Configuración del acceso seguro con identidades administradas y redes virtuales
Este contenido se aplica a: 
v4.0 (versión preliminar) v3.1 (GA) v3.0 (GA) v2.1 (GA)
Esta guía paso a paso le guía por el proceso de habilitación de conexiones seguras para el recurso de Documento de inteligencia. Puede proteger las siguientes conexiones:
Comunicación entre una aplicación cliente dentro de una red virtual (
VNET) y el recurso de Documento de inteligencia.Comunicación entre Document Intelligence Studio y el recurso de Document Intelligence.
Comunicación entre el recurso de Documento de inteligencia y una cuenta de almacenamiento (necesaria al entrenar un modelo personalizado).
Está configurando el entorno para proteger los recursos:
Requisitos previos
Para empezar, necesitará lo siguiente:
Una cuenta activa de Azure: en caso de no tener una, puede crear una cuenta gratuita.
Un recurso en Azure Portel de Documento de inteligencia o servicios de Azure AI. Para obtener pasos detallados, consulte Creación de un recurso de servicios de Azure AI.
Una cuenta de almacenamiento de blobs de Azure en la misma región que el recurso de Document Intelligence. Cree contenedores para almacenar y organizar los datos de los blobs en la cuenta de almacenamiento.
Una red virtual de Azure en la misma región que el recurso de Documento de inteligencia. Cree una red virtual para implementar los recursos de la aplicación para entrenar modelos y analizar documentos.
Opcionalmente, una máquina virtual de ciencia de datos de Azure para Windows o Linux/Ubuntu para implementar una máquina virtual de ciencia de datos en la red virtual para probar las conexiones seguras que se establecen.
Configure resources
Configure cada uno de los recursos para asegurarse de que los recursos pueden comunicarse entre sí:
Configure Document Intelligence Studio para que use el recurso de Documento de inteligencia recién creado; para ello, acceda a la página de configuración y seleccione el recurso.
Asegúrese de que la configuración funciona seleccionando Read API y analizando un documento de ejemplo. Si el recurso se configuró correctamente, la solicitud se completa correctamente.
Agregue un conjunto de datos de entrenamiento a un contenedor en la cuenta de almacenamiento que creó.
Seleccione el icono de modelo personalizado para crear un proyecto personalizado. Asegúrese de seleccionar el mismo recurso de Documento de inteligencia y la cuenta de almacenamiento que creó en el paso anterior.
Seleccione el contenedor con el conjunto de datos de entrenamiento que cargó en el paso anterior. Asegúrese de que si el conjunto de datos de entrenamiento está dentro de una carpeta, la ruta de acceso de la carpeta esté establecida correctamente.
Asegúrese de que tiene los permisos necesarios, Studio establece la configuración de CORS necesaria para acceder a la cuenta de almacenamiento. Si no tiene los permisos, debe asegurarse de que la configuración de CORS está configurada en la cuenta de almacenamiento para poder continuar.
Asegúrese y compruebe que Studio está configurado para acceder a los datos de entrenamiento. Si puede ver los documentos en la experiencia de etiquetado, se establecen todas las conexiones necesarias.
Ahora tiene una implementación en funcionamiento de todos los componentes necesarios para compilar una solución de Documento de inteligencia con el modelo de seguridad predeterminado:
Después, complete los pasos siguientes:
Configure la identidad administrada en el recurso de Document Intelligence.
Proteja la cuenta de almacenamiento para restringir el tráfico solo de redes virtuales y direcciones IP específicas.
Configure la identidad administrada Documento de inteligencia para comunicarse con la cuenta de almacenamiento.
Deshabilite el acceso público al recurso de Document Intelligence y cree un punto de conexión privado. El recurso solo es accesible desde redes virtuales específicas y direcciones IP.
Agregue un punto de conexión privado para la cuenta de almacenamiento en una red virtual seleccionada.
Asegúrese y valide que puede entrenar modelos y analizar documentos desde dentro de la red virtual.
Configuración de la identidad administrada para Documento de inteligencia
Vaya al recurso de Documento de inteligencia en Azure Portal y seleccione la pestaña Identidad. Cambie la identidad administrada asignada por el sistema a Activado y guarde los cambios:
Protección de la cuenta de almacenamiento
Para empezar a configurar comunicaciones seguras, vaya a la pestaña Redes de la cuenta de almacenamiento en Azure Portal.
