Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
As Ferramentas Foundry fornecem um modelo de segurança em camadas. Esse modelo permite que você proteja suas contas do Foundry Tools em um determinado subconjunto de redes. Quando as regras de rede forem configuradas, apenas os aplicativos que solicitam dados no conjunto de redes especificado podem acessar a conta. Você pode limitar o acesso aos seus recursos com filtragem de solicitação, que permite solicitações originadas apenas de endereços IP especificados, intervalos de IP ou de uma lista de sub-redes nas Redes Virtuais do Microsoft Azure.
Um aplicativo que acessa um recurso foundry quando as regras de rede estão em vigor requer autorização. Há suporte para autorização com credenciais da ID do Microsoft Entra ou com uma chave de API válida.
Importante
Ativar regras de firewall para sua conta do Foundry Tools bloqueia solicitações de entrada para dados por padrão. Para permitir solicitações, uma das seguintes condições precisa ser atendida:
- A solicitação é originária de um serviço que opera dentro de uma Rede Virtual Azure na lista de sub-rede permitida pela conta de Ferramentas Foundry de destino. A solicitação de ponto de extremidade originada na rede virtual deve ser configurada como o subdomínio personalizado da sua conta do Foundry Tools.
- A solicitação se origina de uma lista permitida de endereços IP.
Solicitações que estão bloqueadas incluem as de outros serviços do Azure, do portal do Azure, de registro em log e serviços de métricas.
Observação
Recomendamos que você use o módulo Azure Az PowerShell para interagir com o Azure. Para começar, consulte Instalar o Microsoft Azure PowerShell. Para saber como migrar para o módulo Az PowerShell, veja Migrar o Microsoft Azure PowerShell do AzureRM para o Az.
Cenários
Para proteger seu recurso Foundry Tools, primeiro você deve configurar uma regra que negue, por padrão, o acesso ao tráfego de todas as redes, incluindo o tráfego da Internet. Em seguida, configure as regras que concedem acesso ao tráfego de redes virtuais específicas. Essa configuração permite que você crie um limite de rede seguro para seus aplicativos. Você também pode configurar regras para conceder acesso ao tráfego de intervalos selecionados de endereços IP da Internet pública e permitir conexões de clientes específicos da Internet ou locais.
As regras de rede são impostas em todos os protocolos de rede para Foundry Tools, incluindo REST e WebSocket. Para acessar os dados usando ferramentas como os consoles de teste do Azure, regras de rede explícitas devem ser configuradas. Você pode aplicar regras de rede aos recursos existentes das Ferramentas de Fundação ou ao criar novos recursos das Ferramentas de Fundação. Depois que as regras de rede forem aplicadas, elas serão aplicadas a todas as solicitações.
Regiões e ofertas de serviço compatíveis
Há suporte para redes virtuais em regiões em que as Ferramentas de Fundação estão disponíveis. O Foundry Tools dá suporte a marcas de serviço para a configuração de regras de rede. Os serviços listados aqui estão incluídos na marca de serviço CognitiveServicesManagement.
- Detector de Anomalias
- OpenAI do Azure
- Content Moderator
- Visão Personalizada
- Detecção Facial
- Reconhecimento Vocal (LUIS)
- Personalizador
- Serviço de Fala
- Linguagem
- QnA Maker
- Tradução
Observação
Se você usar o Azure OpenAI, LUIS, Falas ou Idiomas, a CognitiveServicesManagement marca só permitirá que você use o serviço usando o SDK ou a API REST. Para acessar e usar o portal do Microsoft Foundry, o portal do LUIS, o Speech Studio ou o Language Studio de uma rede virtual, você precisa usar as seguintes tags:
AzureActiveDirectoryAzureFrontDoor.FrontendAzureResourceManagerCognitiveServicesManagementCognitiveServicesFrontEnd-
Storage(Somente Speech Studio)
Para obter informações sobre as configurações do portal do Foundry , consulte a documentação do Foundry.
Alterar a regra de acesso de rede padrão
Por padrão, os recursos do Foundry Tools aceitam conexões de clientes em qualquer rede. Para limitar o acesso a redes selecionadas, primeiro você deve alterar a ação padrão.
Aviso
Fazer alterações nas regras de rede pode impactar a capacidade dos seus aplicativos de se conectar ao Foundry Tools. Definir a regra de rede padrão como negar bloqueia todo o acesso aos dados, a menos que regras específicas de rede que concedam o acesso também sejam aplicadas.
