Como criar e gerenciar um hub do Estúdio de IA do Azure

  • Artigo

No AI Studio, os hubs fornecem o ambiente para uma equipe colaborar e organizar o trabalho e ajudar você como líder de equipe ou administrador de TI a definir centralmente as configurações de segurança e controlar o uso e os gastos. Você pode criar e gerenciar um hub no portal do Azure ou no Estúdio de IA.

Neste artigo, você aprenderá a criar e gerenciar um hub no AI Studio com as configurações padrão para que você possa começar rapidamente. Você precisa personalizar a segurança ou os recursos dependentes do hub? Em seguida, use o Portal do Azure ou as opções de modelo.

Dica

Se você quiser criar seu hub do Estúdio de IA do Azure usando um modelo, consulte os artigos sobre como usar o Bicep ou o Terraform.

Criar um hub no Estúdio de IA

Para criar um novo hub, você precisa da função Proprietário ou Colaborador no grupo de recursos ou em um hub existente. Se você não conseguir criar um hub devido a permissões, entre em contato com o administrador. Se sua organização estiver usando o Azure Policy, não crie o recurso no Estúdio de AI. Em vez disso, crie o hub no portal do Azure.

Observação

Um hub no Estúdio de IA do Azure é um local único onde você gerencia tudo o que seu projeto de IA precisa, como segurança e recursos, para que você possa desenvolver e testar mais rapidamente. Para saber mais sobre como os hubs podem ajudá-lo, consulte o artigo de Visão geral de hubs e projetos.

Para criar um hub no Estúdio de IA do Azure, siga estas etapas:

  1. Vá para a Página Inicial no Estúdio de IA do Azure e entre com sua conta do Azure.

  2. Selecione Todos os recursos no painel esquerdo. Se você não conseguir ver essa opção, na barra superior, selecione Todos os recursos e projetos. Em seguida, selecione + Novo hub.

    Captura de tela do botão para criar um novo hub.

  3. Na caixa de diálogo Criar um novo hub, insira um nome para o hub (como contoso-hub). Se você não tiver um grupo de recursos, um novo Grupo de recursos será criado vinculado à Assinatura fornecida. Deixe a opção padrão Conectar Serviços de IA do Azure selecionada.

  4. Selecione Avançar. Se você não reutilizar um grupo de recursos existente, um novo grupo de recursos (rg-contoso) será criado. Além disso, um serviço de IA do Azure (ai-contoso-hub) será criado para o hub.

    Captura de tela da caixa de diálogo para conectar serviços durante a criação de um novo hub.

    Observação

    Se você não vir (novo) antes das entradas Grupo de recursos e Conectar Serviços de IA do Azure, então um recurso existente está sendo usado. Para fins deste tutorial, crie uma entidade separada por meio de Criar novo grupo de recursos e Criar novos Serviços de IA. Isso permitirá que você evite cobranças inesperadas ao excluir as entidades após o tutorial.

  5. Examine as informações e selecione Criar.

    Captura de tela da caixa de diálogo para revisar as configurações do novo hub.

  6. Você pode exibir o progresso da criação do hub no assistente.

    Captura de tela da caixa de diálogo para revisar o progresso da criação de recursos do hub.

Criar um hub seguro no portal do Azure

Se sua organização estiver usando o Azure Policy, configure um recurso que atenda aos requisitos da sua organização em vez de usar o Estúdio de IA para criação de recursos.

  1. No portal do Azure, pesquise Azure AI Studio e crie um novo hub selecionando + Novo hub de IA do Azure.

  2. Insira o nome do hub, a assinatura, o grupo de recursos e os detalhes do local.

  3. Para modelos base dos serviços de IA do Azure, selecione um recurso de serviços de IA existente ou crie um novo. Os serviços de IA do Azure incluem vários pontos de extremidade de API para Fala, Segurança de Conteúdo e OpenAI do Azure.

    Captura de tela da opção para definir informações básicas do hub.

