Share via

Konfigurace zabezpečeného přístupu pomocí spravovaných identit a virtuálních sítí

  • Článek

Tento obsah se vztahuje na:checkmarkv4.0 (Preview)checkmarkv3.1 (GA)checkmarkv3.0 (GA)checkmarkv2.1 (GA)

Tento návod vás provede procesem povolení zabezpečených připojení pro prostředek Document Intelligence. Můžete zabezpečit následující připojení:

  • Komunikace mezi klientskou aplikací v rámci virtuální sítě (VNET) a prostředkem Document Intelligence

  • Komunikace mezi sadou Document Intelligence Studio a prostředkem Document Intelligence

  • Komunikace mezi prostředkem Document Intelligence a účtem úložiště (potřeba při trénování vlastního modelu)

Nastavujete prostředí pro zabezpečení prostředků:

Screenshot of secure configuration with managed identity and virtual networks.

Požadavky

Na začátek budete potřebovat:

  • Aktivní účet Azure – pokud ho nemáte, můžete si vytvořit bezplatný účet.

  • Prostředek Document Intelligence nebo služby Azure AI na webu Azure Portal. Podrobné kroky najdete v tématuVytvoření prostředku s více službami.

  • Účet úložiště objektů blob v Azure ve stejné oblasti jako váš prostředek Document Intelligence. Vytvořte kontejnery pro ukládání a uspořádání dat objektů blob v rámci účtu úložiště.

  • Virtuální síť Azure ve stejné oblasti jako prostředek Document Intelligence. Vytvořte virtuální síť pro nasazení prostředků aplikace pro trénování modelů a analýzu dokumentů.

  • Virtuální počítač azure pro datové vědy pro Windows nebo Linux nebo Ubuntu pro volitelné nasazení virtuálního počítače datové vědy ve virtuální síti za účelem otestování zabezpečených připojení.

Konfigurace prostředků

Nakonfigurujte jednotlivé prostředky, aby se zajistilo, že mezi sebou můžou prostředky komunikovat:

  • Nakonfigurujte sadu Document Intelligence Studio tak, aby používala nově vytvořený prostředek Document Intelligence, a to tak, že se dostanete na stránku nastavení a vyberete prostředek.

  • Ověřte, že konfigurace funguje, výběrem rozhraní API pro čtení a analýzou ukázkového dokumentu. Pokud byl prostředek správně nakonfigurovaný, požadavek se úspěšně dokončí.

  • Přidejte trénovací datovou sadu do kontejneru v účtu úložiště, který jste vytvořili.

  • Výběrem dlaždice vlastního modelu vytvořte vlastní projekt. Ujistěte se, že jste vybrali stejný prostředek Document Intelligence a účet úložiště, který jste vytvořili v předchozím kroku.

  • Vyberte kontejner s trénovací datovou sadou, kterou jste nahráli v předchozím kroku. Ujistěte se, že pokud je trénovací datová sada ve složce, je cesta ke složce správně nastavená.

  • Pokud máte požadovaná oprávnění, studio nastaví nastavení CORS potřebné pro přístup k účtu úložiště. Pokud oprávnění nemáte, musíte před pokračováním zajistit konfiguraci nastavení CORS v účtu úložiště.

  • Ověřte, že je studio nakonfigurované pro přístup k vašim trénovacím datům, pokud uvidíte dokumenty v prostředí pro označování štítků, naváže se všechna požadovaná připojení.

Teď máte funkční implementaci všech komponent potřebných k sestavení řešení Document Intelligence s výchozím modelem zabezpečení:

Screenshot of default security configuration.

Dále proveďte následující kroky:

  • Nastavte spravovanou identitu u prostředku Document Intelligence.

  • Zabezpečte účet úložiště, abyste omezili provoz jenom z konkrétních virtuálních sítí a IP adres.

  • Nakonfigurujte spravovanou identitu Document Intelligence pro komunikaci s účtem úložiště.

  • Zakažte veřejný přístup k prostředku Document Intelligence a vytvořte privátní koncový bod, aby byl přístupný jenom z konkrétních virtuálních sítí a IP adres.

  • Přidejte privátní koncový bod pro účet úložiště ve vybrané virtuální síti.

  • Ověřte, že můžete trénovat modely a analyzovat dokumenty z virtuální sítě.

Nastavení spravované identity pro funkci Document Intelligence

Na webu Azure Portal přejděte k prostředku Document Intelligence a vyberte kartu Identita. Přepněte spravovanou identitu přiřazenou systémem na Zapnuto a uložte změny:

Screenshot of configure managed identity.

Zabezpečení účtu úložiště pro omezení provozu

Začněte konfigurovat zabezpečenou komunikaci tak, že na webu Azure Portal přejdete na kartu Sítě ve svém účtu úložiště.

