共用方式為


如何建立和管理 Azure AI Studio 中樞

在 AI Studio 中,中樞提供讓小組共同作業及組織工作的環境,並協助您作為小組負責人或 IT 系統管理員集中設定安全性設定,並控管使用量和支出。 您可以從 Azure 入口網站或 AI Studio 建立和管理中樞。

在本文中,您將了解如何在 AI Studio 中使用預設設定建立和管理中樞,讓您能夠快速入門。 您是否需要自訂中樞的安全性或相依資源? 則使用 Azure 入口網站範本選項

提示

如果您想要使用範本建立 Azure AI Studio 中樞,請參閱使用 BicepTerraform 的文章。

在 AI Studio 中建立中樞

若要建立新的中樞,您需要資源群組或現有中樞上的「擁有者」或「參與者」角色。 如果您因為權限而無法建立中樞,請連絡您的管理員。 如果您的組織使用 Azure 原則,請勿在 AI Studio 中建立資源。 請改為在 Azure 入口網站中建立中樞。

注意

Azure AI Studio 中的中樞是一站式商店,可讓您管理 AI 專案所需的一切,例如安全性和資源,讓您可以更快速地開發和測試。 若要深入了解中樞如何協助您,請參閱中 樞和專案概觀 一文。

若要在 Azure AI Studio 中建立中樞,請遵循下列步驟:

  1. 移至 Azure AI Studio首頁,並以您的 Azure 帳戶登入。

  2. 選取 左窗格中的 [所有資源 ]。 如果您看不到此選項,請在頂端列中選取 [所有資源與專案]。 然後,選取 [+ 新增中樞]

    建立新中樞按鈕的螢幕擷取畫面。

  3. 在 [ 建立新的中樞] 對話框中,輸入中樞 的名稱(例如 contoso-hub)。 如果您沒有資源群組,將會建立新的 資源群組 ,並 連結到提供的訂 用帳戶。 將預設的 [連線 Azure AI 服務] 選項保留為選取狀態。

  4. 選取 [下一步]。 如果您未重複使用現有的資源群組,則會建立新的資源群組 (rg-contoso)。 此外,也會為中樞建立 Azure AI 服務 (ai-contoso-hub)。

    建立新中樞時連線服務的對話方塊螢幕擷取畫面。

    注意

    如果您在 [資源群組] 和 [連接 Azure AI 服務] 專案之前未看到 (new),則會使用現有的資源。 針對本教學課程的目的,請透過 建立新的資源群組建立新的 AI 服務來建立個別的實體。 這可讓您在教學課程之後刪除實體,以防止任何非預期的費用。

  5. 檢閱資訊並選取 [建立]

    檢閱新中樞設定之對話方塊的螢幕擷取畫面。

  6. 您可以在精靈中檢視中樞建立的進度。

    檢閱中樞資源建立進度之對話方塊的螢幕擷取畫面。

在 Azure 入口網站中建立資源中樞

如果您的組織使用 Azure 原則,請設定符合您組織需求的中樞,而不是使用 AI Studio 來建立資源。

  1. 從 Azure 入口網站,選取 [+ 新增 Azure AI 中樞] 以搜尋 Azure AI Studio 並建立新的中樞

  2. 輸入您的中樞名稱、訂用帳戶、資源群組和位置詳細資料。

  3. 針對 Azure AI 服務基底模型,選取現有的 AI 服務資源或建立新的資源。 Azure AI 服務包含多個用於語音、內容安全性和 Azure OpenAI 的 API 端點。

    設定中樞基本資訊的選項螢幕擷取畫面。

  4. 選取 [儲存體] 索引標籤,以指定儲存體帳戶設定。 若要儲存認證,請提供 Azure 金鑰保存庫 或使用 Microsoft 受控認證存放區 (預覽)

    [建立中樞] 的螢幕擷取畫面,其中包含設定儲存體資源資訊的選項。

  5. 選取 [網路] 索引標籤來設定網路隔離。 深入了解網路隔離。 如需建立安全中樞的逐步解說,請參閱建立安全中樞

    [建立中樞] 的螢幕擷取畫面,其中包含設定網路隔離資訊的選項。

  6. 選取 [加密] 索引標籤來設定資料加密。 您可以使用 Microsoft 管理的金鑰,或啟用客戶自控金鑰

    [建立中樞] 的螢幕擷取畫面,其中包含選取加密類型的選項。

  7. 選取 [身分識別] 索引標籤。預設會啟用 [系統指派的身分識別],但如果 [儲存體] 中已選取現有的儲存體、金鑰保存庫和容器登錄,您可以切換至 [使用者指派的身分識別]

    [建立中樞] 的螢幕擷取畫面,其中包含選取受控識別的選項。

    注意

    如果您選取 [使用者指派的身分識別],您的身分識別必須具備 Cognitive Services Contributor 角色,才能成功建立新的中樞。

  8. 選取 [標記] 索引標籤以新增標記。

    [建立中樞] 的螢幕擷取畫面,其中包含新增標記的選項。

  9. 選取 [檢閱 + 建立]>[建立]

從 Azure 入口網站管理您的中樞

管理存取控制

從 Azure 入口網站內的存取控制 (IAM) 管理角色指派。 深入了解中樞角色型存取控制

若要新增授與使用者權限:

