Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В службе Поиск с использованием ИИ Azure индексаторы, которые обращаются к BLOB-объектам Azure, могут использовать "trusted service exception" для безопасного доступа к BLOB-объектам. Этот механизм предлагает клиентам, которые не могут предоставить доступ к индексатору с использованием правил брандмауэра IP, простую, безопасную и бесплатную альтернативу для доступа к данным в учетных записях хранения.
Note
Если служба хранилища Azure находится за брандмауэром и в том же регионе, что и поиск Azure AI, вы не сможете создать правило для входящего трафика, которое признает запросы из службы поиска. Решением для этого сценария является то, что поисковая система должна подключаться как доверенный сервис, как описано в этой статье.
Prerequisites
Служба поиска с управляемым удостоверением, назначаемого системой. См. раздел "Проверка удостоверения службы".
Учётная запись хранения с параметром сети Разрешить доверенным службам Microsoft доступ к этой учётной записи хранения. См. раздел "Проверка параметров сети".
Назначение ролей Azure в службе хранилища Azure, которое предоставляет разрешения управляемому удостоверению, назначаемого системой поиска. См. раздел "Проверка разрешений".
Note
В Поиск с использованием ИИ Azure подключение к доверенной службе ограничено объектами BLOB и Azure Data Lake Storage Gen2 в службе хранения Azure. Подключения индексатора к Azure Table Storage и Файлы Azure не поддерживаются.
Подключение доверенной службы должно использовать управляемое удостоверение, назначаемое системой. Управляемое пользовательское удостоверение в настоящее время не поддерживается для этого сценария.
Проверка удостоверения службы
Перейдите в службу поиска в портал Azure.
На левой панели выберите Параметры>Идентификация.
Включите идентичность, назначаемую системой. Помните, что назначенные пользователем управляемые идентичности не поддерживаются для подключения к доверенной службе.
Проверка параметров сети
Войдите в свою учетную запись хранения на портале Azure.
В левой области выберите "Безопасность и сеть".>
На вкладке "Общедоступный доступ" выберите "Управление".
В области доступа к общедоступной сети выберите Разрешить доступ из выбранных сетей.
В разделе "Исключения" выберите "Разрешить доверенным службам Майкрософт доступ к этому ресурсу".
Если служба поиска имеет доступ на основе ролей к сервису служба хранилища Azure, она может получить доступ к данным даже если подключения к службе служба хранилища Azure защищены правилами брандмауэра IP.
Проверка разрешений
Системное управляемое удостоверение является служебным принципалом Microsoft Entra. Для назначения требуется как минимум средство чтения данных BLOB-объектов хранилища.
На левой панели в разделе "Управление доступом" просмотрите все назначения ролей и убедитесь, что роль чтения данных Blob-хранилища назначена системной идентификации службы поиска.
Добавьте Контрибутора данных блоб-объектов хранилища, если требуется доступ на запись.
Функции, требующие доступа на запись, включают кэширование обогащения, отладочные сеансы и хранилище знаний.
Настройка и проверка подключения
Самый простой способ проверить подключение — запустить мастер импорта данных на портале Azure.
Запустите мастер импорта данных .
Выберите хранилище BLOB-объектов Azure или ADLS 2-го поколения для источника данных.
Выберите подключение к учетной записи хранения.
Установите флажок "Проверка подлинности с помощью управляемого удостоверения ". Оставьте тип удостоверения назначенным системой.
Нажмите кнопку Далее. Если мастер переходит на следующую страницу без ошибок, подключение выполнено успешно.
