Konfigurieren des sicheren Zugriffs mit verwalteten Identitäten und virtuellen Netzwerken

Dieser Inhalt gilt für:v4.0 (Vorschau)v3.1 (allgemein verfügbar)v3.0 (allgemein verfügbar)v2.1 (allgemein verfügbar)

Diese Schrittanleitung führt Sie durch den Aktivierungsprozess sicherer Verbindungen für Ihre Ressource für Dokument Intelligenz. Sie können die folgenden Verbindungen sichern:

• Kommunikation zwischen einer Clientanwendung in einem virtuellen Netzwerk (VNET) und Ihrer Ressource für Dokument Intelligenz.

• Kommunikation zwischen Dokument Intelligenz Studio und Ihrer Dokument Intelligenz-Ressource

• Kommunikation zwischen Ihrer Dokument Intelligenz-Ressource und einem Speicherkonto (erforderlich beim Training eines benutzerdefinierten Modells)

Sie richten Ihre Umgebung ein, um die Ressourcen zu sichern:

Voraussetzungen

Zunächst benötigen Sie Folgendes:

• Ein aktives Azure-Konto – Sollten Sie über kein aktives Konto verfügen, können Sie ein kostenloses Konto erstellen.

• Eine Dokument Intelligenz- oder Azure KI Services-Ressource im Azure-Portal Ausführliche Schritte finden Sie unterErstellen einer Ressource für mehrere Dienste.

• Ein Azure Blob Storage-Konto in derselben Region wie Ihre Dokument Intelligenz-Ressource. Erstellen Sie Container zum Speichern und Organisieren Ihrer Blobdaten unter Ihrem Speicherkonto.

• Ein virtuelles Azure-Netzwerk in derselben Region wie Ihre Dokument Intelligenz-Ressource. Erstellen Sie ein virtuelles Netzwerk, um Ihre Anwendungsressourcen bereitzustellen, um Modelle zu trainieren und Dokumente zu analysieren.

• Eine Azure Data Science-VM für Windows oder Linux/Ubuntu zum optionalen Bereitstellen einer Data Science-VM im virtuellen Netzwerk, um die sicheren Verbindungen zu testen, die eingerichtet werden.

Konfigurieren der Ressourcen

Konfigurieren Sie jede der Ressourcen, um sicherzustellen, dass die Ressourcen miteinander kommunizieren können:

• Konfigurieren Sie Dokument Intelligenz Studio zum Verwenden der neu erstellten Dokument Intelligenz-Ressource, indem Sie auf die Einstellungsseite zugreifen und die Ressource auswählen.

• Vergewissern Sie sich, dass die Konfiguration funktioniert, indem Sie die Lese-API auswählen und ein Beispieldokument analysieren. Wenn die Ressource ordnungsgemäß konfiguriert wurde, wird die Anforderung erfolgreich abgeschlossen.

• Fügen Sie einen Trainingsdatensatz zu einem Container im Speicherkonto hinzu, das Sie erstellt haben.

• Wählen Sie die benutzerdefinierte Modellkachel aus, um ein benutzerdefiniertes Projekt zu erstellen. Stellen Sie sicher, dass Sie dieselbe Dokument Intelligenz-Ressource und das Speicherkonto auswählen, das Sie im vorherigen Schritt erstellt haben.

• Wählen Sie den Container mit dem Trainingsdatensatz aus, den Sie im vorherigen Schritt hochgeladen haben. Stellen Sie sicher, dass der Ordnerpfad entsprechend festgelegt wird, wenn sich das Trainingsdatensatz in einem Ordner befindet.

• Stellen Sie sicher, dass Sie über die erforderlichen Berechtigungen verfügen. Studio legt die für den Zugriff auf das Speicherkonto erforderliche CORS-Einstellung fest. Wenn Sie nicht über die Berechtigungen verfügen, müssen Sie sicherstellen, dass die CORS-Einstellungen für das Speicherkonto konfiguriert sind, bevor Sie fortfahren können.

• Vergewissern Sie sich, dass Studio für den Zugriff auf Ihre Trainingsdaten konfiguriert ist. Wenn Ihre Dokumente in der Bezeichnungsumgebung angezeigt werden, werden alle erforderlichen Verbindungen hergestellt.

Sie verfügen jetzt über eine funktionierende Implementierung aller Komponenten, die zum Erstellen einer Dokument Intelligenz-Lösung mit dem Standardsicherheitsmodell erforderlich sind:

Führen Sie anschließend die folgenden Schritte aus:

• Konfigurieren Sie die verwaltete Identität in der Dokument Intelligenz-Ressource.

