Включение или отключение управления доступом на основе ролей в службе "Поиск ИИ Azure"

Note

Поиск с использованием ИИ Azure доступна через портал Azure, REST API и Azure SDKs. Он также лежит в основе Foundry IQ — управляемого слоя знаний, который преобразует корпоративный контент в многократно используемые базы знаний с учетом разрешений доступа для агентов на портале Microsoft Foundry.

В этой статье объясняется, как включить управление доступом на основе ролей (RBAC) для операций с данными в службе Azure Cognitive Search. С включенной функцией RBAC можно использовать проверку подлинности идентификатора Microsoft Entra вместо ключей API.

Внимание

При создании службы поиска проверка подлинности на основе ключей используется по умолчанию, но это не самый безопасный вариант. Рекомендуется заменить его на доступ на основе ролей, как описано в этой статье.

Можно отключить только роли плоскости данных . Роли администрирования служб (плоскости управления) встроены и не могут быть включены или отключены.

Если вы наблюдаете действия, связанные с ключами, например Получение ключей администратора, в журнале действий в службе поиска только для ролей, эти действия инициируются в плане управления и не влияют на содержимое или операции, связанные с содержимым.

Предварительные требования

  • Служба поиска в любом регионе на любом уровне, включая бесплатную.
  • Владелец, Администратор доступа пользователей или пользовательская роль с разрешениями Microsoft.Authorization/roleAssignments/write для включения RBAC.
  • После включения RBAC требуются роли для плоскости данных для доступа к содержимому: Участник службы поиска, Участник данных индекса поиска и Читатель данных индекса поиска. Дополнительные сведения см. в разделе "Назначение ролей ".

Включение доступа на основе ролей для операций управления данными

Настройте службу поиска для распознавания заголовка авторизации в запросах данных, которые предоставляют маркер доступа OAuth2.

При включении ролей для плоскости данных изменение действует немедленно, но подождите несколько секунд перед назначением ролей.

Режим сбоя по умолчанию для несанкционированных запросов http401WithBearerChallenge. Кроме того, можно задать режим отказа http403.

  1. Перейдите в службу поиска в портал Azure.

  2. Выберите "Параметры" и выберите "Ключи " в левой области.

    Снимок экрана: страница

  3. Выберите контроль на основе ролей. Выберите только оба варианта, если вы используете ключи и требуется время для перехода клиентов на управление доступом на основе ролей.

    Вариант Описание
    Ключ API (по умолчанию) Требуется ключи API в заголовке запроса для авторизации.
    Управление доступом на основе ролей (рекомендуется) Требуется принадлежность к назначенной роли для выполнения задачи. Для этого также требуется заголовок авторизации для запроса.
    Оба Запросы действительны с помощью ключа API или управления доступом на основе ролей, но если вы предоставляете оба в одном запросе, используется ключ API.
  4. Если вы выбираете подход использования только ролей, назначьте роли плоскости данных вашей учетной записи пользователя, чтобы восстановить полный административный доступ к операциям плоскости данных в портале Azure. К ролям относятся вкладчик службы поиска, вкладчик данных индекса поиска и чтец данных индекса поиска. Если требуется эквивалентный доступ, вам потребуются первые две роли.

    Иногда для принятия в силу назначений ролей может потребоваться пять–десять минут. До этого следующее сообщение отображается на страницах портала Azure, используемых для операций уровня данных.

    Снимок экрана: сообщение портала, указывающее на недостаточное количество разрешений.

Отключение управления доступом на основе ролей

Вместо этого можно отключить управление доступом на основе ролей для операций плоскости данных и использовать проверку подлинности на основе ключей. Это можно сделать в рамках тестового рабочего процесса, например, чтобы исключить проблемы с разрешениями.

Чтобы отключить управление доступом на основе ролей в портал Azure:

  1. Перейдите в службу поиска в портал Azure.

  2. Выберите "Параметры" и выберите "Ключи " в левой области.

  3. Выберите Ключи API.

Отключение проверки подлинности на основании ключа API

Доступ к ключу или локальная проверка подлинности может быть отключена в службе, если вы используете исключительно встроенные роли и проверку подлинности Microsoft Entra. Отключение ключей API приводит к тому, что служба поиска отклоняет все запросы, связанные с данными, передающие ключ API в заголовке.

Ключи API администратора могут быть отключены, но не удалены. Ключи API запросов можно удалить.

Разрешения владельца или участника необходимы для отключения функций безопасности.

  1. Перейдите в службу поиска в портал Azure.

  2. В области навигации слева выберите "Ключи".

  3. Выберите управление доступом на основе ролей.

Изменение действует немедленно, но подождите несколько секунд до тестирования. Если у вас есть разрешение на назначение ролей в качестве члена владельца, администратора службы или соадминистратора, вы можете использовать функции портала для тестирования доступа на основе ролей.

Следующие шаги