Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Примечание.
Поиск с использованием ИИ Azure доступна через портал Azure, REST API и Azure SDKs. Он также лежит в основе Foundry IQ — управляемого слоя знаний, который преобразует корпоративный контент в многократно используемые базы знаний с учетом разрешений доступа для агентов на портале Microsoft Foundry.
В этой статье объясняется, как ограничить входящий сетевой доступ к общедоступной конечной точке службы поиска. Правила брандмауэра IP можно настроить, чтобы разрешить доступ только из определенных IP-адресов, диапазонов адресов или подсетей. Кроме того, можно включить исключения для доверенных служб Azure.
Правила брандмауэра определяют, какие клиенты могут отправлять запросы (запросы, индексирование, операции управления) в службу поиска. Они не влияют на исходящие подключения из службы поиска к внешним ресурсам. Для информации о безопасности исходящего трафика, см. раздел Доступ индексатора к контенту, защищенному сетевой безопасностью Azure.
Подсказка
Чтобы заблокировать весь доступ к плоскости управления данными на общедоступной конечной точке, используйте частную конечную точку или периметр сетевой безопасности.
Предварительные требования
Служба Поиск с использованием ИИ Azure (базового или более высокого уровня). Конфигурация брандмауэра не поддерживается на уровне "Бесплатный".
Разрешения владельца или участника в службе поиска.
Ограничения и рекомендации
Для некоторых рабочих процессов требуется доступ к общедоступной конечной точке. В частности, мастер Import data на портале Azure подключается к встроенным (размещенным) образцам данных и моделям встраивания через общедоступную конечную точку. Дополнительные сведения см. в разделе "Безопасные подключения" в мастере импорта.
Сетевые правила относятся к операциям плоскости данных в общедоступной конечной точке службы поиска, которая включает создание индексов, запросы индексов и все остальные действия, описанные в REST API службы поиска.
Для получения информации об операциях контрольной плоскости, предназначенных для администрирования служб, подробнее см. сетевые защиты, поддерживаемые Azure Resource Manager.
Если вы находитесь на ранних этапах проверки концепции с примерами данных, рассмотрите возможность отсрочки управления доступом к сети, пока не потребуется.
Настройка доступа к сети
В этом разделе объясняется, как настроить сетевой доступ для службы поиска на портале Azure. Кроме того, можно использовать REST API Search Management, Azure PowerShell или Azure CLI.
Настройка сетевого доступа:
Перейдите в службу поиска на портале Azure.
В левой области выберите "Параметры>сети".
Для доступа к общедоступной сети выберите выбранные IP-адреса. Выберите "Отключено" , только если вы настраиваете частную конечную точку.
В разделе "Брандмауэр IP-адресов" выберите "Добавить IP-адрес клиента".
На этом шаге создается правило для входящего трафика, которое позволяет общедоступному IP-адресу устройства обращаться к службе поиска.
Подсказка
На портале используется IP-адрес клиента для прямого подключения. Если клиент находится в списке разрешенных IP-адресов, вы можете использовать все возможности портала без дополнительной настройки.
Добавьте IP-адреса клиента для других устройств или служб, отправляющих запросы в службу поиска. Используйте формат CIDR. Например, 8.8.8.0/24 представляет IP-адреса от 8.8.8.0 до 8.8.8.255.
Сведения о получении общедоступных IP-адресов служб Azure см. в разделе Azure Диапазоны IP-адресов и теги служб. Если клиент поиска размещен в функции Azure, см. раздел IP-адреса в Функции Azure.
(Необязательно) В разделе Exceptions выберите Разрешить службам Azure в списке доверенных служб доступ к данной службе поиска.
Это исключение позволяет доверенным Azure службам с допустимым управляемым удостоверением и назначением ролей обходить брандмауэр. Дополнительные сведения см. в разделе Предоставление доступа надежным службам Azure.
Сохраните свои изменения.
Может потребоваться несколько минут, чтобы изменения вступили в силу. Подождите не менее 15 минут, прежде чем устранять неполадки, связанные с конфигурацией сети.
После включения политики управления доступом к IP-адресам запросы с IP-адресов за пределами разрешенного списка отклоняются с ответом 403 Запрещено .
Предоставление доступа к доверенным службам Azure
Если вы включили исключение доверенных служб, служба поиска принимает запросы от доверенных Azure ресурсов без проверки IP-адреса. Каждый доверенный ресурс должен иметь управляемое удостоверение (назначаемое системой или назначаемое пользователем, но обычно назначаемое системой) и назначение роли в Поиск с использованием ИИ Azure, которая предоставляет разрешения для данных и операций.
Список доверенных служб для Поиск с использованием ИИ Azure включает:
-
Microsoft.CognitiveServicesдля OpenAI Azure и инструментов Foundry. -
Microsoft.MachineLearningServicesдля Машинное обучение Azure.
Это исключение обычно используется, когда Microsoft Foundry или Машинное обучение Azure отправляет запросы в Поиск с использованием ИИ Azure, например, во время агентного извлечения или интегрированной векторизации.
Доверенные ресурсы должны иметь управляемое удостоверение
Чтобы настроить управляемое удостоверение для Azure OpenAI и Машинное обучение Azure, ознакомьтесь со следующими статьями:
- Настройка Azure OpenAI с аутентификацией через Microsoft Entra ID
- Настройка проверки подлинности между Машинное обучение Azure и другими службами
Чтобы настроить управляемое удостоверение для ресурса Microsoft Foundry, следуйте этим шагам.
- Перейдите к ресурсу Microsoft Foundry на портале Azure.
- В левой области выберите Управление ресурсами>Удостоверения.
- Используйте переключатель для включения управляемого удостоверения, назначаемого системой.
Доверенные ресурсы должны иметь назначение роли
После того как ресурс Azure получает управляемую идентификацию, назначьте роли в Поиск с использованием ИИ Azure, чтобы предоставить разрешения управляемой идентификации. Назначенная роль зависит от рабочей нагрузки:
- Участник службы поиска для операций на уровне объекта, таких как создание индексов или баз знаний.
- Участник данных индекса поиска для доступа к содержимому для чтения и записи.
- Средство чтения данных индекса поиска для доступа к содержимому только для чтения.
При назначении роли выберите Managed identity в качестве типа члена и выберите назначаемое системой удостоверение ресурса Microsoft Foundry или Машинное обучение Azure.
Примечание.
В этой статье рассматривается доверенное исключение для входящих запросов к службе поиска. Поиск с использованием ИИ Azure также находится в списке доверенных служб для других ресурсов Azure. Например, можно использовать исключение доверенной службы для подключений indexer из Поиск с использованием ИИ Azure к служба хранилища Azure.
Следующий шаг
После того как запрос разрешен через брандмауэр, его необходимо пройти проверку подлинности и авторизовать. В этом случае у вас есть два варианта.
Аутентификация с использованием ключей, где в запросе предоставляется API-ключ администратора или запроса. Этот параметр в установлен по умолчанию.
Управление доступом на основе ролей, где запрашивающий является членом роли безопасности в службе поиска. Этот параметр является наиболее безопасным. Он использует Microsoft Entra ID для аутентификации и назначения ролей в Поиск с использованием ИИ Azure для доступа к данным и выполнения операций.