• Sichern Sie das Speicherkonto, um den Datenverkehr nur von bestimmten virtuellen Netzwerken und IP-Adressen einzuschränken.

• Konfigurieren der verwalteten Identität in der Dokument Intelligenz-Ressource zum Kommunizieren mit dem Speicherkonto

• Deaktivieren Sie den öffentlichen Zugriff auf die Dokument Intelligenz-Ressource, und erstellen Sie einen privaten Endpunkt. Auf Ihre Ressource kann dann lediglich über bestimmte virtuelle Netzwerke und IP-Adressen zugegriffen werden.

• Fügen Sie einen privaten Endpunkt für das Speicherkonto in einem ausgewählten virtuellen Netzwerk hinzu.

• Vergewissern Sie sich, dass Sie aus dem virtuellen Netzwerk Modelle trainieren und Dokumente analysieren können.

Einrichten einer verwalteten Identität für Dokument Intelligenz

Navigieren Sie zur Dokument Intelligenz-Ressource im Azure-Portal, und wählen Sie die Registerkarte Identität aus. Stellen Sie den Umschalter für die systemseitig zugewiesene verwaltete Identität auf An, und speichern Sie die Änderungen:

Sichern des Speicherkontos

Beginnen Sie mit der Konfiguration sicherer Kommunikation, indem Sie zur Registerkarte Netzwerk in Ihrem Speicherkonto im Azure-Portal navigieren.

1. Wählen Sie unter Firewalls und virtuelle Netzwerke die Option Aktiviert aus ausgewählten virtuellen Netzwerken und IP-Adressen aus der Liste Öffentlicher Netzwerkzugriff aus.

2. Stellen Sie sicher, dass Azure-Dienste in der Liste vertrauenswürdiger Dienste zulassen aus der Liste Ausnahmen ausgewählt sind.

3. Speichern Sie die Änderungen.

Hinweis

Ihr Speicherkonto kann nicht über das öffentliche Internet zugänglich sein.

Das Aktualisieren der Bezeichnungsseite des benutzerdefinierten Modells im Studio führt zu einer Fehlermeldung.

Aktivieren des Speicherzugriffs über Dokument Intelligenz

Um sicherzustellen, dass über die Dokument Intelligenz-Ressource auf das Trainingsdataset zugegriffen werden kann, müssen Sie eine Rollenzuweisung für Ihre verwaltete Identität hinzufügen.

1. Navigieren Sie im Fenster des Speicherkontos im Azure-Portal zur Registerkarte Access Control (IAM) in der linken Navigationsleiste.

2. Klicken Sie auf die Schaltfläche Rollenzuweisung hinzufügen.

   

3. Suchen Sie auf der Registerkarte Rolle nach der Berechtigung Storage Blob Data Reader und wählen Sie Weiter aus.

   

4. Wählen Sie auf der Registerkarte Mitglieder die Option Verwaltete Identität und dann + Mitglieder auswählen aus

5. Wählen Sie im Dialogfeld Verwaltete Identitäten auswählen die folgenden Optionen aus:

   • Abonnement: Wählen Sie Ihr Abonnement aus.

   • Verwaltete Identität. Wählen Sie das Formular Erkennungsmodul aus.

   • Auswählen. Wählen Sie die Dokument Intelligenz-Ressource aus, die Sie mit einer verwalteten Identität aktiviert haben.

   

6. Schließen Sie das Dialogfenster.

7. Wählen Sie schließlich Überprüfen+ zuweisen aus, um Ihre Änderungen zu speichern.

Sehr gut! Sie haben Ihre Dokument Intelligenz-Ressource zum Verwenden einer verwalteten Identität konfiguriert, um eine Verbindung mit einem Speicherkonto herzustellen.

Tipp

Wenn Sie Dokument Intelligenz Studio ausprobieren, wird die READ-API angezeigt, und andere vordefinierte Modelle benötigen keinen Speicherzugriff auf Prozessdokumente. Der Training eines benutzerdefinierten Modells erfordert jedoch zusätzliche Konfiguration, da das Studio nicht direkt mit einem Speicherkonto kommunizieren kann. Sie können den Speicherzugriff aktivieren, indem Sie Hinzufügen Ihrer Client-IP-Adresse auf der Registerkarte Netzwerk des Speicherkontos auswählen, um Ihren Computer so zu konfigurieren, dass sie über die Liste zugelassener IP-Adressen auf das Speicherkonto zugreifen können.