Antes de alterar a regra padrão para negar acesso, certifique-se de conceder acesso a todas as redes permitidas usando regras de rede. Se você permitir a listagem dos endereços IP para sua rede local, certifique-se de adicionar todos os endereços IP públicos de saída possíveis de sua rede local.
Gerenciar regras de acesso de rede padrão
Você pode gerenciar regras de acesso à rede padrão para recursos do Foundry Tools por meio do portal do Azure, do PowerShell ou da CLI do Azure.
Acesse o recurso Foundry Tools que você deseja proteger.
Selecione Gerenciamento de Recursos para expandir esse item e, em seguida, selecione Rede.
Para negar o acesso por padrão, em Firewalls e redes virtuais, selecione Redes e pontos de extremidade privados selecionados.
Com apenas essa configuração, desacompanhada de redes virtuais configuradas ou intervalos de endereços, todo o acesso é efetivamente negado. Quando todo o acesso é negado, as solicitações que tentam consumir o recurso Ferramentas da Foundry não são permitidas. O portal do Azure, o Azure PowerShell ou a CLI do Azure ainda podem ser usados para configurar o recurso Foundry Tools.
Para permitir o tráfego de todas as redes, selecione Todas as redes.
Selecione Salvar para salvar suas alterações.
Conceder acesso de uma rede virtual
Você pode configurar recursos do Foundry Tools para permitir o acesso somente de sub-redes específicas. As sub-redes permitidas podem pertencer a uma rede virtual na mesma assinatura ou em uma assinatura diferente. A outra assinatura pode pertencer a um locatário do Microsoft Entra diferente. Quando a sub-rede pertence a uma assinatura diferente, o provedor de recursos Microsoft.CognitiveServices também precisa ser registrado nessa assinatura.
Habilite um ponto de extremidade de serviço para Foundry Tools na rede virtual. O ponto de extremidade de serviço roteia o tráfego da rede virtual por meio de um caminho ideal para o Foundry Tools. Para obter mais informações, consulte Pontos de extremidade de serviço de Rede Virtual.
As identidades da rede virtual e da sub-rede também são transmitidas com cada solicitação. Os administradores podem então configurar regras de rede para o recurso Foundry Tools para permitir solicitações oriundas de sub-redes específicas em uma rede virtual. Os clientes que receberam acesso por essas regras de rede devem continuar a atender aos requisitos de autorização do recurso Foundry Tools para acessar os dados.
Cada recurso de Ferramentas de Fundação dá suporte a até 100 regras de rede virtual, que podem ser combinadas com regras de rede IP. Para obter mais informações, confira Conceder acesso de um intervalo de IP da Internet mais adiante neste artigo.
Defina as permissões necessárias
Para aplicar uma regra de rede virtual a um recurso do Foundry, você precisa das permissões apropriadas para as sub-redes adicionarem. A permissão necessária é a função Colaborador padrão ou a função Colaborador dos Serviços Cognitivos. Também é possível adicionar as permissões necessárias às definições de função personalizada.
O recurso Foundry Tools e as redes virtuais que recebem acesso podem estar em assinaturas diferentes, incluindo assinaturas que fazem parte de um locatário diferente do Microsoft Entra.
Observação
Atualmente, há suporte para a configuração de regras que concedem acesso a sub-redes nas redes virtuais que fazem parte de um locatário diferente do Microsoft Entra apenas pelo PowerShell, da CLI do Azure e das APIs REST. Você pode exibir essas regras no portal do Azure, mas não pode configurá-las.
Configurar regras de rede virtual
Você pode gerenciar regras de rede virtual para recursos do Foundry Tools por meio do portal do Azure, do PowerShell ou da CLI do Azure.
Para conceder acesso a uma rede virtual com uma regra de rede existente:
Acesse o recurso Foundry Tools que você deseja proteger.
Selecione Gerenciamento de Recursos para expandir esse item e, em seguida, selecione Rede.
Confirme se você selecionou Redes e pontos de extremidade privados selecionados.
Em Permitir acesso de, selecione Adicionar rede virtual existente.
Selecione as opções em Redes virtuais e Sub-redes e clique em Habilitar.
Observação
Se um ponto de extremidade de serviço para o Foundry Tools não tiver sido configurado anteriormente para a rede virtual e sub-redes selecionadas, você pode configurá-lo como parte desta operação.
