Connexions dans Azure AI Studio

Les connexions dans Azure AI Studio permettent d’authentifier et de consommer à la fois des ressources Microsoft et non-Microsoft dans vos projets AI Studio. Par exemple, les connexions peuvent être utilisées pour le flux d’invite, les données d’entraînement et les déploiements. Connexions peuvent être créées exclusivement pour un projet ou partagés avec tous les projets du même hub.

Connexions aux services Azure AI

Vous pouvez créer des connexions vers Azure AI services tels qu’Azure OpenAI et Azure AI Sécurité du Contenu. Vous pouvez ensuite utiliser la connexion dans un outil de flux d’invite, tel que l’outil LLM.

Capture d’écran d’une connexion utilisée par l’outil LLM dans un flux d’invite.

En guise d’autre exemple, vous pouvez créer une connexion vers une ressource Recherche Azure AI. La connexion peut ensuite être utilisée par les outils de flux d’invite tels que l’outil Recherche d’index.

Capture d’écran d’une connexion utilisée par l’outil Recherche d’index dans un flux d’invite.

Connexions aux services non-Microsoft

Azure AI Studio prend en charge les connexions aux services non-Microsoft, notamment :

  • La connexion de clé API gère l’authentification auprès de votre cible spécifiée sur une base individuelle. Il s’agit du type de connexion non-Microsoft le plus courant.
  • La connexion personnalisée vous permet de stocker et d’accéder en toute sécurité aux clés tout en stockant les propriétés associées, telles que les cibles et les versions. Les connexions personnalisées sont utiles lorsque vous avez de nombreuses cibles ou cas ne nécessitant pas d’informations de connexion pour leur accès. Les scénarios LangChain sont un bon exemple pour l’utilisation de connexions de service personnalisées. Les connexions personnalisées ne gérant pas l’authentification, vous devez gérer l’authentification par vous-même.

Connexions aux magasins de données

Important

Les connexions des données ne peuvent pas être partagées entre les projets. Elles sont créées exclusivement dans le contexte d’un projet.

La création d’une connexion de données vous permet d’accéder aux données externes sans les copier dans votre projet. Au lieu de cela, la connexion fournit une référence à la source de données.

Une connexion de données offre ces avantages :

  • Une API courante et facile à utiliser qui interagit avec différents types de stockage, notamment Microsoft OneLake, Azure Blob et Azure Data Lake Gen2.
  • Une découverte plus facile des connexions utiles dans les opérations d’équipe.
  • Pour l’accès basé sur les informations d’identification (principal de service/SAS/clé), la connexion AI Studio sécurise les informations de connexion. Il n’est ainsi pas nécessaire de placer ces informations dans vos scripts.

Quand vous créez une connexion avec un compte Stockage Azure existant, vous pouvez choisir l’une des deux méthodes d’authentification :

  • Basée sur les informations d’identification : authentifiez l’accès aux données avec un principal de service, un jeton SAS (signature d’accès partagé) ou une clé de compte. Les utilisateurs disposant d’un accès Lecteur au projet peuvent accéder aux informations d’identification.

  • Basée sur l’identité : utilisez votre identité Microsoft Entra ID ou votre identité managée pour authentifier l’accès aux données.

    Conseil

    Lorsque vous utilisez une connexion basée sur une identité, le contrôle d’accès en fonction du rôle Azure (Azure RBAC) est utilisé pour déterminer qui peut accéder à la connexion. Vous devez attribuer les rôles Azure RBAC appropriés à vos développeurs avant qu’ils puissent utiliser la connexion. Pour plus d’informations, consultez Scénario : Connexions à l’aide de Microsoft Entra ID.

Le tableau suivant présente les services de stockage cloud Azure et les méthodes d’authentification pris en charge :

Service de stockage pris en charge Authentification basée sur les informations d’identification Authentification basée sur l’identité
Conteneur d’objets blob Azure
Microsoft OneLake
Azure Data Lake Gen2

Un URI (Uniform Resource Identifier) représente un emplacement de stockage sur votre ordinateur local, le stockage Azure, ou un emplacement http ou https disponible publiquement. Voici des exemples d’URI pour différentes options de stockage :

Emplacement de stockage Exemples d’URI
Connexion Azure AI Studio azureml://datastores/<data_store_name>/paths/<folder1>/<folder2>/<folder3>/<file>.parquet
Fichiers locaux ./home/username/data/my_data
Serveur http ou https public https://raw.githubusercontent.com/pandas-dev/pandas/main/doc/data/titanic.csv
Stockage Blob wasbs://<containername>@<accountname>.blob.core.windows.net/<folder>/
Azure Data Lake (gen2) abfss://<file_system>@<account_name>.dfs.core.windows.net/<folder>/<file>.csv
Microsoft OneLake abfss://<file_system>@<account_name>.dfs.core.windows.net/<folder>/<file>.csv https://<accountname>.dfs.fabric.microsoft.com/<artifactname>

Coffres-forts et secrets

Les connexions vous permettent de stocker en toute sécurité les informations d’identification, d’authentifier l’accès et d’utiliser des données et des informations. Les secrets associés aux connexions sont conservés de manière sécurisée dans le coffre de clés Azure correspondant, en respectant des normes de sécurité et de conformité robustes. En tant qu’administrateur, vous pouvez auditer les connexions partagées et étendues au projet au niveau d’un hub (lien vers le contrôle d’accès en fonction du rôle de connexion).

Les connexions Azure servent de proxy de coffre-fort et les interactions avec les connexions sont des interactions directes avec un coffre-fort Azure. Les connexions Azure AI Studio stockent les clés API en toute sécurité, en tant que secrets, dans un coffre-fort. Le coffre-fort contrôle d’accès en fonction du rôle Azure (Azure RBAC) contrôle l’accès à ces ressources de connexion. Une connexion référence les informations d’identification de l’emplacement du stockage du coffre de clés pour une utilisation ultérieure. Vous n’aurez pas besoin de traiter directement les informations d’identification après leur stockage dans le coffre de clés du hub. Vous pouvez stocker les informations d’identification dans le fichier YAML. Une commande CLI ou un Kit de développement logiciel (SDK) peut les remplacer. Nous vous recommandons d’éviter le stockage des informations d’identification dans un fichier YAML, car une violation de la sécurité pourrait entraîner une fuite des informations d’identification.

Étapes suivantes