En Firewalls and virtual networks (Firewalls y redes virtuales), elija Enabled from selected virtual networks and IP addresses (Habilitado en redes virtuales seleccionadas y direcciones IP) en la lista Public network access (Acceso a la red pública).
Asegúrese de que la opción Allow Azure services on the trusted services list to access this storage account. (Permitir que los servicios de Azure en la lista de servicios de confianza accedan a esta cuenta de almacenamiento) esté seleccionada en la lista de excepciones.
Guarde los cambios mediante Guardar.
Nota:
La cuenta de almacenamiento no será accesible desde la red pública de Internet.
Al actualizar la página de etiquetado del modelo personalizado en Studio, se producirá un mensaje de error.
Habilitación del acceso al almacenamiento desde Documento de inteligencia
Para asegurarse de que el recurso de Documento de inteligencia pueda acceder al conjunto de datos de entrenamiento, deberá agregar una asignación de roles para su identidad administrada.
En la ventana de la cuenta de almacenamiento de Azure Portal, vaya a la pestaña Control de acceso (IAM) de la barra de navegación izquierda.
Seleccione el botón Agregar asignación de roles.
En la pestaña Rol, busque y seleccione el permiso Colaborador de datos de blobs de almacenamiento y seleccione Siguiente.
En la pestaña Miembros, seleccione la opción Identidad administrada y elija + Seleccionar miembros.
En la ventana de diálogo Select managed identities (Seleccionar identidades administradas), seleccione las siguientes opciones:
Suscripción. Seleccione su suscripción.
Identidad administrada. Seleccione Form Recognizer.
Seleccionar. Elija el recurso de Documento de inteligencia que ha habilitado con una identidad administrada.
Cierre el cuadro de diálogo.
Por último, seleccione Review + assign (Revisar y asignar) para guardar los cambios.
Magnífico. Ha configurado el recurso de Documento de inteligencia a fin de usar una identidad administrada para conectarse a una cuenta de almacenamiento.
Sugerencia
Al probar Document Intelligence Studio, verá la API de READ y otros modelos precompilados no requieren acceso de almacenamiento para procesar documentos. Sin embargo, el entrenamiento de un modelo personalizado requiere una configuración adicional porque Studio no puede comunicarse directamente con una cuenta de almacenamiento. Para habilitar el acceso de almacenamiento, seleccione Agregar la dirección IP del cliente en la pestaña Redes de la cuenta de almacenamiento para configurar la máquina para acceder a la cuenta de almacenamiento a través de la lista de direcciones IP permitidas.
Configuración de puntos de conexión privados para el acceso desde VNETs
Nota:
Los recursos solo son accesibles desde la red virtual.
Para algunas características de Documento de inteligencia en Studio, como la etiqueta automática, es necesario que Document Intelligence Studio tenga acceso a la cuenta de almacenamiento.
Agregue nuestra dirección IP de Studio, 20.3.165.95, a la lista de permitidos del firewall para los recursos de la cuenta de almacenamiento y Documento de inteligencia. Se trata de la dirección IP dedicada de Documento de inteligencia Studio y se puede permitir de forma segura.
Al conectarse a recursos desde una red virtual, agregar puntos de conexión privados garantiza que tanto la cuenta de almacenamiento como el recurso de Documento de inteligencia sean accesibles desde la red virtual.
A continuación, configura la red virtual para garantizar que solo los recursos dentro de la red virtual o el enrutador de tráfico a través de la red tengan acceso al recurso de Documento de inteligencia y a la cuenta de almacenamiento.
Habilitación de los firewalls y redes virtuales
En Azure Portal, navegue hasta el recurso de Documento de inteligencia.
En la barra de navegación izquierda, seleccione la pestaña Redes.
Habilite la opción Redes y puntos de conexión privados seleccionados en la pestaña Firewalls y redes virtuales y seleccione Guardar.
Nota:
Si intenta acceder a cualquiera de las características de Document Intelligence Studio, verá un mensaje de acceso denegado. Para habilitar el acceso desde Studio en su máquina, seleccione la casilla Agregar la dirección IP de su cliente y Guardar para restablecer el acceso.
Configure el punto de conexión privado.
Navegue a la pestaña Conexiones de puntos de conexión privados y seleccione + Punto de conexión privado. Se le dirige a la página de diálogo Crear un punto de conexión privado.
En la página de diálogo Crear un punto de conexión privado, seleccione las siguientes opciones:
Suscripción. Seleccione la suscripción de facturación.
Grupo de recursos. Seleccione el grupo de recursos adecuado.
Nombre. Escriba un nombre para el punto de conexión privado.
