilisée par le périmètre de sécurité réseau. Vous pouvez également sélectionner l’une des autres destinations applicables.
Sélectionnez Enregistrer pour créer le paramètre de diagnostic et démarrer la journalisation des access réseau.
Lecture des journaux d'accès réseau
Espace de travail Log Analytics
La table network-security-perimeterAccessLogs contient tous les journaux d’activité pour chaque catégorie de journal (par exemple network-security-perimeterPublicInboundResourceRulesAllowed). Chaque log contient un enregistrement de l'accès au réseau de périmètre de sécurité qui correspond à la catégorie de log.
Voici un exemple du format du journal network-security-perimeterPublicInboundResourceRulesAllowed :
| Nom de colonne | Signification | Exemple de valeur |
|---|---|---|
| Profil | Quel périmètre de sécurité réseau le Azure OpenAI service a été associé à | defaultProfile |
| Règle correspondante | Description JSON de la règle qui a été mise en correspondance par le journal | { "accessRule": "IP firewall" } |
| SourceIPAddress | Adresse IP source de l'accès réseau entrant, le cas échéant | 1.1.1.1 |
| AccessRuleVersion | Version des règles d'accès du périmètre de sécurité du réseau utilisées pour appliquer les règles d'accès au réseau | 0 |
Ajoutez une règle de access pour votre Azure OpenAI service
Un profil de périmètre de sécurité réseau spécifie des règles qui autorisent ou refusent des access via le périmètre.
Dans le périmètre, toutes les ressources ont un accès mutuel au niveau réseau. Vous devez toujours configurer l’authentification et l’autorisation, mais au niveau du réseau, les demandes de connexion émises depuis l’intérieur du périmètre sont acceptées.
Pour les ressources en dehors du périmètre de sécurité réseau, vous devez spécifier des règles de access entrantes et sortantes. Les règles de trafic entrant spécifient les connexions entrantes à autoriser et les règles de trafic sortant spécifient les demandes sortante à autoriser.
Note
Tout service associé à un périmètre de sécurité réseau autorise implicitement les access entrantes et sortantes vers tout autre service associé au même périmètre de sécurité réseau lorsque cette access est authentifiée à l’aide d’identités managées et d’attributions de rôles. Les règles d'accès doivent être créées uniquement lorsque vous autorisez un accès en dehors du périmètre de sécurité du réseau, ou pour les accès authentifiés à l'aide de clés API.
Ajouter une règle d'accès entrant
Les règles de access entrantes peuvent permettre à Internet et aux ressources en dehors du périmètre de se connecter à des ressources à l’intérieur du périmètre. Le périmètre de sécurité réseau prend en charge deux types de règles de access entrantes :
- Plages d’adresse IP. Les adresses IP ou les plages doivent être au format CIDR (Classless Inter-Domain Routing). Un exemple de notation CIDR est
192.0.2.0/24, qui représente les adresses IP allant de192.0.2.0à192.0.2.255. Ce type de règle autorise les requêtes entrantes à partir de n’importe quelle adresse IP de la plage. - Abonnements. Ce type de règle autorise l’accès entrant authentifié à l’aide de n’importe quelle identité managée à partir de l’abonnement.
Pour ajouter une règle d'accès entrant dans le portail Azure :
Accédez à votre ressource de périmètre de sécurité réseau dans le Azure portal.
Sélectionnez Profils dans le menu de gauche.
Sélectionnez le profil que vous utilisez avec votre périmètre de sécurité réseau.
Sélectionnez Règles d'accès entrant dans le menu latéral gauche.
Cliquez sur Ajouter.
Entrez ou sélectionnez les valeurs suivantes :
Réglage Valeur Nom de la règle Nom de la règle de access entrante (par exemple, MyInboundAccessRule).Type de source Les valeurs valides sont des plages d’adresses IP ou des abonnements. Sources autorisées Si vous avez sélectionné des plages d’adresses IP, entrez la plage d’adresses IP dans un format CIDR à partir duquel vous souhaitez autoriser les access entrantes. Les plages d'adresses IP d'Azure sont disponibles sur ce lien. Si vous avez sélectionné Subscriptions, utilisez l’abonnement depuis lequel vous souhaitez autoriser les accès entrants. Sélectionnez Ajouter pour créer la règle d'accès entrante.
Ajouter une règle d'accès sortant
Rappelez-vous que dans la préversion publique, Azure OpenAI ne peut se connecter qu’à Azure Storage ou Azure Cosmos DB dans le périmètre de sécurité. Si vous souhaitez utiliser d’autres sources de données, vous avez besoin d’une règle d'accès sortant pour prendre en charge cette connexion.
Le périmètre de sécurité réseau prend en charge les règles d'accès sortantes basées sur le nom de domaine pleinement qualifié (FQDN) de la destination. Par exemple, vous pouvez autoriser les accès sortants de n'importe quel service associé à votre périmètre de sécurité réseau à un nom de domaine complet tel que mystorageaccount.blob.core.windows.net.
Pour ajouter une règle d'accès sortant dans le portail Azure :
Accédez à votre ressource de périmètre de sécurité réseau dans le Azure portal.
Sélectionnez Profils dans le menu de gauche.
Sélectionnez le profil que vous utilisez avec votre périmètre de sécurité réseau.
Sélectionnez Règles d'accès sortantes dans le menu de gauche.
Cliquez sur Ajouter.
Une capture d'écran montrant le bouton permettant d’ajouter des règles d’accès sortantes.
Entrez ou sélectionnez les valeurs suivantes :
Réglage Valeur Nom de la règle Nom de la règle d'accès sortante (par exemple, « MyOutboundAccessRule ») Type de destination Laisser en tant que FQDN Destinations autorisées Entrez une liste séparée par des virgules de noms de domaine complets pour lesquels vous souhaitez autoriser un accès sortant Sélectionnez Ajouter pour créer une règle d'accès sortante.
capture d'écran montrant l'écran pour ajouter une règle d'accès sortante.
Test de la connexion via le périmètre de sécurité réseau
Pour tester votre connexion via le périmètre de sécurité réseau, vous devez access à un navigateur web, sur un ordinateur local avec une connexion Internet ou une machine virtuelle Azure.
Modifiez votre association de périmètre de sécurité réseau en mode appliqué pour commencer à appliquer les exigences de périmètre de sécurité réseau pour les accès réseau à votre service Azure OpenAI.
Décidez si vous souhaitez utiliser un ordinateur local ou une machine virtuelle Azure.
Si vous utilisez un ordinateur local, vous devez connaître votre adresse IP publique.
Si vous utilisez une machine virtuelle Azure, vous pouvez utiliser un private link ou vérifier l'adresse IP à l'aide du Azure portal.
À l’aide de l’adresse IP, vous pouvez créer une règle inbound access pour que cette adresse IP autorise access. Vous pouvez ignorer cette étape si vous utilisez private link.
Enfin, essayez de naviguer jusqu’au Azure OpenAI service dans la Azure portal. Ouvrez Azure OpenAI service dans Microsoft Foundry. Déployez un modèle et discutez avec le modèle dans chat Playground. Si vous recevez une réponse, le périmètre de sécurité réseau est configuré correctement.
Affichage et gestion de la configuration du périmètre de sécurité réseau
Vous pouvez utiliser les API REST de configuration du périmètre de sécurité réseau pour passer en revue et rapprocher les configurations de périmètre.
Veillez à utiliser la version2024-10-01 préliminaire de l’API.