  1. V části Brány firewall a virtuální sítě zvolte Povoleno z vybraných virtuálních sítí a IP adres ze seznamu přístupu k veřejné síti.

  2. Ujistěte se, že je v seznamu důvěryhodných služeb vybraná možnost Povolit službám Azure přístup k tomuto účtu úložiště ze seznamu Výjimek .

  3. Uloží změny.

Screenshot of configure storage firewall.

Poznámka:

Váš účet úložiště nebude přístupný z veřejného internetu.

Aktualizace stránky popisků vlastního modelu v sadě Studio způsobí chybovou zprávu.

Povolení přístupu k úložišti z funkce Document Intelligence

Pokud chcete zajistit, aby prostředek Document Intelligence mohl přistupovat k trénovací datové sadě, musíte přidat přiřazení role pro spravovanou identitu.

  1. Zůstaňte v okně účtu úložiště na webu Azure Portal a v levém navigačním panelu přejděte na kartu Řízení přístupu (IAM ).

  2. Vyberte tlačítko Přidat přiřazení role.

    Screenshot of add role assignment window.

  3. Na kartě Role vyhledejte a vyberte oprávnění Čtenář dat objektu blob služby Storage a vyberte Další.

    Screenshot of choose a role tab.

  4. Na kartě Členové vyberte možnost Spravovaná identita a zvolte + Vybrat členy.

  5. V dialogovém okně Vybrat spravované identity vyberte následující možnosti:

    • Předplatné Vyberte své předplatné.

    • Spravovaná identita Vyberte Rozpoznávání formulářů.

    • Vyberte. Zvolte prostředek Document Intelligence, který jste povolili se spravovanou identitou.

    Screenshot of managed identities dialog window.

  6. Zavřete dialogové okno.

  7. Nakonec vyberte Zkontrolovat a přiřadit , aby se změny uložily.

Výborně! Nakonfigurovali jste prostředek Document Intelligence tak, aby používal spravovanou identitu pro připojení k účtu úložiště.

Tip

Když vyzkoušíte Document Intelligence Studio, uvidíte rozhraní API pro čtení a další předem připravené modely, které nevyžadují přístup k úložišti pro zpracování dokumentů. Trénování vlastního modelu ale vyžaduje další konfiguraci, protože Studio nemůže přímo komunikovat s účtem úložiště. Přístup k úložišti můžete povolit tak, že na kartě Sítě účtu úložiště vyberete Možnost Přidat IP adresuklienta a nakonfigurujete počítač pro přístup k účtu úložiště prostřednictvím seznamu povolených IP adres.

Konfigurace privátních koncových bodů pro přístup z virtuálních sítí

Poznámka:

  • Prostředky jsou přístupné jenom z virtuální sítě.

  • Některé funkce Funkce Document Intelligence v sadě Studio, jako je automatický popisek, vyžadují, aby měl studio Document Intelligence Studio přístup k vašemu účtu úložiště.

  • Přidejte naši IP adresu studia 20.3.165.95 do seznamu povolených bran firewall pro prostředky Document Intelligence i účtu úložiště. Toto je vyhrazená IP adresa nástroje Document Intelligence Studio a je možné ji bezpečně povolit.

Když se připojíte k prostředkům z virtuální sítě, přidání privátních koncových bodů zajistí, že účet úložiště i prostředek Document Intelligence budou z virtuální sítě přístupné.

Dále nakonfigurujte virtuální síť tak, aby se zajistilo, že přístup k prostředku Document Intelligence a účtu úložiště mají pouze prostředky ve virtuální síti nebo směrovači provozu prostřednictvím sítě.

Povolení bran firewall a virtuálních sítí

  1. Na webu Azure Portal přejděte k prostředku Document Intelligence.

  2. Na levém navigačním panelu vyberte kartu Sítě.

  3. Na kartě Brány firewall a virtuální sítě povolte vybranou možnost Sítě a privátní koncové body a vyberte Uložit.

Poznámka:

Pokud se pokusíte získat přístup k některé z funkcí sady Document Intelligence Studio, zobrazí se zpráva o odepření přístupu. Pokud chcete povolit přístup ze studia na vašem počítači, zaškrtněte políčko Přidat IP adresu klienta a uložte přístup.

Screenshot showing how to disable public access to Document Intelligence.

Konfigurace privátního koncového bodu

  1. Přejděte na kartu Připojení privátního koncového bodu a vyberte privátní koncový bod. Přejdete na stránku dialogového okna Vytvořit privátní koncový bod .

  2. Na stránce dialogového okna Vytvořit privátní koncový bod vyberte následující možnosti:

    • Předplatné Vyberte své fakturační předplatné.

    • Skupina prostředků. Vyberte příslušnou skupinu prostředků.

    • Název. Zadejte název privátního koncového bodu.

    • Oblast. Vyberte stejnou oblast jako vaše virtuální síť.

    • Vyberte Další: Prostředek.

