Настройка индексатора видео с защищенным брандмауэром хранилищем

Одним из преимуществ использования доверенного хранилища является отключение общедоступного доступа к учетной записи хранения. Еще одним преимуществом использования доверенного хранилища является возможность предоставления доступа к доверенным службам Azure.

При создании учетной записи Video Indexer необходимо связать её с учетной записью хранилища Azure. Учетные записи хранения для VI должны быть учетной записью хранения общего назначения уровня "Стандартный" версии v2. Индексатор видео обращается к учетной записи хранения с помощью проверки подлинности назначаемого пользователем или назначаемого системой управляемого удостоверения. Индексатор видео проверяет, что пользователь, добавляющий ассоциацию, имеет доступ к учетной записи хранения с помощью контроля доступа на основе ролей (RBAC) Azure Resource Manager.

Чтобы защитить учетную запись хранения, можно использовать доверенный доступ к хранилищу с помощью конфигурации брандмауэра. Она позволяет получать доступ к учетной записи хранения только доверенным службам платформы Azure. С его помощью управляемые удостоверения позволяют индексатору видео получить доступ к учетной записи хранения.

Используйте следующие сведения, чтобы включить управляемое удостоверение для службы хранилища Azure, а затем заблокировать учетную запись хранения. Предполагается, что вы уже создали учетную запись индексатора видео и связывли с ней учетную запись хранения.

Назначьте управляемое удостоверение и роль

Выполните все действия по созданию учетной записи индексатора видео в Azure AI, но и выполните следующие действия.

  1. При выборе "Назначить роль", назначается роль служба хранилища Azure : Storage Blob Data Owner. Вы можете проверить или вручную задать назначения, перейдя в меню идентификации учетной записи Индексатора видео и выбрав назначения ролей Azure.
  2. Перейдите к учетной записи хранения. Выберите "Сеть" в меню и выберите "Включено" из выбранных виртуальных сетей и IP-адресов в разделе доступа к общедоступной сети.
  3. В разделе "Исключения" убедитесь, что выбрана опция «Разрешить службам Azure в списке доверенных служб доступ к этой учетной записи хранения».

Отправка видео из защищенной брандмауэром учетной записи хранения

После выполнения действий по настройке в Назначение управляемого удостоверения и роли, Индексатор видео может получить доступ к защищенной брандмауэром учетной записи хранения в качестве доверенной службы Azure. Тем не менее, индексатор видео также должен использовать этот доверенный доступ при отправке видео по URL-адресу.

Чтобы отправить видео из защищенной брандмауэром учетной записи хранения, задайте useManagedIdentityToDownloadVideo=true параметр запроса в запросе API отправки видео :

POST https://api.videoindexer.ai/{location}/Accounts/{accountId}/Videos?name={videoName}&videoUrl={videoUrl}&useManagedIdentityToDownloadVideo=true

Этот параметр указывает Индексатору видео, чтобы аутентифицироваться в исходной учетной записи хранения с использованием управляемого удостоверения вместо попытки анонимного доступа. Оно применяется только при отправке видео по URL-адресу из учетной записи хранения, которая находится за брандмауэром. При отправке файлов непосредственно с локального компьютера его не нужно задавать.