Controlar la implementación de modelos de IA con políticas integradas en el portal de Microsoft Foundry (clásico)

Solo se aplica a:portal Foundry (clásico). Este artículo no está disponible para el nuevo portal de Foundry. Obtenga más información sobre el nuevo portal.

Nota

Los vínculos de este artículo pueden abrir contenido en la nueva documentación de Microsoft Foundry en lugar de la documentación de Foundry (clásico) que está viendo ahora.

Use Azure Policy para controlar qué modelos de inteligencia artificial los desarrolladores pueden implementar en el portal de Foundry. En este artículo se muestra cómo asignar la directiva integrada para los modelos Managed Foundry Tools (implementación de API sin servidor) y Model-as-Platform (MaaP).

Propina

Los pasos de este artículo rigen la implementación de modelos MaaS y MaaP para un proyecto de Foundry y un proyecto basado en hub.

Requisitos previos

Una cuenta de Azure con una suscripción activa. Si no tiene una, cree una cuenta de free Azure, que incluye una suscripción de evaluación gratuita.
Uno de los siguientes roles de RBAC de Azure a nivel de suscripción o de grupos de recursos:
- Propietario
- Colaborador de la política de recursos
Familiaridad con Azure Policy.
CLI de Azure y la CLI de Bicep instalados.

Habilitar la directiva

Puede asignar la directiva mediante Bicep o el portal de Azure.

Nota

La directiva se denomina "[Versión preliminar]: Azure Machine Learning Implementaciones solo deben usar modelos de Registro aprobados" porque Foundry usa el proveedor de recursos Azure Machine Learning para las implementaciones de modelos.

Bicep
Azure portal

Use la siguiente plantilla de Bicep para asignar la directiva a un grupo de recursos. En este ejemplo, solo se permite el modelo gpt-35-turbo del registro azure-openai.

Guarde el código siguiente como main.bicep.

targetScope = 'resourceGroup'

param policyAssignmentName string = 'allowed-models-assignment'
param allowedModelPublishers array = []
param allowedAssetIds array = [
  'azureml://registries/azure-openai/models/gpt-35-turbo/versions/3'
]

// Policy Definition ID for "[Preview]: Azure Machine Learning Deployments should only use approved Registry Models"
var policyDefinitionId = '/providers/Microsoft.Authorization/policyDefinitions/12e5dd16-d201-47ff-849b-8454061c293d'

resource policyAssignment 'Microsoft.Authorization/policyAssignments@2024-04-01' = {
  name: policyAssignmentName
  properties: {
    policyDefinitionId: policyDefinitionId
    parameters: {
      allowedModelPublishers: {
        value: allowedModelPublishers
      }
      allowedAssetIds: {
        value: allowedAssetIds
      }
    }
    displayName: 'Allow specific AI models'
    description: 'This policy assignment restricts AI model deployments to the specified list.'
  }
}

Implemente el archivo Bicep mediante CLI de Azure.
```
az deployment group create --resource-group <your-resource-group> --template-file main.bicep
```
Reemplace <your-resource-group> por el nombre del grupo de recursos. Si se ejecuta correctamente, el comando devuelve JSON con "provisioningState": "Succeeded".

Compruebe la asignación de directivas.

az policy assignment show --name allowed-models-assignment --resource-group <your-resource-group>

Notifique a los desarrolladores que la directiva está en vigor. Reciben un mensaje de error si intentan implementar un modelo que no está en la lista de modelos permitidos.

Referencia:

En el portal Azure, seleccione Policy en el lado izquierdo de la página. También puede buscar Directiva en la barra de búsqueda de la parte superior de la página.
En el lado izquierdo del panel de Azure Policy, seleccione Authoring, Definition y busque "[Versión preliminar]: Azure Machine Learning Implementaciones solo deben usar modelos de registro aprobados" en la barra de búsqueda de la página. También puede ir directamente a la página de creación de definiciones de directivas.
Seleccione Asignar para asignar la directiva al grupo de administración:
- Ámbito: seleccione el ámbito en el que desea asignar la directiva. El ámbito puede ser un grupo de administración, una suscripción o un grupo de recursos.
- Policy definition: esta sección ya tiene un valor de "[Preview]: Azure Machine Learning Deployments solo debe usar modelos de Registro aprobados".
- Nombre de asignación: escriba un nombre único para la asignación.
Puede dejar el resto de los campos como sus valores predeterminados o personalizarlos según sea necesario para su organización.
Seleccione Siguiente en la parte inferior de la página o en la pestaña Parámetros de la parte superior de la página.
En la pestaña Parámetros, desactive la opción de Mostrar solo los parámetros que requieren entrada o revisión para ver todos los campos.
- Efecto: se establece en Denegar.
  