    Screenshot showing how to set-up a private endpoint

Konfigurace virtuální sítě

  1. Na kartě Prostředek přijměte výchozí hodnoty a vyberte Další: Virtuální síť.

  2. Na kartě Virtuální síť se ujistěte, že jste vybrali virtuální síť, kterou jste vytvořili.

  3. Pokud máte více podsítí, vyberte podsíť, ke které se má privátní koncový bod připojit. Přijměte výchozí hodnotu pro dynamické přidělení IP adresy.

  4. Vybrat další: DNS

  5. Přijměte výchozí hodnotu Ano pro integraci s privátní zónou DNS.

    Screenshot showing how to configure private endpoint

  6. Přijměte zbývající výchozí hodnoty a vyberte Další: Značky.

  7. Vyberte Další: Zkontrolovat a vytvořit.

Hotovo! Váš prostředek Document Intelligence je teď přístupný jenom z virtuální sítě a všech IP adres v seznamu povolených IP adres.

Konfigurace privátních koncových bodů pro úložiště

Na webu Azure Portal přejděte ke svému účtu úložiště.

  1. V levé navigační nabídce vyberte kartu Sítě.

  2. Vyberte kartu Připojení privátních koncových bodů.

  3. Zvolte přidat + privátní koncový bod.

  4. Zadejte název a zvolte stejnou oblast jako virtuální síť.

  5. Vyberte Další: Prostředek.

    Screenshot showing how to create a private endpoint

  6. Na kartě prostředek vyberte objekt blob ze seznamu cílových dílčích prostředků .

  7. vyberte Další: Virtuální síť.

    Screenshot showing how to configure a private endpoint for a blob.

  8. Vyberte virtuální síť a podsíť. Ujistěte se, že je vybraná možnost Povolit zásady sítě pro všechny privátní koncové body v této podsíti a je povolená dynamicky přidělovat IP adresu .

  9. Vyberte Další: DNS.

  10. Ujistěte se, že je pro integraci s privátní zónou DNS povolená možnost Ano.

  11. Vyberte Další: Značky.

  12. Vyberte Další: Zkontrolovat a vytvořit.

Skvělá práce! Teď máte všechna připojení mezi prostředkem Document Intelligence a úložištěm nakonfigurovaným tak, aby používala spravované identity.

Poznámka:

Prostředky jsou přístupné jenom z virtuální sítě a povolených IP adres.

Přístup k sadě Studio a analýza požadavků na prostředek Document Intelligence selže, pokud požadavek nepochází z virtuální sítě nebo se směruje přes virtuální síť.

Ověření nasazení

Pokud chcete ověřit nasazení, můžete do virtuální sítě nasadit virtuální počítač a připojit se k prostředkům.

  1. Nakonfigurujte virtuální počítač Datová Věda ve virtuální síti.

  2. Vzdáleně se připojte k virtuálnímu počítači z plochy a spusťte relaci prohlížeče pro přístup k sadě Document Intelligence Studio.

  3. Analyzovat požadavky a trénovací operace by teď měly fungovat úspěšně.

A je to! Teď můžete nakonfigurovat zabezpečený přístup pro prostředek Document Intelligence se spravovanými identitami a privátními koncovými body.

Běžné chybové zprávy

  • Přístup ke kontejneru objektů blob se nezdařil:

    Screenshot of error message when CORS config is required

    Řešení:

    1. Nakonfigurujte CORS.

    2. Ujistěte se, že klientský počítač má přístup k prostředkům Document Intelligence a účtu úložiště, ať už jsou ve stejné virtuální síti, nebo je povolená IP adresa klienta v > síťových branách firewall a virtuálních sítích na stránce nastavení prostředků Document Intelligence i účtu úložiště.

  • AutorizaceFailure:

    Screenshot of authorization failure error.

    Řešení: Ujistěte se, že klientský počítač má přístup k prostředku Document Intelligence a účtu úložiště, ať už jsou ve stejné virtuální síti, nebo je povolená IP adresa klienta v > síťových branách firewall a virtuálních sítích na stránce nastavení prostředků Document Intelligence i účtu úložiště.

  • ContentSourceNotAccessible:

    Screenshot of content source not accessible error.

    Řešení: Ujistěte se, že spravované identitě funkce Document Intelligence udělíte roli čtenáře dat objektů blob služby Storage a povolíte přístup k důvěryhodným službám nebo pravidla instancí prostředků na kartě Sítě.

  • AccessDenied:

    Screenshot of an access denied error.

    Řešení: Zkontrolujte, jestli existuje připojení mezi počítačem, který přistupuje k nástroji Document Intelligence Studio a službě Document Intelligence. Můžete například potřebovat přidat IP adresu klienta na kartu sítě služby Document Intelligence.

Další kroky

Přístup ke službě Azure Storage z webové aplikace pomocí spravovaných identit