Región. Seleccione la misma región que la red virtual.
Seleccione Siguiente: Resource (Siguiente: Recurso).
Configurar la red virtual
En la pestaña Recurso, acepte los valores predeterminados y seleccione Next: Virtual Network (Siguiente: Red virtual).
En la pestaña red virtual, asegúrese de seleccionar la red virtual que ha creado.
Si tiene varias subredes, seleccione la subred donde desea que se conecte el punto de conexión privado. Acepte el valor predeterminado para asignar dinámicamente la dirección IP.
Seleccione Next: DNS (Siguiente: DNS)
Acepte el valor predeterminado Sí para integrar con la zona DNS privada.
Acepte los valores predeterminados restantes y seleccione Next: Tags (Siguiente: Etiquetas).
Seleccione Next: Review + create (Siguiente: Revisar y crear).
Buen trabajo. El recurso de Documento de inteligencia ahora solo es accesible desde la red virtual y cualquier dirección IP de la lista de direcciones IP permitidas.
Configuración de puntos de conexión privados para almacenamiento.
Vaya a la cuenta de almacenamiento en Azure Portal.
En el menú de navegación izquierdo, seleccione la pestaña Redes.
Seleccione la pestaña Conexiones de punto de conexión privado.
Seleccione agregar + Punto de conexión privado.
Proporcione un nombre y elija la misma región que la red virtual.
Seleccione Siguiente: Resource (Siguiente: Recurso).
En la pestaña de recursos, seleccione blob en la lista de subrecursos de destino.
Seleccione Next: Virtual Network (Siguiente: Virtual Network).
Seleccione la red virtual y la subred. Asegúrese de que la opción Enable network policies for all private endpoints in this subnet (Habilitar directivas de red para todos los puntos de conexión privados de esta subred) está seleccionada y la dirección IP de asignación dinámica está habilitada.
Seleccione Next: DNS (Siguiente: DNS).
Asegúrese de que Sí está habilitado para integrar con la zona DNS privada.
Seleccione Siguiente: Etiquetas.
Seleccione Siguiente: Review + create (Revisar y crear).
¡Excelente trabajo! Ahora tiene todas las conexiones entre el recurso de Documento de inteligencia y el almacenamiento configurados para usar identidades administradas.
Nota:
Los recursos solo son accesibles desde la red virtual y las direcciones IP permitidas.
Las solicitudes de acceso y análisis de Studio a su recurso de Documento de inteligencia fallarán a menos que la solicitud se origine en la red virtual o se enrute a través de la red virtual.
Validación de la implementación
Para validar la implementación, puede implementar una máquina virtual (VM) en la red virtual y conectarse a los recursos.
Configure una Data Science VM en la red virtual.
Conéctese de forma remota a la máquina virtual desde el escritorio e inicie una sesión del explorador que acceda a Document Intelligence Studio.
Analice las solicitudes, las operaciones de entrenamiento ahora deberían funcionar correctamente.
Eso es todo. Ahora puede configurar el acceso seguro para el recurso de Documento de inteligencia con identidades administradas y puntos de conexión privados.
Mensajes comunes de error
No se pudo acceder al contenedor de blobs:
Resolución:
Asegúrese de que el equipo cliente puede acceder al recurso de Document Intelligence y a la cuenta de almacenamiento, ya sea que estén en la misma
VNETo la dirección IP del cliente en Redes > Firewalls y redes virtuales página de configuración del recurso de Inteligencia de documentos y de la cuenta de almacenamiento.
AuthorizationFailure:
resolución: asegúrese de que el equipo cliente pueda acceder al recurso y la cuenta de almacenamiento de Document Intelligence, ya sea que estén en la misma dirección IP de
VNETo en la dirección IP del cliente en Redes > Firewalls y redes virtuales página de configuración del recurso y la cuenta de almacenamiento de Document Intelligence.ContentSourceNotAccessible:
Resolución: asegúrese de conceder a su identidad administrada de Document Intelligence el rol de Colaborador de datos de blobs de almacenamiento y de activar Acceso a servicios de confianza o Reglas de instancia de recurso en la pestaña de red.
AccessDenied:
resolución: asegúrese de que el equipo cliente pueda acceder al recurso y la cuenta de almacenamiento de Document Intelligence, ya sea que estén en la misma dirección IP de
VNETo en la dirección IP del cliente en Redes > Firewalls y redes virtuales página de configuración del recurso y la cuenta de almacenamiento de Document Intelligence.