  1. 選取 [+ 新增],將使用者新增至您的中樞。

  2. 選取您想要指派的角色

    Azure 入口網站中樞檢視內 [新增角色] 頁面的螢幕擷取畫面。

  3. 選取您要授與角色的 [成員]

    Azure 入口網站中樞檢視內 [新增成員] 頁面的螢幕擷取畫面。

  4. 檢閱 + 指派。 最多可能需要一小時的時間,才能將權限套用至使用者。

網路

中樞網路設定可以在資源建立期間設定,或在 Azure 入口網站檢視的 [網路] 索引標籤中變更。 建立新的中樞會叫用受控虛擬網路。 這會使用內建的受控虛擬網路簡化並自動化您的網路隔離設定。 受控虛擬網路設定會套用至中樞內建立的所有專案。

在中樞建立時,從這些網路隔離模式選取:公用具有網際網路輸出的私人,以及具有已核准輸出的私人。 若要保護您的資源,請針對您的網路需求選取 [具有網際網路輸出的私人] 或 [具有核准輸出的私人]。 針對私人隔離模式,應該為輸入存取建立私人端點。 如需網路隔離的詳細資訊,請參閱受控虛擬網路隔離。 若要建立安全中樞,請參閱建立安全中樞

在 Azure 入口網站 中建立中樞時,會提供相關聯的 Azure AI 服務、儲存體帳戶、密鑰保存庫(選擇性)、Application Insights(選擇性)和容器登錄(選擇性) 的建立。 這些資源可在建立期間於 [資源] 索引標籤上找到。

若要連線至 Azure AI 服務 (Azure OpenAI、Azure AI 搜尋和 Azure AI 內容安全性) 或 Azure AI Studio 中的儲存體帳戶,請在虛擬網路中建立私人端點。 建立私人端點連線時,請確保已停用公用網路存取 (PNA) 旗標。 如需 Azure AI 服務連線的詳細資訊,請遵循這裡的文件。 您可以選擇自備 (BYO) 搜尋,但這需要從您的虛擬網路的私人端點連線。

加密

使用相同中樞的專案,會共用其加密設定。 加密模式只能在 Microsoft 管理的金鑰與客戶自控金鑰之間建立中樞時設定。

從 Azure 入口網站檢視,瀏覽至 [加密] 索引標籤,以尋找中樞的加密設定。 針對使用 CMK 加密模式的中樞,您可以將加密金鑰更新為新的金鑰版本。 此更新作業受限於與原始金鑰相同的 Key Vault 執行個體內的金鑰和金鑰版本。

Azure 入口網站內中樞的 [加密] 頁面螢幕擷取畫面。

更新 Azure Application Insights 和 Azure Container Registry

若要使用提示流程的自訂環境,您必須為中樞設定 Azure Container Registry。 若要使用 Azure Application Insights 進行提示流程部署,您的中樞需要已設定的 Azure Application Insights 資源。 如果更新連結工作區的 Azure Container Registry 或 ApplicationInsights 資源,可能會中斷先前作業的歷程、中斷已部署的推斷端點,或無法重新執行此工作區中先前的工作。

您可以使用 Azure 入口網站、Azure SDK/CLI 選項或基礎結構即程式碼範本,來更新中樞的 Azure Application Insights 和 Azure Container Registry。

您可以在建立期間或建立後更新時,為這些資源設定中樞。

若要從 Azure 入口網站更新 Azure Application Insights,請瀏覽至 Azure 入口網站內中樞的 [屬性],然後選取 [變更 Application Insights]

Azure 入口網站內中樞資源 [屬性] 頁面的螢幕擷取畫面。

選擇認證儲存方式

選取 AI Studio 中代表您儲存認證的案例。 例如,當您在 AI Studio 中建立連線,以存取具有預存帳戶密鑰的 Azure 儲存體 帳戶、使用系統管理員密碼存取 Azure Container Registry,或使用已啟用 SSH 金鑰建立計算實例時。 當您選擇 EntraID 身分識別型驗證時,不會使用連線來儲存認證。

您可以選擇儲存認證的位置:

  1. 您的 Azure 金鑰保存庫:這需要您管理自己的 Azure 金鑰保存庫 實例,並針對每個中樞進行設定。 它可讓您進一步控制秘密生命週期,例如設定到期原則。 您也可以與 Azure 中的其他應用程式共用儲存的秘密。

  2. Microsoft受控認證存放區 (預覽):在此變體中,Microsoft代表每個中樞管理 Azure 金鑰保存庫 實例。 您不需要任何資源管理,且保存庫不會顯示在您的 Azure 訂用帳戶中。 秘密數據生命週期會遵循中樞和項目的資源生命週期。 例如,刪除專案的記憶體連線時,也會刪除其儲存的秘密。

建立中樞之後,就無法在 Azure 金鑰保存庫 與使用Microsoft受控認證存放區之間切換。

刪除 Azure AI Studio 中樞

若要從 Azure AI Studio 刪除中樞,請選取中樞,然後從頁面的 [中樞屬性] 區段選取 [刪除中樞]。

中樞屬性中刪除中樞鏈接的螢幕快照。

注意

您也可以從 Azure 入口網站 刪除中樞。

刪除中樞會刪除所有相關聯的專案。 刪除專案時,也會刪除專案的所有巢狀端點。 您可以選擇性地刪除已連線的資源;不過,請確定沒有其他應用程式使用此連線。 例如,另一個 Azure AI Studio 部署可能會使用它。