Sdílet prostřednictvím

Spravované identity pro prostředky jazyka

  • Článek

Spravované identity pro prostředky Azure jsou instanční objekty, které vytvářejí identitu Microsoft Entra a konkrétní oprávnění pro spravované prostředky Azure. Spravované identity představují bezpečnější způsob, jak udělit přístup k datům úložiště a nahradit požadavek na zahrnutí tokenů sdíleného přístupového podpisu (SAS) ke zdrojovým a cílovým adresám URL kontejneru.

Snímek obrazovky s tokem spravované identity (RBAC).

  • Spravované identity můžete použít k udělení přístupu k libovolnému prostředku, který podporuje ověřování Microsoft Entra, včetně vlastních aplikací.

  • Pokud chcete udělit přístup k prostředku Azure, přiřaďte spravované identitě roli Azure pomocí řízení přístupu na základě role v Azure (Azure RBAC).

  • Používání spravovaných identit v Azure není spojeno s žádnými dodatečnými náklady.

Důležité

  • Při použití spravovaných identit nezahrnujte do požadavků HTTP adresu URL tokenu SAS – vaše požadavky selžou. Použití spravovaných identit nahrazuje požadavek na zahrnutí tokenů sdíleného přístupového podpisu (SAS) k adresám URL zdrojového a cílového kontejneru.

  • Pokud chcete používat spravované identity pro operace jazyka, musíte prostředek jazyka vytvořit v konkrétní geografické oblasti Azure, například v oblasti USA – východ. Pokud je vaše oblast prostředků jazyka nastavená na Globální, nemůžete použít ověřování spravované identity. Stále ale můžete používat tokeny sdíleného přístupového podpisu (SAS).

Požadavky

Abyste mohli začít, potřebujete následující zdroje informací:

  • Aktivní účet Azure Pokud žádné nemáte, můžete si vytvořit bezplatný účet.

  • Prostředek Azure AI Language s jednou službou vytvořený v regionálním umístění.

  • Stručný přehled řízení přístupu na základě role v Azure (Azure RBAC) pomocí webu Azure Portal.

  • Účet služby Azure Blob Storage ve stejné oblasti jako prostředek jazyka. Musíte také vytvořit kontejnery pro ukládání a uspořádání dat objektů blob v rámci účtu úložiště.

  • Pokud je váš účet úložiště za bránou firewall, musíte povolit následující konfiguraci:

    1. Přejděte na Azure Portal a přihlaste se ke svému účtu Azure.

    2. Vyberte svůj účet úložiště.

    3. V levém podokně skupiny Zabezpečení a sítě vyberte Sítě.

    4. Na kartě Brány firewall a virtuální sítě vyberte Povoleno z vybraných virtuálních sítí a IP adres.

      Snímek obrazovky s vybraným přepínačem vybraných sítí

    5. Zrušte výběr všech zaškrtávacích políček.

    6. Ujistěte se, že je vybrané síťové směrování Microsoftu.

    7. V části Instance prostředků vyberte jako typ prostředku Microsoft.CognitiveServices/accounts a jako název instance vyberte prostředek jazyka.

    8. Ujistěte se, že je zaškrtnuté políčko Povolit službám Azure v seznamu důvěryhodných služeb přístup k tomuto účtu úložiště. Další informace o správěvýjimekch

      Snímek obrazovky znázorňující zaškrtávací políčko Povolit důvěryhodné služby na webu Azure Portal

    9. Zvolte Uložit.

      Poznámka:

      Rozšíření změn sítě může trvat až 5 minut.

    I když je teď povolený síťový přístup, váš prostředek jazyka stále nemůže získat přístup k datům ve vašem účtu úložiště. Potřebujete vytvořit spravovanou identitu pro prostředek jazyka a přiřadit konkrétní přístupovou roli .

Přiřazení spravovaných identit

Existují dva typy spravovaných identit: přiřazené systémem a přiřazené uživatelem. Překlad dokumentů v současné době podporuje spravovanou identitu přiřazenou systémem:

  • Spravovaná identita přiřazená systémem je povolená přímo v instanci služby. Ve výchozím nastavení není povolená; Musíte přejít do svého prostředku a aktualizovat nastavení identity.