Konfigurieren von privaten Endpunkten für den Zugriff von VNETs

Hinweis

• Auf die Ressourcen kann nur über das virtuelle Netzwerk zugegriffen werden.

• Einige Dokument Intelligenz-Features in Studio wie die automatische Bezeichnung, setzen voraus, dass das Document Intelligence Studio Zugriff auf Ihr Speicherkonto hat.

• Fügen Sie sowohl für Dokument Intelligenz- als auch für Speicherkontoressourcen die Studio-IP-Adresse (20.3.165.95) zur Zulassungsliste der Firewall hinzu. Dies ist die dedizierte IP-Adresse von Dokument Intelligenz Studio, die gefahrlos zugelassen werden kann.

Wenn Sie über ein virtuelles Netzwerk eine Verbindung zu Ressourcen herstellen, können Sie durch Hinzufügung privater Endpunkte sicherstellen, dass sowohl das Speicherkonto als auch die Dokument Intelligenz-Ressource über das virtuelle Netzwerk zugänglich sind.

Konfigurieren Sie als Nächstes das virtuelle Netzwerk zum Sicherstellen, dass nur Ressourcen innerhalb des virtuellen Netzwerks oder Datenverkehrsrouters über das Netzwerk Zugriff auf die Dokument Intelligenz-Ressource und das Speicherkonto haben.

Aktivieren von Firewalls und virtuellen Netzwerken

1. Navigieren Sie im Azure-Portal zu Ihrer Dokument Intelligenz-Ressource.

2. Wählen Sie im Navigationsbereich auf der linken Seite Netzwerk aus.

3. Aktivieren Sie die Option Ausgewählte Netzwerke und Private Endpunkte auf der Registerkarte Firewalls und virtuelle Netzwerke und wählen Sie Speichern aus.

Hinweis

Wenn Sie versuchen, auf eines der Features von Dokument Intelligenz Studio zuzugreifen, wird eine Nachricht angezeigt, dass der Zugriff verweigert wurde. Um den Zugriff auf das Studio auf Ihrem Computer zu aktivieren, wählen Sie das Kontrollkästchen Ihre Client-IP-Adresse hinzufügen und Speichern aus, um den Zugriff wiederherzustellen.

Konfigurieren Ihres privaten Endpunkts

1. Wählen Sie die Registerkarte Verbindungen mit privatem Endpunkt und dann + Privater Endpunkt aus. Sie navigieren zum Dialogfeld Einen privaten Endpunkt erstellen.

2. Wählen Sie auf der Seite Privaten Endpunkt erstellen die folgenden Optionen aus:

   • Abonnement: Wählen Sie Ihr Abrechnungsabonnement aus.

   • Ressourcengruppe. Wählen Sie eine geeignete Ressourcengruppe.

   • Name: Geben Sie einen Namen für den privaten Endpunkt ein.

   • Region: Er muss sich in derselben Region befinden, wie Ihr virtuelles Netzwerk.

   • Klicken Sie auf Weiter: Ressource aus.

   

Konfigurieren Ihres virtuellen Netzwerks

1. Akzeptieren Sie auf der Registerkarte Ressource die Standardwerte und wählen Sie Weiter: Virtuelles Netzwerk aus.

2. Wählen Sie auf der Registerkarte Virtuelles Netzwerk das virtuelle Netzwerk aus, das Sie erstellt haben.

3. Wenn Sie mehrere Subnetze haben, wählen Sie das Subnetz aus, in dem der private Endpunkt eine Verbindung herstellen soll. Akzeptieren Sie den Standardwert, um die IP-Adresse dynamisch zuzuweisen.

4. Klicken Sie auf Weiter: DNS

5. Übernehmen Sie den Standardwert für Ja für In private DNS-Zone integrieren.

   

6. Übernehmen Sie die verbleibenden Standardwerte und wählen Sie Weiter: Tags.

7. Wählen Sie Weiter: Überprüfen + erstellen aus.

Gut gemacht! Ihre Dokument Intelligenz-Ressource ist jetzt nur über das virtuelle Netzwerk und mit den IP-Adressen in der Liste zugelassener IP-Adressen zugänglich.

Konfigurieren Sie private Endpunkte für Speicherkonten

Navigieren Sie zum Speicherkonto im Azure-Portal.