Atualmente, apenas as redes virtuais que pertencem ao mesmo locatário do Microsoft Entra estão disponíveis para seleção durante a criação da regra. Para conceder acesso a uma sub-rede em uma rede virtual que pertence a outro locatário, use o PowerShell, a CLI do Azure ou as APIs REST.
Selecione Salvar para salvar suas alterações.
Para criar uma nova rede virtual e conceder acesso a ela:
Na mesma página do procedimento anterior, selecione Adicionar nova rede virtual.
Forneça as informações necessárias para criar a rede virtual e, em seguida, clique em Criar.
Selecione Salvar para salvar suas alterações.
Para remover uma regra de rede virtual ou sub-rede:
Na mesma página que os procedimentos anteriores, selecione ... (Mais opções) para abrir o menu de contexto da rede virtual ou sub-rede, e selecione Remover.
Selecione Salvar para salvar suas alterações.
Importante
Não se esqueça de definir a regra padrão para negar ou as regras de rede não terão efeito.
Conceder acesso de um intervalo de IP de Internet
Você pode configurar recursos do Foundry Tools para permitir o acesso de intervalos de endereços IP públicos específicos da Internet. Essa configuração concede acesso a redes locais e serviços específicos, que efetivamente bloqueiam tráfego geral da Internet.
Você pode especificar os intervalos de endereços de Internet permitidos usando o formato CIDR (RFC 4632) no formulário 192.168.0.0/16 ou como endereços IP individuais, como 192.168.0.1.
Dica
Não há suporte para pequenos intervalos de endereços que usam os tamanhos de prefixo /31 ou /32. Esses intervalos devem ser configurados usando regras de endereço IP individuais.
As regras de rede de IP são permitidas apenas para endereços IP de Internet pública. Intervalos de endereços IP reservados para redes privadas não são permitidos nas regras de IP. Redes privadas incluem endereços que começam com 10.*, 172.16.* - 172.31.* e 192.168.*. Para obter mais informações, confira Espaço de endereço privado (RFC 1918).
Atualmente, há suporte apenas para endereços IPv4. Cada recurso de Ferramentas de Fundação dá suporte a até 100 regras de rede IP, que podem ser combinadas com regras de rede virtual.
Configurar o acesso a partir de redes locais
Para conceder acesso de suas redes internas ao recurso Foundry Tools com uma regra de rede IP, identifique os endereços IP públicos para Internet usados pela rede. Entre em contato com o administrador de rede para obter ajuda.
Se usar o Azure ExpressRoute local para o peering da Microsoft, você precisará identificar os endereços IP da NAT. Para obter mais informações, confira O que é o Azure ExpressRoute.
Para emparelhamento da Microsoft, os endereços IP da NAT usados são fornecidos pelo cliente ou pelo provedor de serviços. Para permitir o acesso aos recursos do serviço, você deve permitir estes endereços IP públicos na configuração do firewall de IP do recurso.
Gerenciando regras de rede IP
Você pode gerenciar regras de rede IP para recursos do Foundry Tools por meio do portal do Azure, do PowerShell ou da CLI do Azure.
Acesse o recurso Foundry Tools que você deseja proteger.
Selecione Gerenciamento de Recursos para expandir esse item e, em seguida, selecione Rede.
Confirme se você selecionou Redes e pontos de extremidade privados selecionados.
Em Firewalls e redes virtuais, localize a opção Intervalo de endereços. Para conceder acesso a um intervalo de IP da Internet, insira o endereço IP ou o intervalo de endereços (no formato CIDR). Apenas endereços IP públicos válidos (não reservados) são aceitos.
Para remover uma regra de rede IP, clique no ícone de lixeira próximo do intervalo de endereços.
Selecione Salvar para salvar suas alterações.
Importante
Não se esqueça de definir a regra padrão para negar ou as regras de rede não terão efeito.
Usar pontos de extremidade privados
Você pode usar pontos de extremidade privados para seus recursos das Ferramentas Foundry de modo a permitir que clientes em uma rede virtual acessem dados de forma segura por meio do Link Privado do Azure. O ponto de extremidade privado usa um endereço IP do espaço de endereço da rede virtual para o recurso Foundry Tools. O tráfego de rede entre os clientes na rede virtual e o recurso percorre a rede virtual e um link privado na rede principal da Microsoft Azure, o que elimina a exposição da internet pública.