  4. Selecione a guia Armazenamento para especificar as configurações da conta de armazenamento. Para armazenar credenciais, forneça seu Azure Key Vault ou use o repositório de credenciais gerenciado pela Microsoft (versão prévia).

    Captura de tela de Criar um hub com a opção de definir informações de recursos de armazenamento.

  5. Selecione a guia Rede para configurar o Isolamento de rede. Leia mais sobre isolamento de rede. Para obter um passo a passo da criação de um hub seguro, consulte Criar um hub seguro.

    Captura de tela de Criar um hub com a opção de definir informações de isolamento de rede.

  6. Selecione a guia Criptografia para configurar a criptografia de dados. Você pode usar Chaves gerenciadas pela Microsoft ou então Chaves gerenciadas pelo cliente.

    Captura de tela de Criar um hub com a opção de selecionar o tipo de criptografia.

  7. Selecione a guia Identidade. Por padrão, a Identidade atribuída pelo sistema está habilitada, mas você pode alternar para Identidade atribuída pelo usuário se o armazenamento, o cofre de chaves e o registro de contêiner existentes estiverem selecionados em Armazenamento.

    Captura de Criar um hub com a opção de selecionar uma identidade gerenciada.

    Observação

    Se você selecionar Identidade atribuída pelo usuário, sua identidade precisará ter a função Cognitive Services Contributor para criar um novo hub com sucesso.

  8. Selecione a guia Marcas para adicionar marcas.

    Captura de tela do Criar um hub com a opção de adicionar marcas.

  9. Selecione Examinar + criar>Criar.

Gerenciar seu hub no portal do Azure

Gerenciar o controle de acesso

Gerenciar atribuições de função do Controle de acesso (IAM) no portal do Azure. Saiba mais sobre o controle de acesso baseado em função do hub.

Para adicionar/permitir permissões a usuários:

  1. Selecione + Adicionar para adicionar usuários ao hub.

  2. Selecione a Função que você deseja atribuir.

    Captura de tela da página para adicionar uma função na exibição do hub do portal do Azure.

  3. Selecione os Membros aos quais você deseja atribuir a função.

    Captura de tela da página de adição de membros na exibição do hub do portal do Azure.

  4. Examinar + atribuir. Pode demorar até uma hora para que as permissões sejam aplicadas a usuários.

Rede

As configurações de rede do hub podem ser definidas durante a criação do recurso ou alteradas no guia Rede no modo de exibição do portal do Azure. A criação de um novo hub invoca uma Rede Virtual Gerenciada. Isso simplifica e automatiza a configuração do isolamento de rede com uma Rede Virtual Gerenciada interna. As configurações de Rede Virtual Gerenciada são aplicadas a todos os projetos criados em um hub.

Na criação do hub, selecione entre os modos de isolamento de rede: Público, Privado com Saída pela Internet e Privado com Saída Aprovada. Para proteger seu recurso, selecione Privado com Saída para a Internet ou Privado com Saída Aprovada para suas necessidades de rede. Para os modos de isolamento privado, um ponto de extremidade privado deve ser criado para acesso de entrada. Para obter mais informações sobre o isolamento de rede, veja Isolamento de rede virtual gerenciado. Para criar um hub seguro, consulte Criar um hub seguro.

Na criação do hub no portal do Azure, será fornecida a criação de serviços de IA do Azure associados, conta de armazenamento, cofre de chaves (opcional), insights de aplicativo (opcional) e registro de contêiner (opcional). Esses recursos são encontrados na guia Recursos durante a criação.

Para se conectar aos serviços de IA do Azure (Azure OpenAI, Azure AI Search e Segurança de Conteúdo de IA do Azure) ou contas de armazenamento no Estúdio de IA do Azure, crie um ponto de extremidade privado em sua rede virtual. Certifique-se de que o sinalizador de acesso à rede pública (PNA) esteja desabilitado ao criar a conexão de ponto de extremidade privado. Para obter mais informações sobre conexões de serviços de IA do Azure, siga a documentação encontrada aqui. Você pode trazer a própria pesquisa (BYO), mas isso exige uma conexão de ponto de extremidade privado de sua rede virtual.

