Поделиться через


Создание подключений индексатора к служба хранилища Azure в качестве доверенной службы

В службе поиска ИИ Azure индексаторы, обращаюющиеся к BLOB-объектам Azure, могут использовать исключение доверенной службы для безопасного доступа к BLOB-объектам. Этот механизм предлагает клиентам, которые не могут предоставить доступ к индексатору с использованием правил брандмауэра IP, простую, безопасную и бесплатную альтернативу для доступа к данным в учетных записях хранения.

Примечание.

Если служба хранилища Azure находится за брандмауэром и в том же регионе, что и поиск Azure AI, вы не сможете создать правило для входящего трафика, которое признает запросы из службы поиска. Решением для этого сценария является поиск в качестве доверенной службы, как описано в этой статье.

Необходимые компоненты

  • Служба поиска с управляемым удостоверением, назначаемого системой (см. проверку удостоверения службы).

  • Учетная запись хранения с доверенным службы Майкрософт для доступа к этому параметру сети учетной записи хранения (см. сведения о параметрах сети).

  • Назначение роли Azure в служба хранилища Azure, которое предоставляет разрешения на управляемое удостоверение, назначаемое системой службы поиска (см. проверку разрешений).

Примечание.

В Службе поиска ИИ Azure подключение к доверенной службе ограничено большими двоичными объектами и ADLS 2-го поколения в служба хранилища Azure. Он не поддерживается для подключений индексатора к хранилищу таблиц Azure и Файлы Azure.

Подключение доверенной службы должно использовать системное управляемое удостоверение. Управляемое удостоверение, назначаемое пользователем, в настоящее время не поддерживается для этого сценария.

Проверка удостоверения службы

  1. Войдите в портал Azure и найдите службу поиска.

  2. На странице удостоверений убедитесь, что назначаемое системой удостоверение включено. Помните, что назначаемые пользователем управляемые удостоверения, в настоящее время в предварительной версии, не будут работать для надежного подключения к службе.

    Снимок экрана: идентификатор объекта системного удостоверения.

Проверка параметров сети

  1. Войдите в портал Azure и найдите учетную запись хранения.

  2. В области навигации слева в разделе "Безопасность и сеть" выберите "Сеть".

  3. На вкладке "Брандмауэры и виртуальные сети " разрешите доступ из выбранных сетей.

  4. Прокрутите вниз до раздела "Исключения".

    Снимок экрана: страница брандмауэра и сети для служба хранилища Azure на портале.

  5. Убедитесь, что флажок установлен для разрешения служб Azure в списке доверенных служб для доступа к этой учетной записи хранения.

    Если служба поиска имеет доступ на основе ролей к учетной записи хранения, он может получить доступ к данным, даже если подключения к служба хранилища Azure защищены правилами брандмауэра IP.

Проверка разрешений

Управляемое удостоверение системы — это субъект-служба Microsoft Entra. Для назначения требуется как минимум средство чтения данных BLOB-объектов хранилища.

  1. В области навигации слева в контроль доступа просмотрите все назначения ролей и убедитесь, что средство чтения данных BLOB-объектов хранилища назначено системе службы поиска.

  2. Добавьте участника данных BLOB-объектов хранилища, если требуется доступ на запись.

    Функции, требующие доступа на запись, включают кэширование обогащения, сеансы отладки и хранилище знаний.

Настройка и проверка подключения

Самый простой способ проверить подключение — запустить мастер импорта данных.

  1. Запустите мастер импорта данных, выбрав Хранилище BLOB-объектов Azure или Azure Data Lake Storage 2-го поколения.

  2. Выберите подключение к учетной записи хранения и выберите назначенную системой систему. Нажмите кнопку "Далее ", чтобы вызвать подключение. Если обнаружена схема индекса, подключение выполнено успешно.

    Снимок экрана: страница подключения к источнику данных мастера импорта данных.

См. также