Os endpoints privados para recursos do Foundry Tools permitem:
- Proteja o recurso Foundry Tools configurando o firewall para bloquear todas as conexões no ponto de extremidade público do Foundry Tools.
- Aumente a segurança da rede virtual, permitindo que você bloqueie o vazamento de dados da rede virtual.
- Conecte-se com segurança aos recursos do Foundry Tools de redes locais que se conectam à rede virtual usando o Gateway de VPN do Azure ou o ExpressRoutes com emparelhamento privado.
Entenda os pontos de extremidade privados
Um ponto de extremidade privado é uma interface de rede especial para um recurso do Azure em sua rede virtual. Ao criar um endpoint privado para o recurso Foundry Tools, você assegura conectividade segura entre os clientes na sua rede virtual e seu recurso. O ponto de extremidade privado recebe um endereço IP do intervalo de endereços IP da sua rede virtual. A conexão entre o endpoint privado e as Ferramentas Foundry usa um link privado seguro.
Os aplicativos na rede virtual podem se conectar ao serviço pelo ponto de extremidade privado perfeitamente. As conexões usam as mesmas cadeias de conexão e mecanismos de autorização que usariam de outra forma. A exceção é a Fala, que exige um ponto de extremidade separado. Para obter mais informações, consulte Pontos de extremidade privados com a Fala neste artigo. Pontos de extremidade privados podem ser usados com todos os protocolos compatíveis com o recurso Foundry Tools, incluindo REST.
Os pontos de extremidade privados podem ser criados em sub-redes que usam pontos de extremidade de serviço. Os clientes em uma sub-rede podem se conectar a um recurso do Foundry Tools usando o ponto de extremidade privado, enquanto usam pontos de extremidade de serviço para acessar outros recursos. Para obter mais informações, consulte Pontos de extremidade de serviço de Rede Virtual.
Quando você cria um ponto de extremidade privado para um recurso do Foundry em sua rede virtual, o Azure envia uma solicitação de consentimento para aprovação ao proprietário do recurso Ferramentas Foundry. Se o usuário que solicita a criação do ponto de extremidade privado também for proprietário do recurso, essa solicitação de consentimento será automaticamente aprovada.
Os proprietários de recursos do Foundry Tools podem gerenciar solicitações de consentimento e pontos de extremidade privados por meio da guia Conexão de ponto de extremidade privado para o recurso Foundry Tools no portal do Azure.
Especificar pontos de extremidade privados
Ao criar um ponto de extremidade privado, especifique o recurso Foundry Tools ao qual ele se conecta. Para saber mais sobre como criar um ponto de extremidade privado, confira:
- Criar um ponto de extremidade privado usando o portal do Azure
- Criar um ponto de extremidade privado usando o Azure PowerShell
- Criar um ponto de extremidade privado usando a CLI do Azure
Conectar-se a pontos de extremidade privados
Observação
O OpenAI do Azure em Modelos da Fábrica usa uma zona DNS privada diferente e um encaminhador de zona DNS público diferente das usadas por outros Foundry Tools. Para obter os nomes corretos de zona e encaminhador, confira Configuração da zona DNS dos serviços do Azure.
Aviso
As solicitações de clientes para o ponto de extremidade privado DEVEM especificar o subdomínio personalizado do recurso Foundry Tools como a URL base do ponto de extremidade. NÃO chame a URL interna *.privatelink.openai.azure.com, que faz parte da resolução de CNAME intermediária interna do Azure.
Os clientes em uma rede virtual que usam o endpoint privado usam a mesma cadeia de conexão para o recurso Foundry Tools que os clientes que se conectam ao endpoint público. A exceção é o Serviço Cognitivo do Azure para Fala, que requer um ponto de extremidade separado. Para obter mais informações, consulte Usar pontos de extremidade privados com o Serviço Cognitivo do Azure para Fala neste artigo. A resolução DNS roteia automaticamente as conexões da rede virtual para o recurso Foundry Tools por meio de um link privado.
Por padrão, o Azure cria uma zona DNS privada anexada à rede virtual com as atualizações necessárias para os pontos de extremidade privados. Se você usar seu próprio servidor DNS, talvez seja necessário fazer mais alterações em sua configuração de DNS. Para atualizações que podem ser necessárias para pontos de extremidade privados, confira Aplicar alterações de DNS para pontos de extremidade privados neste artigo.