Criptografia

Projetos que usam o mesmo hub, compartilham a configuração de criptografia. O modo de criptografia só pode ser definido no momento da criação do hub entre chaves gerenciadas pela Microsoft e chaves gerenciadas pelo cliente.

Na exibição do portal do Azure, navegue até a guia criptografia para encontrar as configurações de criptografia do hub. Para hubs que usam o modo de criptografia CMK, você poderá atualizar a chave de criptografia para uma nova versão de chave. Essa operação de atualização é restrita a chaves e versões de chave na mesma instância do Key Vault que a chave original.

Captura de tela da página Criptografia do hub no portal do Azure.

Atualizar o Azure Application Insights e o Registro de Contêiner do Azure

Para usar ambientes personalizados para o Prompt Flow, você precisa configurar um Registro de Contêiner do Azure para seu hub. Para usar o Azure Application Insights para implantações de Prompt Flow, é necessário um recurso configurado do Azure Application Insights para o hub. Atualizar o Registro de Contêiner do Azure anexado ao workspace ou o recurso ApplicationInsights pode quebrar a linhagem de trabalhos anteriores, os pontos de extremidade de inferência implantados ou sua capacidade de executar novamente trabalhos anteriores no workspace.

Você pode usar o portal do Azure, as opções do SDK/CLI do Azure ou os modelos de infraestrutura como código para atualizar o Azure Application Insights e o Registro de Contêiner do Azure para o hub.

Você poderá configurar o hub para esses recursos durante a criação ou atualização após a criação.

Para atualizar o Azure Application Insights do portal do Azure, navegue até as Propriedades do hub no portal do Azure e selecione Alterar o Application Insights.

Captura de tela da página de propriedades do recurso do hub no portal do Azure.

Escolha como as credenciais serão armazenadas

Selecione cenários no Estúdio de IA para armazenar credenciais em seu nome. Por exemplo, quando você cria uma conexão no Estúdio de IA para acessar uma conta de Armazenamento do Azure com uma chave de conta armazenada, acessar o Registro de Contêiner do Azure com a senha de administrador ou quando você cria uma instância de computação com chaves SSH habilitadas. Nenhuma credencial é armazenada com conexões quando você escolhe a autenticação baseada em identidade do EntraID.

Você pode escolher onde as credenciais serão armazenadas:

  1. Seu Azure Key Vault: isso exige que você gerencie sua própria instância do Azure Key Vault e configure-a por hub. Ele fornece controle adicional sobre o ciclo de vida dos segredos, por exemplo, para definir políticas de expiração. Você também pode compartilhar segredos armazenados com outros aplicativos no Azure.

  2. Armazenamento de credenciais gerenciado pela Microsoft (versão prévia): nesta variante, a Microsoft gerencia uma instância do Azure Key Vault em seu nome por hub. Nenhum gerenciamento de recurso é necessário da sua parte e o cofre não aparece na sua assinatura do Azure. O ciclo de vida de dados do segredo segue o ciclo de vida de recursos dos seus hubs e projetos. Por exemplo, quando a conexão de armazenamento de um projeto é excluída, seu segredo armazenado também é excluído.

Depois que o hub é criado, não é possível alternar entre o Azure Key Vault e o uso de um repositório de credenciais gerenciado pela Microsoft.

Excluir um hub do Estúdio de IA do Azure

Para excluir um hub do Estúdio de IA do Azure, selecione o hub e depois selecione Excluir hub na seção Propriedades do hub da página.

Captura de tela do link “Excluir hub” nas propriedades do hub.

Observação

Você também pode excluir o hub do portal do Azure.

Excluir um hub exclui todos os projetos associados. Quando um projeto é excluído, todos os pontos de extremidade aninhados para o projeto também são excluídos. Opcionalmente, você pode excluir os recursos conectados. No entanto, verifique se nenhum outro aplicativo está usando essa conexão. Por exemplo, outra implantação do Estúdio de IA do Azure pode estar usando-a.

Conteúdo relacionado