  • Spravovaná identita přiřazená systémem je svázaná s vaším prostředkem během celého životního cyklu. Pokud prostředek odstraníte, odstraní se i spravovaná identita.

V následujícíchkrocích

Povolení spravované identity přiřazené systémem

Abyste mohli vytvářet, číst nebo odstraňovat objekty blob, musíte prostředku jazyka udělit přístup k vašemu účtu úložiště. Jakmile povolíte prostředek jazyka se spravovanou identitou přiřazenou systémem, můžete pomocí řízení přístupu na základě role (Azure RBACAzure) udělit funkcím jazyka přístup ke kontejnerům úložiště Azure.

  1. Přejděte na Azure Portal a přihlaste se ke svému účtu Azure.

  2. Vyberte prostředek jazyka.

  3. Ve skupině Správa prostředků v levém podokně vyberte Identita. Pokud byl váš prostředek vytvořen v globální oblasti, karta Identita není viditelná. K ověřování můžete dál používat tokeny sdíleného přístupového podpisu (SAS).

  4. Na kartě Přiřazený systém zapněte přepínač Stav.

    Snímek obrazovky znázorňující kartu Identita správy prostředků na webu Azure Portal

    Důležité

    Spravované identity přiřazené uživatelem nesplňují požadavky pro scénář účtu úložiště dávkového zpracování. Ujistěte se, že jste povolili spravované identity přiřazené systémem.

  5. Zvolte Uložit.

Udělení přístupu k účtu úložiště pro prostředek jazyka

Důležité

Pokud chcete přiřadit roli spravované identity přiřazené systémem, potřebujete oprávnění Microsoft.Authorization/roleAssignments/write , jako je vlastník nebo správce uživatelských přístupů v oboru úložiště pro prostředek úložiště.

  1. Přejděte na Azure Portal a přihlaste se ke svému účtu Azure.

  2. Vyberte prostředek jazyka.

  3. Ve skupině Správa prostředků v levém podokně vyberte Identita.

  4. V části Oprávnění vyberte přiřazení rolí Azure:

    Snímek obrazovky znázorňující povolení spravované identity přiřazené systémem na webu Azure Portal

  5. Na stránce přiřazení rolí Azure, která se otevřela, vyberte v rozevírací nabídce své předplatné a pak vyberte + Přidat přiřazení role.

    Snímek obrazovky znázorňující stránku přiřazení rolí Azure na webu Azure Portal

  6. Dále přiřaďte roli Přispěvatel dat v objektu blob služby Storage k prostředku služby Language. Role Přispěvatel dat objektů blob služby Storage poskytuje jazyk (reprezentovaný spravovanou identitou přiřazenou systémem) přístup ke čtení, zápisu a odstranění přístupu ke kontejneru objektů blob a datům. V automaticky otevíraných otevíraných okně Přidat přiřazení role vyplňte pole následujícím způsobem a vyberte Uložit:

    Pole Hodnota
    Scope Úložiště:
    Předplatné Předplatné přidružené k vašemu prostředku úložiště.
    Prostředek Název vašeho prostředku úložiště.
    Role Přispěvatel dat objektů blob služby Storage

    Snímek obrazovky znázorňující stránku přiřazení rolí na webu Azure Portal

  7. Po zobrazení potvrzovací zprávy Přidání přiřazení role aktualizujte stránku, aby se zobrazilo přidané přiřazení role.

    Snímek obrazovky znázorňující automaticky otevíranou zprávu s potvrzením přiřazení role

  8. Pokud nové přiřazení role hned nevidíte, počkejte a zkuste stránku znovu aktualizovat. Když přiřadíte nebo odeberete přiřazení rolí, může trvat až 30 minut, než se změny projeví.

Požadavky HTTP

  • Požadavek na operaci služby jazyka nativního dokumentu se odešle do koncového bodu služby jazyka prostřednictvím požadavku POST.

  • U spravované identity už Azure RBACnemusíte zahrnovat adresy URL SAS.

  • V případě úspěchu metoda POST vrátí 202 Accepted kód odpovědi a služba vytvoří požadavek.

  • Zpracované dokumenty se zobrazí v cílovém kontejneru.

Další kroky

Začínáme s podporou nativních dokumentů