1. Wählen Sie im Navigationsbereich auf der linken Seite Netzwerk aus.

2. Wählen Sie die Registerkarte Verbindungen mit privatem Endpunkt aus.

3. Wählen Sie + Privaten Endpunkt und fügen es hinzu.

4. Geben Sie einen Namen an und wählen Sie dieselbe Region wie das virtuelle Netzwerk aus.

5. Klicken Sie auf Weiter: Ressource aus.

   

6. Wählen Sie auf der Registerkarte Ressource Blob aus der Liste Ziel Unterressource aus.

7. Wählen Sie Weiter: Virtuelles Netzwerk aus.

   

8. Wählen Sie Virtuelles Netzwerk und Subnetz aus. Stellen Sie sicher, dass Netzwerkrichtlinien für alle privaten Endpunkte in diesem Subnetz aktivieren ausgewählt wurde und die Dynamische zugewiesene IP-Adresse aktiviert ist.

9. Wählen Sie Weiter: DNS aus.

10. Stellen Sie sicher, dass Ja für die Integration in private DNS-Zone aktiviert ist.

11. Klicken Sie auf Weiter: Tags.

12. Klicken Sie auf Weiter: Überprüfen + erstellen.

Gut gemacht! Sie haben jetzt alle Verbindungen zwischen der Dokument Intelligenz-Ressource und dem Speicher konfiguriert, um verwaltete Identitäten zu verwenden.

Hinweis

Auf die Ressourcen kann nur über das virtuelle Netzwerk und zulässige IPs zugegriffen werden.

Bei Studio-Zugriffs- und Analyseanforderungen an Ihre Dokument Intelligenz-Ressource treten Fehler auf, es sei denn, die Anforderung stammt aus dem virtuellen Netzwerk oder wird über das virtuelle Netzwerk weitergeleitet.

Überprüfen der Bereitstellung

Um Ihre Bereitstellung zu überprüfen, können Sie einen virtuellen Computer (VM) im virtuellen Netzwerk bereitstellen und eine Verbindung mit den Ressourcen herstellen.

1. Konfigurieren Sie eine Data Science-VM im virtuellen Netzwerk.

2. Stellen Sie von Ihrem Desktopcomputer eine Remoteverbindung mit der VM her, um eine Browsersitzung zu starten und auf Dokument Intelligenz Studio zuzugreifen.

3. Analysieren von Anforderungen und Trainingsvorgängen sollten jetzt erfolgreich funktionieren.

Das ist alles! Sie können jetzt den sicheren Zugriff für Ihre Dokument Intelligenz-Ressource mit verwalteten Identitäten und privaten Endpunkten konfigurieren.

Häufige Fehlermeldungen

• Fehler beim Zugriff auf den Blob-Container:

  

  Lösung:

  1. Konfigurieren von CORS.

  2. Stellen Sie sicher, dass der Clientcomputer auf Ressourcen und das Speicherkonto von Dokument Intelligenz zugreifen kann. Diese befinden sich entweder im selben VNET, oder die IP-Adresse des Clients ist auf der Einstellungsseite Netzwerk > Firewalls und virtuelle Netzwerke für die Ressource und das Speicherkonto von Dokument Intelligenz zugelassen.

• AuthorizationFailure:

  

  Lösung: Stellen Sie sicher, dass der Clientcomputer auf Ressourcen und das Speicherkonto von Dokument Intelligenz zugreifen kann. Diese befinden sich entweder im selben VNET, oder die IP-Adresse des Clients ist auf der Einstellungsseite Netzwerk > Firewalls und virtuellen Netzwerken für die Ressource und das Speicherkonto von Dokument Intelligenz zugelassen.

• ContentSourceNotAccessible:

  

  Lösung: Stellen Sie sicher, dass Sie der verwalteten Identität in Dokument Intelligenz die Rolle Storage-Blobdatenleser zugewiesen und den Zugriff auf vertrauenswürdige Dienste oder Ressourceninstanz-Regeln auf der Registerkarte Netzwerk erlaubt haben.

• AccessDenied:

  

  Lösung: Stellen Sie sicher, dass der Clientcomputer auf Ressourcen und das Speicherkonto von Dokument Intelligenz zugreifen kann. Diese befinden sich entweder im selben VNET, oder die IP-Adresse des Clients ist auf der Einstellungsseite Netzwerk > Firewalls und virtuellen Netzwerken für die Ressource und das Speicherkonto von Dokument Intelligenz zugelassen.

Nächste Schritte

Zugreifen auf Azure Storage über eine Web-App mit verwalteten Identitäten