Anahtarlar olmadan Azure AI Search'i kullanma

Uygulama kodunuzda, kimlik doğrulaması ve yetkilendirme için Microsoft Entra Kimliğini ve rolleri kullanan Azure AI Search'e anahtarsız bir bağlantı ayarlayabilirsiniz. Çoğu Azure hizmeti için uygulama isteklerinin kimlik doğrulaması anahtarlarla veya anahtarsız bağlantılarla yapılmalıdır. Geliştiricilerin anahtarları güvenli olmayan bir konumda asla kullanıma sunmaması için dikkatli olması gerekir. Anahtara erişim kazanan herkes hizmette kimlik doğrulaması yapabilir. Anahtarsız kimlik doğrulaması, depoacak anahtar (veya bağlantı dizesi) olmadığından hesap anahtarına göre gelişmiş yönetim ve güvenlik avantajları sunar.

Anahtarsız bağlantılar aşağıdaki adımlarla etkinleştirilir:

• Kimlik doğrulamanızı yapılandırın.
• Ortam değişkenlerini gerektiği gibi ayarlayın.
• Azure AI Search istemci nesnesi oluşturmak için Bir Azure Kimlik kitaplığı kimlik bilgisi türü kullanın.

Önkoşullar

Hem yerel geliştirme hem de üretim iş yükleri için aşağıdaki adımların tamamlanması gerekir:

• Yapay Zeka Arama kaynağı oluşturma
• Arama hizmetinizde rol tabanlı erişimi etkinleştirme
• Azure Identity istemci kitaplığını yükleme

Yapay Zeka Arama kaynağı oluşturma

Bu makaleye devam etmeden önce, çalışmak için bir Azure AI Search kaynağına ihtiyacınız vardır. Kaynağınız yoksa kaynağınızı şimdi oluşturun. Kaynak için rol tabanlı erişim denetimini (RBAC) etkinleştirin.

Azure Identity istemci kitaplığını yükleme

Anahtarsız yerel olarak çalışmadan önce AI Search özellikli kodunuzu Azure Identity istemci kitaplığıyla güncelleştirin.

dotnet add package Azure.Identity

<dependencyManagement>
    <dependencies>
        <dependency>
            <groupId>com.azure</groupId>
            <artifactId>azure-identity</artifactId>
            <version>1.10.0</version>
            <type>pom</type>
            <scope>import</scope>
        </dependency>
    </dependencies>
</dependencyManagement>

npm install --save @azure/identity

pip install azure-identity

Kaynak kodu DefaultAzureCredential kullanacak şekilde güncelleştirme

Azure Kimlik kitaplığı, DefaultAzureCredential yerel geliştirme ortamında ve Azure bulutunda aynı kodu çalıştırmanıza olanak tanır. Tek bir kimlik bilgisi oluşturun ve belirteç önbelleğinden yararlanmak için kimlik bilgisi örneğini gerektiği şekilde yeniden kullanın.

using Azure;
using Azure.Search.Documents;
using Azure.Search.Documents.Indexes;
using Azure.Search.Documents.Indexes.Models;
using Azure.Search.Documents.Models;
using Azure.Identity;
using System;
using static System.Environment;

string endpoint = GetEnvironmentVariable("AZURE_SEARCH_ENDPOINT");
string indexName = "my-search-index";

DefaultAzureCredential credential = new();
SearchClient searchClient = new(new Uri(endpoint), indexName, credential);
SearchIndexClient searchIndexClient = new(endpoint, credential);

import com.azure.identity.DefaultAzureCredentialBuilder;
import com.azure.search.documents.SearchAsyncClient;
import com.azure.search.documents.SearchClientBuilder;
import com.azure.search.documents.SearchDocument;
import com.azure.search.documents.indexes.SearchIndexAsyncClient;
import com.azure.search.documents.indexes.SearchIndexClientBuilder;

String ENDPOINT = System.getenv("AZURE_SEARCH_ENDPOINT");
String INDEX_NAME = "my-index";

DefaultAzureCredential credential = new DefaultAzureCredentialBuilder().build();

// Sync SearchClient
SearchClient searchClient = new SearchClientBuilder()
    .endpoint(ENDPOINT)
    .credential(credential)
    .indexName(INDEX_NAME)
    .buildClient();

// Sync IndexClient
SearchIndexClient searchIndexClient = new SearchIndexClientBuilder()
    .endpoint(ENDPOINT)
    .credential(credential)
    .buildClient();

// Async SearchClient
SearchAsyncClient searchAsyncClient = new SearchClientBuilder()
    .endpoint(ENDPOINT)
    .credential(credential)
    .indexName(INDEX_NAME)
    .buildAsyncClient();

// Async IndexClient
SearchIndexAsyncClient searchIndexAsyncClient = new SearchIndexClientBuilder()
    .endpoint(ENDPOINT)
    .credential(credential)
    .buildAsyncClient();

import { DefaultAzureCredential } from "@azure/identity";
import {
  SearchClient,
  SearchIndexClient
} from "@azure/search-documents";

const AZURE_SEARCH_ENDPOINT = process.env.AZURE_SEARCH_ENDPOINT;
const index = "my-index";
const credential = new DefaultAzureCredential();

// To query and manipulate documents
const searchClient = new SearchClient(
  AZURE_SEARCH_ENDPOINT,
  index,
  credential
);

// To manage indexes and synonymmaps
const indexClient = new SearchIndexClient(
  AZURE_SEARCH_ENDPOINT, 
  credential
);

import os
from azure.search.documents import SearchClient
from azure.identity import DefaultAzureCredential, AzureAuthorityHosts

# Azure Public Cloud
audience = "https://search.windows.net"
authority = AzureAuthorityHosts.AZURE_PUBLIC_CLOUD

service_endpoint = os.environ["AZURE_SEARCH_ENDPOINT"]
index_name = os.environ["AZURE_SEARCH_INDEX_NAME"]
credential = DefaultAzureCredential(authority=authority)

search_client = SearchClient(
    endpoint=service_endpoint, 
    index=index_name, 
    credential=credential, 
    audience=audience)

search_index_client = SearchIndexClient(
    endpoint=service_endpoint, 
    credential=credential, 
    audience=audience)

Yerel geliştirme

Anahtarsız olmayan yerel geliştirme şu adımları içerir:

• Belirli bir kaynakta RBAC rolleri ile kişisel kimliğinizi atayın.
• Azure ile kimlik doğrulaması yapmak için bir araç kullanın.
• Kaynağınız için ortam değişkenleri oluşturun.

