如何建立和管理 Azure AI Studio 中樞
在 AI Studio 中,中樞提供讓小組共同作業及組織工作的環境,並協助您作為小組負責人或 IT 系統管理員集中設定安全性設定,並控管使用量和支出。 您可以從 Azure 入口網站或 AI Studio 建立和管理中樞。
在本文中,您將了解如何在 AI Studio 中使用預設設定建立和管理中樞,讓您能夠快速入門。 您是否需要自訂中樞的安全性或相依資源? 則使用 Azure 入口網站或範本選項。
在 AI Studio 中建立中樞
若要建立新的中樞,您需要資源群組或現有中樞上的「擁有者」或「參與者」角色。 如果您因為權限而無法建立中樞,請連絡您的管理員。 如果您的組織使用 Azure 原則,請勿在 AI Studio 中建立資源。 請改為在 Azure 入口網站中建立中樞。
注意
Azure AI Studio 中的中樞是一站式商店,可讓您管理 AI 專案所需的一切,例如安全性和資源,讓您可以更快速地開發和測試。 若要深入了解中樞如何協助您,請參閱中 樞和專案概觀 一文。
若要在 Azure AI Studio 中建立中樞,請遵循下列步驟:
移至 Azure AI Studio 的首頁,並以您的 Azure 帳戶登入。
選取 左窗格中的 [所有資源 ]。 如果您看不到此選項,請在頂端列中選取 [所有資源與專案]。 然後,選取 [+ 新增中樞]。
在 [ 建立新的中樞] 對話框中,輸入中樞 的名稱(例如 contoso-hub)。 如果您沒有資源群組,將會建立新的 資源群組 ,並 連結到提供的訂 用帳戶。 將預設的 [連線 Azure AI 服務] 選項保留為選取狀態。
選取 [下一步]。 如果您未重複使用現有的資源群組,則會建立新的資源群組 (rg-contoso)。 此外,也會為中樞建立 Azure AI 服務 (ai-contoso-hub)。
注意
如果您在 [資源群組] 和 [連接 Azure AI 服務] 專案之前未看到 (new),則會使用現有的資源。 針對本教學課程的目的,請透過 建立新的資源群組 和 建立新的 AI 服務來建立個別的實體。 這可讓您在教學課程之後刪除實體,以防止任何非預期的費用。
檢閱資訊並選取 [建立]。
您可以在精靈中檢視中樞建立的進度。
在 Azure 入口網站中建立資源中樞
如果您的組織使用 Azure 原則,請設定符合您組織需求的中樞,而不是使用 AI Studio 來建立資源。
從 Azure 入口網站,選取 [+ 新增 Azure AI 中樞] 以搜尋
Azure AI Studio
並建立新的中樞輸入您的中樞名稱、訂用帳戶、資源群組和位置詳細資料。
針對 Azure AI 服務基底模型,選取現有的 AI 服務資源或建立新的資源。 Azure AI 服務包含多個用於語音、內容安全性和 Azure OpenAI 的 API 端點。
選取 [儲存體] 索引標籤,以指定儲存體帳戶設定。 若要儲存認證,請提供 Azure 金鑰保存庫 或使用 Microsoft 受控認證存放區 (預覽) 。
選取 [加密] 索引標籤來設定資料加密。 您可以使用 Microsoft 管理的金鑰,或啟用客戶自控金鑰。
選取 [身分識別] 索引標籤。預設會啟用 [系統指派的身分識別],但如果 [儲存體] 中已選取現有的儲存體、金鑰保存庫和容器登錄,您可以切換至 [使用者指派的身分識別]。
注意
如果您選取 [使用者指派的身分識別],您的身分識別必須具備
Cognitive Services Contributor
角色,才能成功建立新的中樞。選取 [標記] 索引標籤以新增標記。
選取 [檢閱 + 建立]>[建立]。
從 Azure 入口網站管理您的中樞
管理存取控制
從 Azure 入口網站內的存取控制 (IAM) 管理角色指派。 深入了解中樞角色型存取控制。
若要新增授與使用者權限:
網路
中樞網路設定可以在資源建立期間設定,或在 Azure 入口網站檢視的 [網路] 索引標籤中變更。 建立新的中樞會叫用受控虛擬網路。 這會使用內建的受控虛擬網路簡化並自動化您的網路隔離設定。 受控虛擬網路設定會套用至中樞內建立的所有專案。