Usar pontos de extremidade privados com o Serviço Cognitivo do Azure para Fala
ConsulteUsar o Serviço Cognitivo do Azure para Fala por meio de um ponto de extremidade privado.
Aplicar alterações de DNS para pontos de extremidade privados
Ao criar um ponto de extremidade privado, o registro de recurso DNS CNAME do recurso Foundry Tools é atualizado para um alias em um subdomínio com o prefixo privatelink. Por padrão, o Azure também cria uma zona DNS privada que corresponde ao subdomínio privatelink, com os registros de recurso DNS A para os pontos de extremidade privados. Para obter mais informações, confira O que é o DNS privado do Azure.
Quando você resolve a URL do ponto de extremidade de fora da rede virtual com o ponto de extremidade privado, ela é resolvida para o ponto de extremidade público do recurso Foundry Tools. Quando resolvida a partir da rede virtual que hospeda o ponto de extremidade privado, a URL do ponto de extremidade resolve para o endereço IP do ponto de extremidade privado.
Essa abordagem permite o acesso ao recurso Foundry Tools usando a mesma string de conexão para os clientes na rede virtual que hospeda os endpoints privados e os clientes fora da rede virtual.
Se você usar um servidor DNS personalizado em sua rede, os clientes devem ser capazes de resolver o nome de domínio totalmente qualificado (FQDN) do ponto de extremidade do recurso Foundry Tools para o endereço IP do ponto de extremidade privado. Configure o servidor DNS para delegar seu subdomínio do link privado à zona DNS privada da rede virtual.
Dica
Ao usar um servidor DNS personalizado ou local, você deve configurar o servidor DNS para resolver o nome do recurso Foundry Tools no subdomínio privatelink para o endereço IP do ponto de extremidade privado. Delegue o subdomínio privatelink à zona DNS privada da rede virtual. Como alternativa, configure a zona DNS no servidor DNS e adicione os registros DNS A.
Para obter mais informações sobre como configurar seu próprio servidor DNS para oferecer suporte a pontos de extremidade privados, confira os seguintes recursos:
Conceder acesso a serviços confiáveis do Azure para o OpenAI do Azure
Conceda acesso a um subconjunto de serviços confiáveis do Azure ao OpenAI do Azure, mantendo regras de rede para outros aplicativos. Esses serviços confiáveis usarão a identidade gerenciada para autenticar seu serviço do OpenAI do Azure. A tabela a seguir lista os serviços que podem acessar o OpenAI do Azure, se a identidade gerenciada desses serviços tiver a atribuição de função apropriada.
| Serviço | Nome do provedor de recursos |
|---|---|
| Ferramentas de Fundição | Microsoft.CognitiveServices |
| Azure Machine Learning | Microsoft.MachineLearningServices |
| Azure Search | Microsoft.Search |
Você pode conceder acesso de rede a serviços confiáveis do Azure criando uma exceção de regra de rede usando a API REST ou o portal do Azure:
Usando a CLI do Azure
accessToken=$(az account get-access-token --resource https://management.azure.com --query "accessToken" --output tsv)
rid="/subscriptions/<your subscription id>/resourceGroups/<your resource group>/providers/Microsoft.CognitiveServices/accounts/<your Foundry Tools resource name>"
curl -i -X PATCH https://management.azure.com$rid?api-version=2023-10-01-preview \
-H "Content-Type: application/json" \
-H "Authorization: Bearer $accessToken" \
-d \
'
{
"properties":
{
"networkAcls": {
"bypass": "AzureServices"
}
}
}
'
Para revogar a exceção, defina networkAcls.bypass como None.
Para verificar se o serviço confiável foi habilitado no portal do Azure,
Use o JSON View da página de visão geral dos recursos do Azure OpenAI
Escolha sua versão mais recente da API em Versões da API. Somente a versão mais recente da API é compatível,
2023-10-01-preview.
Usando o portal do Azure
Navegue até o recurso do Azure OpenAI e selecione Rede no menu de navegação.
Em Exceções, selecione Permitir que os serviços do Azure na lista de serviços confiáveis acessem essa conta de serviços cognitivos.
Dica
Você pode exibir a opção Exceções selecionando Redes selecionadas e pontos de extremidade privados ou Desabilitado em Permitir acesso de.
Preços
Para obter detalhes de preço, confira Preço do Link Privado do Azure.
Próximas etapas
- Explorar os vários Foundry Tools
- Saiba mais sobre Pontos de extremidade de serviço de rede virtual