Yerel geliştirme rolleri

Yerel bir geliştirici olarak Azure kimliğinizin hizmetiniz için tam denetime sahip olması gerekir. Bu denetim RBAC rolleri ile sağlanır. Geliştirme sırasında kaynağınızı yönetmek için önerilen roller şunlardır:

• Arama Hizmeti Katkıda Bulunanı
• Arama Dizini Veri Katkıda Bulunanı
• Arama Dizini Veri Okuyucusu

Aşağıdaki araçlardan biriyle kişisel kimliğinizi bulun. Değer olarak <identity-id> bu kimliği kullanın.

Uygun olduğunda , <subscription-id>ve <resource-group-name> değerlerini gerçek değerlerinizle değiştirin<identity-id>.

Yerel geliştirme için kimlik doğrulaması

Azure kimliğinde kimlik doğrulaması yapmak için yerel geliştirme ortamınızda bir araç kullanın. Kimliğiniz doğrulandıktan sonra kaynak kodunuzdaki DefaultAzureCredential örnek kimlik doğrulamasını bulur ve kullanır.

Yerel geliştirme için ortam değişkenlerini yapılandırma

Azure AI Search'e bağlanmak için kodunuzun kaynak uç noktanızı bilmesi gerekir.

Azure AI Search uç noktanız için adlı AZURE_SEARCH_ENDPOINT bir ortam değişkeni oluşturun. Bu URL genellikle biçimindedir https://<YOUR-RESOURCE-NAME>.search.windows.net/.

Üretim iş yükleri

Üretim iş yüklerini dağıtma şu adımları içerir:

• En az ayrıcalık ilkesine bağlı olan RBAC rollerini seçin.
• Belirli bir kaynakta üretim kimliğinize RBAC rolleri atayın.
• Kaynağınız için ortam değişkenlerini ayarlayın.

Üretim iş yükleri için roller

Üretim kaynaklarınızı oluşturmak için kullanıcı tarafından atanan bir yönetilen kimlik oluşturmanız ve ardından bu kimliği doğru rollerle kaynaklarınıza atamanız gerekir.

Bir üretim uygulaması için aşağıdaki rol önerilir:

Üretim iş yükleri için kimlik doğrulaması

Kaynağı oluşturmak ve kimlik doğrulamasını ayarlamak için identityIdaşağıdaki Azure AI Search Bicep şablonunu kullanın. Bicep rol kimliğini gerektirir. name Bu Bicep kod parçacığında gösterilen, Azure rolü değildir; Bu, Bicep dağıtımına özeldir.

// main.bicep
param environment string = 'production'
param roleGuid string = ''

module aiSearchRoleUser 'core/security/role.bicep' = {
    scope: aiSearchResourceGroup
    name: 'aiSearch-role-user'
    params: {
        principalId: (environment == 'development') ? principalId : userAssignedManagedIdentity.properties.principalId 
        principalType: (environment == 'development') ? 'User' : 'ServicePrincipal'
        roleDefinitionId: roleGuid
    }
}

Dosya, main.bicep herhangi bir rol oluşturmak için aşağıdaki genel Bicep kodunu çağırır. Bir kullanıcı için ve diğeri üretim için olmak üzere birden çok RBAC rolü oluşturma seçeneğiniz vardır. Bu, aynı Bicep dağıtımında hem geliştirme hem de üretim ortamlarını etkinleştirmenizi sağlar.

// core/security/role.bicep
metadata description = 'Creates a role assignment for an identity.'
param principalId string // passed in from main.bicep

@allowed([
    'Device'
    'ForeignGroup'
    'Group'
    'ServicePrincipal'
    'User'
])
param principalType string = 'ServicePrincipal'
param roleDefinitionId string // Role ID

resource role 'Microsoft.Authorization/roleAssignments@2022-04-01' = {
    name: guid(subscription().id, resourceGroup().id, principalId, roleDefinitionId)
    properties: {
        principalId: principalId
        principalType: principalType
        roleDefinitionId: resourceId('Microsoft.Authorization/roleDefinitions', roleDefinitionId)
    }
}

Üretim iş yükleri için ortam değişkenlerini yapılandırma

Azure AI Search'e bağlanmak için kodunuzun kaynak uç noktanızı ve yönetilen kimliği bilmesi gerekir.

Dağıtılan ve anahtarsız Azure AI Arama kaynağınız için ortam değişkenleri oluşturun:

• AZURE_SEARCH_ENDPOINT: Bu URL, Azure AI Search kaynağınızın erişim noktasıdır. Bu URL genellikle biçimindedir https://<YOUR-RESOURCE-NAME>.search.windows.net/.
• AZURE_CLIENT_ID: Bu kimlik olarak doğrulanır.

İlgili içerik

• Anahtarsız bağlantılar geliştirici kılavuzu
• Azure yerleşik rolleri
• Ortam değişkenlerini ayarlama