Настройка правил доступа к сети и брандмауэра для Поиск с использованием ИИ Azure

Примечание.

Поиск с использованием ИИ Azure доступна через портал Azure, REST API и Azure SDKs. Он также лежит в основе Foundry IQ — управляемого слоя знаний, который преобразует корпоративный контент в многократно используемые базы знаний с учетом разрешений доступа для агентов на портале Microsoft Foundry.

В этой статье объясняется, как ограничить входящий сетевой доступ к общедоступной конечной точке службы поиска. Правила брандмауэра IP можно настроить, чтобы разрешить доступ только из определенных IP-адресов, диапазонов адресов или подсетей. Кроме того, можно включить исключения для доверенных служб Azure.

Правила брандмауэра определяют, какие клиенты могут отправлять запросы (запросы, индексирование, операции управления) в службу поиска. Они не влияют на исходящие подключения из службы поиска к внешним ресурсам. Для информации о безопасности исходящего трафика, см. раздел Доступ индексатора к контенту, защищенному сетевой безопасностью Azure.

Подсказка

Чтобы заблокировать весь доступ к плоскости управления данными на общедоступной конечной точке, используйте частную конечную точку или периметр сетевой безопасности.

Предварительные требования

  • Служба Поиск с использованием ИИ Azure (базового или более высокого уровня). Конфигурация брандмауэра не поддерживается на уровне "Бесплатный".

  • Разрешения владельца или участника в службе поиска.

Ограничения и рекомендации

  • Для некоторых рабочих процессов требуется доступ к общедоступной конечной точке. В частности, мастер Import data на портале Azure подключается к встроенным (размещенным) образцам данных и моделям встраивания через общедоступную конечную точку. Дополнительные сведения см. в разделе "Безопасные подключения" в мастере импорта.

  • Сетевые правила относятся к операциям плоскости данных в общедоступной конечной точке службы поиска, которая включает создание индексов, запросы индексов и все остальные действия, описанные в REST API службы поиска.

  • Для получения информации об операциях контрольной плоскости, предназначенных для администрирования служб, подробнее см. сетевые защиты, поддерживаемые Azure Resource Manager.

  • Если вы находитесь на ранних этапах проверки концепции с примерами данных, рассмотрите возможность отсрочки управления доступом к сети, пока не потребуется.

Настройка доступа к сети

В этом разделе объясняется, как настроить сетевой доступ для службы поиска на портале Azure. Кроме того, можно использовать REST API Search Management, Azure PowerShell или Azure CLI.

Настройка сетевого доступа:

  1. Перейдите в службу поиска на портале Azure.

  2. В левой области выберите "Параметры>сети".

  3. Для доступа к общедоступной сети выберите выбранные IP-адреса. Выберите "Отключено" , только если вы настраиваете частную конечную точку.

    Скриншот, показывающий варианты доступа к сети на портале Azure.

  4. В разделе "Брандмауэр IP-адресов" выберите "Добавить IP-адрес клиента".

    На этом шаге создается правило для входящего трафика, которое позволяет общедоступному IP-адресу устройства обращаться к службе поиска.

    Screenshot, показывающий, как настроить брандмауэр IP-адресов на портале Azure.

    Подсказка

    На портале используется IP-адрес клиента для прямого подключения. Если клиент находится в списке разрешенных IP-адресов, вы можете использовать все возможности портала без дополнительной настройки.

  5. Добавьте IP-адреса клиента для других устройств или служб, отправляющих запросы в службу поиска. Используйте формат CIDR. Например, 8.8.8.0/24 представляет IP-адреса от 8.8.8.0 до 8.8.8.255.

    Сведения о получении общедоступных IP-адресов служб Azure см. в разделе Azure Диапазоны IP-адресов и теги служб. Если клиент поиска размещен в функции Azure, см. раздел IP-адреса в Функции Azure.

  6. (Необязательно) В разделе Exceptions выберите Разрешить службам Azure в списке доверенных служб доступ к данной службе поиска.

    Это исключение позволяет доверенным Azure службам с допустимым управляемым удостоверением и назначением ролей обходить брандмауэр. Дополнительные сведения см. в разделе Предоставление доступа надежным службам Azure.

    Снимок экрана: флажок

  7. Сохраните свои изменения.

Может потребоваться несколько минут, чтобы изменения вступили в силу. Подождите не менее 15 минут, прежде чем устранять неполадки, связанные с конфигурацией сети.

После включения политики управления доступом к IP-адресам запросы с IP-адресов за пределами разрешенного списка отклоняются с ответом 403 Запрещено .

Предоставление доступа к доверенным службам Azure

Если вы включили исключение доверенных служб, служба поиска принимает запросы от доверенных Azure ресурсов без проверки IP-адреса. Каждый доверенный ресурс должен иметь управляемое удостоверение (назначаемое системой или назначаемое пользователем, но обычно назначаемое системой) и назначение роли в Поиск с использованием ИИ Azure, которая предоставляет разрешения для данных и операций.

Список доверенных служб для Поиск с использованием ИИ Azure включает:

  • Microsoft.CognitiveServices для OpenAI Azure и инструментов Foundry.
  • Microsoft.MachineLearningServices для Машинное обучение Azure.

Это исключение обычно используется, когда Microsoft Foundry или Машинное обучение Azure отправляет запросы в Поиск с использованием ИИ Azure, например, во время агентного извлечения или интегрированной векторизации.

Доверенные ресурсы должны иметь управляемое удостоверение

Чтобы настроить управляемое удостоверение для Azure OpenAI и Машинное обучение Azure, ознакомьтесь со следующими статьями:

Чтобы настроить управляемое удостоверение для ресурса Microsoft Foundry, следуйте этим шагам.

  1. Перейдите к ресурсу Microsoft Foundry на портале Azure.
  2. В левой области выберите Управление ресурсами>Удостоверения.
  3. Используйте переключатель для включения управляемого удостоверения, назначаемого системой.

Доверенные ресурсы должны иметь назначение роли

После того как ресурс Azure получает управляемую идентификацию, назначьте роли в Поиск с использованием ИИ Azure, чтобы предоставить разрешения управляемой идентификации. Назначенная роль зависит от рабочей нагрузки:

  • Участник службы поиска для операций на уровне объекта, таких как создание индексов или баз знаний.
  • Участник данных индекса поиска для доступа к содержимому для чтения и записи.
  • Средство чтения данных индекса поиска для доступа к содержимому только для чтения.

При назначении роли выберите Managed identity в качестве типа члена и выберите назначаемое системой удостоверение ресурса Microsoft Foundry или Машинное обучение Azure.

Примечание.

В этой статье рассматривается доверенное исключение для входящих запросов к службе поиска. Поиск с использованием ИИ Azure также находится в списке доверенных служб для других ресурсов Azure. Например, можно использовать исключение доверенной службы для подключений indexer из Поиск с использованием ИИ Azure к служба хранилища Azure.

Следующий шаг

После того как запрос разрешен через брандмауэр, его необходимо пройти проверку подлинности и авторизовать. В этом случае у вас есть два варианта.

  • Аутентификация с использованием ключей, где в запросе предоставляется API-ключ администратора или запроса. Этот параметр в установлен по умолчанию.

  • Управление доступом на основе ролей, где запрашивающий является членом роли безопасности в службе поиска. Этот параметр является наиболее безопасным. Он использует Microsoft Entra ID для аутентификации и назначения ролей в Поиск с использованием ИИ Azure для доступа к данным и выполнения операций.