Настройка безопасного доступа с помощью управляемых удостоверений и виртуальных сетей

Это содержимое относится к:checkmarkверсии 4.0 (GA)checkmarkверсии 3.1 (GA)red-checkmarkверсии 3.0 (устаревание)red-checkmarkверсии 2.1 (устаревание)

В этом руководстве описывается процесс включения безопасных подключений для ресурса Аналитики документов. Вы можете защитить следующие подключения:

  • Обмен данными между клиентским приложением в виртуальная сеть (VNET) и ресурсом аналитики документов.

  • Обмен данными между Document Intelligence Studio и ресурсом аналитики документов. F

  • Взаимодействие между ресурсом аналитики документов и учетной записью хранения (необходимо при обучении пользовательской модели).

Вы настраиваете среду для защиты ресурсов:

Снимок экрана: безопасная конфигурация с управляемыми удостоверениями и виртуальными сетями.

Необходимые условия

Чтобы приступить к работе, вам потребуется:

  • Активная учетная запись Azure— если у вас нет учетной записи, вы можете создать бесплатную учетную запись.

  • Ресурс Document Intelligence или литейный цех на портале Azure. Для подробных действий см.Создайте ресурс Microsoft Foundry.

  • Учетная запись Blob-хранилища Azure, находящаяся в том же регионе, что и ваш ресурс Document Intelligence. Создайте контейнеры для хранения и упорядочивания BLOB-данных в аккаунте хранения.

  • Виртуальная сеть Azure в том же регионе, что и ресурс аналитики документов. Создайте виртуальную сеть для развертывания ресурсов приложения для обучения моделей и анализа документов.

  • Виртуальная машина Azure для обработки и анализа данных для Windows или Linux/Ubuntu, чтобы при необходимости развернуть виртуальную машину для обработки и анализа данных в виртуальной сети для проверки установленных безопасных подключений.

Настройка ресурсов

Настройте каждый из ресурсов, чтобы гарантировать, что ресурсы могут взаимодействовать друг с другом:

  • Настройте Document Intelligence Studio для использования только что созданного ресурса Аналитики документов, открыв страницу параметров и выбрав ресурс.

  • Убедитесь, что конфигурация работает, выбрав API чтения и проанализировав пример документа. Если ресурс настроен правильно, запрос успешно завершается.

  • Добавьте набор данных обучения в контейнер в созданной учетной записи хранения.

  • Выберите плитку пользовательской модели, чтобы создать пользовательский проект. Убедитесь, что вы выбрали тот же ресурс аналитики документов и учетную запись хранения, созданную на предыдущем шаге.

  • Выберите контейнер с набором обучающих данных, отправленным на предыдущем шаге. Убедитесь, что если обучающий набор данных находится в папке, путь к папке устанавливается соответствующим образом.

  • Убедитесь, что у вас есть необходимые разрешения, студия задает параметр CORS, необходимый для доступа к учетной записи хранения. Если у вас нет разрешений, необходимо убедиться, что параметры CORS настроены в учетной записи хранения, прежде чем продолжить.

  • Убедитесь, что Студия настроена для доступа к данным обучения. Если ваши документы отображаются в интерфейсе маркировки, значит, все необходимые подключения установлены.

Теперь у вас есть рабочая реализация всех компонентов, необходимых для создания решения аналитики документов с помощью модели безопасности по умолчанию:

Снимок экрана: конфигурация безопасности по умолчанию.

Затем выполните следующие действия.

  • Настройте управляемое удостоверение в ресурсе Document Intelligence.

  • Защитите учетную запись хранения, чтобы ограничить трафик только из определенных виртуальных сетей и IP-адресов.

  • Настройте управляемое удостоверение Аналитики документов для взаимодействия с учетной записью хранения.

  • Отключите общедоступный доступ к ресурсу Аналитики документов и создайте частную конечную точку. Затем ресурс доступен только из определенных виртуальных сетей и IP-адресов.

  • Добавьте частную конечную точку для учетной записи хранения в выбранной виртуальной сети.

  • Убедитесь, что вы можете обучать модели и анализировать документы из виртуальной сети.

Настройка управляемого удостоверения для интеллектуальной обработки документов

Перейдите к ресурсу Document Intelligence на портале Azure и выберите вкладку Identity. Переключите Системно назначенную управляемую идентичность на Вкл. и сохраните изменения.

Снимок экрана: настройка управляемого удостоверения.

Защита учетной записи хранения

Начните настраивать безопасные связи, перейдя на вкладку Networking на вкладке Storage на портале Azure.

  1. В разделе "Брандмауэры и виртуальные сети" выберите "Включено" из выбранных виртуальных сетей и IP-адресов из списка доступа к общедоступной сети .