在中樞建立時,從這些網路隔離模式選取:公用、具有網際網路輸出的私人,以及具有已核准輸出的私人。 若要保護您的資源,請針對您的網路需求選取 [具有網際網路輸出的私人] 或 [具有核准輸出的私人]。 針對私人隔離模式,應該為輸入存取建立私人端點。 如需網路隔離的詳細資訊,請參閱受控虛擬網路隔離。 若要建立安全中樞,請參閱建立安全中樞。
在 Azure 入口網站 中建立中樞時,會提供相關聯的 Azure AI 服務、儲存體帳戶、密鑰保存庫(選擇性)、Application Insights(選擇性)和容器登錄(選擇性) 的建立。 這些資源可在建立期間於 [資源] 索引標籤上找到。
若要連線至 Azure AI 服務 (Azure OpenAI、Azure AI 搜尋和 Azure AI 內容安全性) 或 Azure AI Studio 中的儲存體帳戶,請在虛擬網路中建立私人端點。 建立私人端點連線時,請確保已停用公用網路存取 (PNA) 旗標。 如需 Azure AI 服務連線的詳細資訊,請遵循這裡的文件。 您可以選擇自備 (BYO) 搜尋,但這需要從您的虛擬網路的私人端點連線。
加密
使用相同中樞的專案,會共用其加密設定。 加密模式只能在 Microsoft 管理的金鑰與客戶自控金鑰之間建立中樞時設定。
從 Azure 入口網站檢視,瀏覽至 [加密] 索引標籤,以尋找中樞的加密設定。 針對使用 CMK 加密模式的中樞,您可以將加密金鑰更新為新的金鑰版本。 此更新作業受限於與原始金鑰相同的 Key Vault 執行個體內的金鑰和金鑰版本。
更新 Azure Application Insights 和 Azure Container Registry
若要使用提示流程的自訂環境,您必須為中樞設定 Azure Container Registry。 若要使用 Azure Application Insights 進行提示流程部署,您的中樞需要已設定的 Azure Application Insights 資源。 如果更新連結工作區的 Azure Container Registry 或 ApplicationInsights 資源,可能會中斷先前作業的歷程、中斷已部署的推斷端點,或無法重新執行此工作區中先前的工作。
您可以使用 Azure 入口網站、Azure SDK/CLI 選項或基礎結構即程式碼範本,來更新中樞的 Azure Application Insights 和 Azure Container Registry。
您可以在建立期間或建立後更新時,為這些資源設定中樞。
若要從 Azure 入口網站更新 Azure Application Insights,請瀏覽至 Azure 入口網站內中樞的 [屬性],然後選取 [變更 Application Insights]。
選擇認證儲存方式
選取 AI Studio 中代表您儲存認證的案例。 例如,當您在 AI Studio 中建立連線,以存取具有預存帳戶密鑰的 Azure 儲存體 帳戶、使用系統管理員密碼存取 Azure Container Registry,或使用已啟用 SSH 金鑰建立計算實例時。 當您選擇 EntraID 身分識別型驗證時,不會使用連線來儲存認證。
您可以選擇儲存認證的位置:
您的 Azure 金鑰保存庫:這需要您管理自己的 Azure 金鑰保存庫 實例,並針對每個中樞進行設定。 它可讓您進一步控制秘密生命週期,例如設定到期原則。 您也可以與 Azure 中的其他應用程式共用儲存的秘密。
Microsoft受控認證存放區 (預覽):在此變體中,Microsoft代表每個中樞管理 Azure 金鑰保存庫 實例。 您不需要任何資源管理,且保存庫不會顯示在您的 Azure 訂用帳戶中。 秘密數據生命週期會遵循中樞和項目的資源生命週期。 例如,刪除專案的記憶體連線時,也會刪除其儲存的秘密。
建立中樞之後,就無法在 Azure 金鑰保存庫 與使用Microsoft受控認證存放區之間切換。
刪除 Azure AI Studio 中樞
若要從 Azure AI Studio 刪除中樞,請選取中樞,然後從頁面的 [中樞屬性] 區段選取 [刪除中樞]。
注意
您也可以從 Azure 入口網站 刪除中樞。
刪除中樞會刪除所有相關聯的專案。 刪除專案時,也會刪除專案的所有巢狀端點。 您可以選擇性地刪除已連線的資源;不過,請確定沒有其他應用程式使用此連線。 例如,另一個 Azure AI Studio 部署可能會使用它。