Nastavení připojení indexeru ke službě Azure Storage jako důvěryhodné služby

Ve službě Azure AI Search můžou indexery, které přistupují k objektům blob Azure, používat výjimku důvěryhodné služby pro zabezpečený přístup k objektům blob. Tento mechanismus nabízí zákazníkům, kteří nemůžou udělit přístup indexeru pomocí pravidel brány firewall protokolu IP, jednoduchou, zabezpečenou a bezplatnou alternativu pro přístup k datům v účtech úložiště.

Poznámka:

Pokud je Azure Storage za bránou firewall a ve stejné oblasti jako Azure AI Search, nebudete moct vytvořit příchozí pravidlo, které přijímá požadavky z vaší vyhledávací služby. Řešením pro tento scénář je vyhledání připojení jako důvěryhodné služby, jak je popsáno v tomto článku.

Požadavky

  • Vyhledávací služba se spravovanou identitou přiřazenou systémem (viz kontrola identity služby).

  • Účet úložiště s možností Povolit důvěryhodným služby Microsoft pro přístup k této možnosti sítě účtu úložiště (viz kontrola nastavení sítě).

  • Přiřazení role Azure ve službě Azure Storage, které uděluje oprávnění spravované identitě přiřazené systémem vyhledávací služby (viz kontrola oprávnění).

Poznámka:

Ve službě Azure AI Search je připojení důvěryhodné služby omezené na objekty blob a ADLS Gen2 ve službě Azure Storage. Připojení indexeru ke službě Azure Table Storage a Azure Files se nepodporují.

Důvěryhodné připojení služby musí používat systémovou spravovanou identitu. Pro tento scénář se aktuálně nepodporuje spravovaná identita přiřazená uživatelem.

Kontrola identity služby

  1. Přihlaste se k webu Azure Portal a vyhledejte vyhledávací službu.

  2. Na stránce Identita se ujistěte, že je povolená identita přiřazená systémem. Mějte na paměti, že spravované identity přiřazené uživatelem v současné době ve verzi Preview nebudou fungovat pro připojení důvěryhodné služby.

    Snímek obrazovky s identifikátorem objektu systémové identity

Kontrola nastavení sítě

  1. Přihlaste se k webu Azure Portal a vyhledejte svůj účet úložiště.

  2. V levém navigačním podokně v části Zabezpečení a sítě vyberte Sítě.

  3. Na kartě Brány firewall a virtuální sítě povolte přístup z vybraných sítí.

  4. Posuňte se dolů do části Výjimky .

    Snímek obrazovky se stránkou brány firewall a sítě pro Azure Storage na portálu

  5. Ujistěte se, že je zaškrtnuté políčko Povolit službám Azure v seznamu důvěryhodných služeb přístup k tomuto účtu úložiště.

    Za předpokladu, že má vaše vyhledávací služba přístup k účtu úložiště na základě role, může přistupovat k datům i v případě, že jsou připojení ke službě Azure Storage zabezpečená pravidly brány firewall protokolu IP.

Ověření oprávnění

Identita spravovaná systémem je instanční objekt Microsoft Entra. Přiřazení vyžaduje minimálně čtenář dat objektů blob služby Storage.

  1. V levém navigačním podokně v části Řízení přístupu zobrazte všechna přiřazení rolí a ujistěte se, že je čtenář dat objektů blob služby Storage přiřazený k identitě systému vyhledávací služby.

  2. Pokud se vyžaduje přístup k zápisu, přidejte Přispěvatel dat objektů blob služby Storage.

    Mezi funkce, které vyžadují přístup k zápisu, patří ukládání do mezipaměti pro rozšiřování, ladicí relace a úložiště znalostí.

Nastavení a otestování připojení

Nejjednodušší způsob, jak otestovat připojení, je spuštěním průvodce importem dat.

  1. Spusťte průvodce importem dat a vyberte Azure Blob Storage nebo Azure Data Lake Storage Gen2.

  2. Zvolte připojení k vašemu účtu úložiště a pak vyberte Systém přiřazený. Výběrem možnosti Další vyvoláte připojení. Pokud se zjistí schéma indexu, připojení bylo úspěšné.

    Snímek obrazovky se stránkou připojení ke zdroji dat Průvodce importem dat

Viz také