  2. Убедитесь, что в списке Исключения выбрано Разрешить службам Azure из списка доверенных служб доступ к этой учетной записи хранения.

  3. Сохраните изменения.

Снимок экрана: настройка брандмауэра хранилища.

Примечание

Ваша учетная запись хранения не будет доступна из общедоступного Интернета.

Обновление страницы разметки пользовательской модели в Студии приведет к сообщению об ошибке.

Предоставление доступа к хранилищу из интеллектуальной обработки документов

Чтобы убедиться, что ресурс аналитики документов может получить доступ к набору обучающих данных, необходимо добавить назначение ролей для управляемого удостоверения.

  1. Оставаясь в окне учетной записи хранения на портале Azure, перейдите на вкладку контроль доступа (IAM) на левой панели.

  2. Нажмите кнопку "Добавить назначение роли ".

    Снимок экрана: окно добавления назначения ролей.

  3. На вкладке "Роль" найдите и выберите разрешение участника данных Blob-объектов хранилища и выберите "Далее".

    Снимок экрана: вкладка

  4. На вкладке "Участники" выберите параметр "Управляемое удостоверение" и нажмите кнопку "Выбрать участников"

  5. В диалоговом окне выбора управляемых удостоверений выберите следующие параметры:

    • Подписка. Выберите подписку.

    • Управляемое удостоверение. Выберите Распознаватель документов.

    • Выберите. Выберите ресурс аналитики документов, который вы включили с помощью управляемого удостоверения.

    Снимок экрана диалогового окна управляемых удостоверений.

  6. Закройте диалоговое окно.

  7. Наконец, нажмите кнопку "Проверить и назначить ", чтобы сохранить изменения.

Прекрасно! Вы настроили ресурс аналитики документов для использования управляемого удостоверения для подключения к учетной записи хранения.

Совет

Когда вы попробуете Document Intelligence Studio, вы увидите, что READ API и другие предварительно созданные модели не требуют доступа к хранилищу для обработки документов. Однако для обучения пользовательской модели требуется дополнительная настройка, так как Студия не может напрямую взаимодействовать с учетной записью хранения. Вы можете включить доступ к хранилищу, выбрав "Добавить IP-адрес клиента " на вкладке "Сеть " учетной записи хранения, чтобы настроить компьютер для доступа к учетной записи хранения с помощью списка разрешений IP-адресов.

Настройка частных конечных точек для доступа из VNETs

Примечание

  • Ресурсы доступны только из виртуальной сети.

  • Для некоторых функций Document Intelligence в Studio, таких как автоматическая метка, требуется, чтобы Document Intelligence Studio имела доступ к вашему хранилищу.

  • Добавьте IP-адрес Студии 20.3.165.95 в список разрешений брандмауэра для ресурсов аналитики документов и учетной записи хранения. Это выделенный IP-адрес Студии Document Intelligence Studio и его можно безопасно разрешить.

При подключении к ресурсам из виртуальной сети добавление частных конечных точек гарантирует доступность учетной записи хранения и ресурса Аналитики документов из виртуальной сети.

Затем настройте виртуальную сеть, чтобы обеспечить доступ к ресурсу аналитики документов и учетной записи хранения только тем ресурсам, которые находятся внутри виртуальной сети или маршрутизируются через нее.

Включение брандмауэров и виртуальных сетей

  1. На портале Azure перейдите к ресурсу Аналитики документов.

  2. Перейдите на вкладку "Сеть" в левой области.

  3. Включите параметр "Выбранная сеть" и "Частные конечные точки" на вкладке "Брандмауэры" и "Виртуальные сети " и выберите "Сохранить".

Примечание

Если вы попытаетесь получить доступ к любой из функций Document Intelligence Studio, появится сообщение об отказе в доступе. Чтобы включить доступ из Студии на компьютере, установите флажок "Добавить IP-адрес клиента " и "Сохранить для восстановления доступа".

Снимок экрана: отключение общедоступного доступа к Аналитике документов.

Настройка частной конечной точки

  1. Перейдите на вкладку "Подключения частной конечной точки " и выберите +Частная конечная точка. Перейдите на страницу диалогового окна создания частной конечной точки .

  2. На странице "Создание частной конечной точки " выберите следующие параметры:

    • Подписка. Выберите подписку на выставление счетов.

    • Группа ресурсов. Выберите соответствующую группу ресурсов.

    • Имя. Введите имя частной конечной точки.

    • Регион. Выберите тот же регион, что и виртуальная сеть.

    • Нажмите кнопку "Далее": ресурс.

    Снимок экрана: настройка частной конечной точки.

Настройка виртуальной сети

  1. На вкладке Resource примите значения по умолчанию и выберите Next: виртуальная сеть.