  Nota
  
  Mediante la opción auditoría , puede configurar la directiva para registrar información en su propio panel de cumplimiento.
- Publicadores de modelos autorizados: escriba una lista de nombres de publicadores entre comillas, separadas por comas.
- IDs de activos permitidos: introduzca una lista de identificadores de activos del modelo entre comillas, separados por comas.
  
  Para obtener las cadenas de identificador de recurso del modelo y el nombre de los publicadores del modelo, siga estos pasos:
  1. Vaya al catálogo de modelos de Foundry.
  2. Para cada modelo que quiera permitir, seleccione el modelo para ver los detalles. En la información detallada del modelo, copie el valor Id. de modelo. Por ejemplo, el valor para el modelo GPT-3.5-Turbo podría parecer azureml://registries/azure-openai/models/gpt-35-turbo/versions/3. Los nombres proporcionados también son Colecciones en el catálogo de modelos. Por ejemplo, el publicador del modelo "Meta-Llama-3.1-70B-Instruct" es Meta.
    
    Importante
    
    El valor del ID del modelo debe coincidir exactamente con el modelo. Si el identificador del modelo no es una coincidencia exacta, el modelo no está permitido.
Seleccione la pestaña Revisar y crear y compruebe que la asignación de directiva es correcta. Cuando esté listo, seleccione Crear para asignar la directiva.

Supervisión del cumplimiento

Para supervisar el cumplimiento de la directiva, siga estos pasos:

En el portal Azure, seleccione Policy en el lado izquierdo de la página. También puede buscar Directiva en la barra de búsqueda de la parte superior de la página.
En el lado izquierdo del panel de Azure Policy, seleccione Compliance. Cada asignación de directiva aparece con el estado de cumplimiento. Para ver más detalles, seleccione la asignación de política.

Actualizar la asignación de política

Para actualizar una asignación de directiva existente con nuevos modelos, siga estos pasos:

En el portal Azure, seleccione Policy en el lado izquierdo de la página. También puede buscar Directiva en la barra de búsqueda de la parte superior de la página.
En el lado izquierdo del panel de Azure Policy, seleccione Assignments y busque la asignación de directiva existente. Seleccione los puntos suspensivos (...) junto a la asignación y seleccione Editar asignación.
En la pestaña Parámetros , actualice el parámetro Modelos permitidos con los nuevos identificadores de modelo.
En la pestaña Revisar y guardar , seleccione Guardar para actualizar la asignación de directiva.

Procedimientos recomendados

Ámbito pormenorizado: asigne directivas en el ámbito adecuado para equilibrar el control y la flexibilidad. Por ejemplo, aplique en el nivel de suscripción para controlar todos los recursos de la suscripción, o aplique en el nivel del grupo de recursos para controlar los recursos en un grupo específico.
Nomenclatura de directivas: use una convención de nomenclatura coherente para las asignaciones de directivas para facilitar la identificación del propósito de la directiva. Incluya información como el propósito y el ámbito en el nombre.
Documentación: mantenga registros de asignaciones y configuraciones de directiva con fines de auditoría. Documente los cambios que realice en la directiva a lo largo del tiempo.
Revisiones periódicas: revise periódicamente las asignaciones de directivas para asegurarse de que se alinean con los requisitos de su organización.
Pruebas: pruebe las directivas en un entorno que no sea de producción antes de aplicarlas a los recursos de producción.
Comunicación: asegúrese de que los desarrolladores conozcan las directivas y comprendan las implicaciones de su trabajo.

Solución de problemas

Problema	Solución
La directiva no bloquea las implementaciones	Asegúrese de que el ámbito de asignación de directiva incluye el grupo de recursos de destino. Compruebe que el efecto está establecido en Denegar, no en Auditar.
Identificador de modelo no reconocido	Asegúrese de que el identificador del modelo es una coincidencia exacta, incluido el número de versión (por ejemplo, `azureml://registries/azure-openai/models/gpt-35-turbo/versions/3`).
Error en la asignación de directivas	Confirme que tiene el rol de Propietario o de Colaborador de políticas de recursos en el ámbito de destino.
Los cambios no surten efecto inmediatamente	La evaluación de directivas puede tardar hasta 30 minutos. Para forzar la evaluación, use `az policy state trigger-scan`.

Información general sobre Azure Policy
Catálogo de modelos de foundry

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2026-05-01