  2. На вкладке виртуальная сеть убедитесь, что выбрали созданную вами виртуальную сеть.

  3. Если у вас несколько подсетей, выберите подсеть, в которой требуется подключить частную конечную точку. Примите значение по умолчанию для динамического выделения IP-адреса.

  4. Нажмите кнопку "Далее": DNS

  5. Примите значение по умолчанию Да , чтобы интегрироваться с частной зоной DNS.

    Снимок экрана: настройка частной конечной точки.

  6. Примите оставшиеся значения по умолчанию и нажмите кнопку "Далее" (Теги).

  7. Нажмите кнопку "Далее": проверка и создание .

Прекрасно! Теперь ресурс Document Intelligence доступен только из виртуальной сети и любых IP-адресов в списке разрешенных IP.

Настройка частных конечных точек для хранилища

Перейдите к учетной записи torage на портале Azure.

  1. Перейдите на вкладку "Сеть" в левой области.

  2. Перейдите на вкладку "Подключения к частной конечной точке ".

  3. Выберите добавить + частную конечную точку.

  4. Укажите имя и выберите тот же регион, что и виртуальная сеть.

  5. Нажмите кнопку "Далее": ресурс.

    Снимок экрана: создание частной конечной точки.

  6. На вкладке ресурсов выберите blob из списка целевых подресурсов.

  7. выберите Next: виртуальная сеть.

    Снимок экрана, показывающий, как настроить частную конечную точку для блок-объекта.

  8. Выберите виртуальную сеть и подсеть. Убедитесь, что выбрано включение сетевых политик для всех частных конечных точек в этой подсети и включено динамическое выделение IP-адреса.

  9. Нажмите кнопку "Далее": DNS.

  10. Убедитесь, что "Да" включен для интеграции с частной зоной DNS.

  11. Нажмите кнопку "Далее": теги.

  12. Нажмите кнопку "Далее": проверка и создание.

Отличная работа! Теперь у вас есть все подключения между ресурсом Document Intelligence и хранилищем, которые настроены для использования управляемых удостоверений.

Примечание

Ресурсы имеют доступ только из виртуальной сети и из разрешенных IP-адресов.

Доступ к студии и анализ запросов к ресурсу Интеллектуального Анализа Документов завершится ошибкой, если запрос не поступает из виртуальной сети или не направляется через виртуальную сеть.

Проверьте развертывание

Чтобы проверить развертывание, можно развернуть виртуальную машину в виртуальной сети и подключиться к ресурсам.

  1. Настройте виртуальную машину для обработки и анализа данных в виртуальной сети.

  2. Удаленно подключитесь к виртуальной машине с рабочего стола и запустите сеанс браузера, который обращается к Document Intelligence Studio.

  3. Анализируйте запросы, и операции обучения теперь должны успешно выполняться.

Ну вот! Теперь вы можете настроить безопасный доступ для ресурса Document Intelligence с управляемыми удостоверениями и частными конечными точками.

Распространенные сообщения об ошибках

  • Не удалось получить доступ к контейнеру BLOB:

    Снимок экрана: сообщение об ошибке, когда требуется конфигурация CORS.

    Разрешение:

    1. Настройка CORS.

    2. Убедитесь, что клиентский компьютер может получить доступ к ресурсу аналитики документов и учетной записи хранения, либо они находятся в одном и том же VNET, либо IP-адрес клиента разрешен на странице параметров сетевых > брандмауэров и виртуальных сетей ресурса аналитики документов и учетной записи хранения.

  • AuthorizationFailure:

    Снимок экрана: ошибка сбоя авторизации.

    Решение. Убедитесь, что клиентский компьютер может получить доступ к ресурсу аналитики документов и учетной записи хранения, либо они находятся в одном и том же VNET, либо IP-адрес клиента разрешен на странице параметров сетевых > брандмауэров и виртуальных сетей ресурса аналитики документов и учетной записи хранения.

  • ContentSourceNotAccessible:

    Снимок экрана: ошибка: источник содержимого недоступен.

    Решение. Убедитесь, что вы предоставляете управляемое удостоверение Document Intelligence роль участника данных BLOB-хранилища и включите доступ к доверенным службам или правила доступа к экземплярам ресурсов на вкладке Сети.

  • AccessDenied:

    Снимок экрана: ошибка отказа в доступе.

    Решение. Убедитесь, что клиентский компьютер может получить доступ к ресурсу аналитики документов и учетной записи хранения, либо они находятся в одном и том же VNET, либо IP-адрес клиента разрешен на странице параметров сетевых > брандмауэров и виртуальных сетей ресурса аналитики документов и учетной записи хранения.

Дальнейшие действия

Доступ к хранилищу Azure из веб-приложения с помощью управляемых удостоверений

  • Last updated on