Compartir a través de


Identidades administradas para Document Intelligence

Este contenido se aplica a:checkmarkv4.0 (versión preliminar)checkmarkv3.1 (GA)checkmarkv3.0 (GA)checkmarkv2.1 (GA)

Las identidades administradas para los recursos de Azure son entidades de servicio que crean una identidad de Microsoft Entra y permisos específicos para los recursos administrados de Azure:

Screenshot of managed identity flow (RBAC).

  • Puede usar identidades administradas para conceder acceso a cualquier recurso que admita la autenticación de Microsoft Entra, incluidas sus propias aplicaciones. A diferencia de las claves de seguridad y los tokens de autenticación, las identidades administradas eliminan la necesidad de que los desarrolladores administren las credenciales.

  • Para conceder acceso a un recurso de Azure, asigne un rol de Azure a una identidad administrada mediante el control de acceso basado en roles de Azure (Azure RBAC).

  • El uso de identidades administradas en Azure no tiene ningún costo adicional.

Importante

  • Las identidades administradas eliminan la necesidad de administrar las credenciales, incluidos los tokens de firma de acceso compartido (SAS).

  • Las identidades administradas son una manera más segura de conceder acceso a los datos sin tener credenciales en el código.

Acceso de la cuenta de almacenamiento privado

Las identidades administradas para recursos de Azure admiten el acceso y la autenticación de la cuenta de almacenamiento privado de Azure. Si tiene una cuenta de almacenamiento Azure, protegida por una red virtual (VNet) o un cortafuegos, Document Intelligence no puede acceder directamente a los datos de su cuenta de almacenamiento. Sin embargo, una vez habilitada una identidad administrada, Document Intelligence puede acceder a su cuenta de almacenamiento utilizando una credencial de identidad administrada asignada.

Nota:

Requisitos previos

Para empezar, necesitará lo siguiente:

Asignaciones de identidad administrada

Hay dos tipos de identidad administrada: las asignadas por el sistema y las asignadas por el usuario. Actualmente, Document Intelligence solo admite la identidad administrada asignada por el sistema:

  • Una identidad administrada asignada por el sistema se habilita directamente en una instancia de servicio. No está habilitada de forma predeterminada; debe ir al recurso y actualizar la configuración de identidad.

  • La identidad administrada asignada por el sistema está vinculada al recurso a lo largo de su ciclo de vida. Si elimina el recurso, la identidad administrada se elimina también.

En los siguientes pasos, habilitaremos una identidad administrada asignada por el sistema y concederemos a Document Intelligence acceso limitado a su cuenta de almacenamiento blob de Azure.

Habilitación de una identidad administrada asignada por el sistema.

Importante

Para habilitar una identidad administrada asignada por el sistema, necesita permisos de Microsoft.Authorization/roleAssignments/write como, por ejemplo, Propietario o Administrador de acceso de usuarios. Puede especificar un ámbito en cuatro niveles: grupo de administración, suscripción, grupo de recursos o recurso.

  1. Inicie sesión en Azure Portal con una cuenta asociada a su suscripción de Azure.

  2. En Azure Portal, navegue hasta el recurso de Document Intelligence.

  3. En el raíl izquierdo, seleccione Identidad en la lista Administración de recursos:

    Screenshot of resource management identity tab in the Azure portal.

  4. En la ventana principal, cambie la pestaña Estado asignado por el sistema a On.

Conceder acceso a la cuenta de almacenamiento

Debe conceder a Document Intelligence acceso a su cuenta de almacenamiento para que pueda leer blobs. Ahora que ha habilitado Document Intelligence con una identidad administrada asignada por el sistema, puede utilizar el control de acceso basado en roles de Azure (Azure RBAC) para dar a Document Intelligence acceso al almacenamiento de Azure. El rol de Lector de datos de Blob de almacenamiento da a Document Intelligence (representado por la identidad administrada asignada por el sistema) acceso de lectura y de lista al contenedor de blob y a los datos.

  1. En Permisos, seleccione Asignaciones de roles de Azure:

    Screenshot of enable system-assigned managed identity in Azure portal.

  2. En la página Asignaciones de roles de Azure que se abre, elija su suscripción en el menú desplegable y, después, seleccione + Agregar asignación de roles.

    Screenshot of Azure role assignments page in the Azure portal.

    Nota:

    Si no puede asignar un rol en Azure Portal porque la opción Agregar > Agregar asignación de roles está deshabilitada o experimenta este error de permisos: "no tiene permisos para agregar la asignación de roles en este ámbito", compruebe que tiene una sesión iniciada actualmente como usuario con un rol asignado que disponga de permisos Microsoft.Authorization/roleAssignments/write como, por ejemplo, Propietario o Administrador de acceso de usuario en el ámbito de almacenamiento del recurso de almacenamiento.

  3. A continuación, va a asignar un rol de Lector de datos de bloques de almacenamiento a su recurso de servicio de Document Intelligence. En la ventana emergente Agregar asignación de roles, complete los campos como se muestra a continuación y seleccione Guardar:

    Campo Valor
    Ámbito Storage
    Suscripción La suscripción asociada al recurso de almacenamiento.
    Recurso El nombre del recurso de almacenamiento.
    Rol Lector de datos de blobs de almacenamiento: permite el acceso de lectura a los contenedores de blobs y a los datos de Azure Storage.

    Screenshot of add role assignments page in the Azure portal.

  4. Después de recibir el mensaje de confirmación Asignación de roles agregada, actualice la página para ver la asignación de roles agregada.

    Screenshot of Added role assignment confirmation pop-up message.

  5. Si no ve el cambio de inmediato, espere e intente actualizar la página una vez más. Al asignar o quitar asignaciones de roles, los cambios pueden tardar hasta 30 minutos en aplicarse.

    Screenshot of Azure role assignments window.

Ya está. Ha completado los pasos para habilitar una identidad administrada asignada por el sistema. Con la identidad administrada y RBAC de Azure, otorgó derechos de acceso específicos a Document Intelligence a su recurso de almacenamiento sin tener que administrar credenciales como tokens SAS.

Asignación de roles adicional para Document Intelligence Studio

Si va a usar Document Intelligence Studio y la cuenta de almacenamiento está configurada con restricciones de red (como firewall o red virtual) debe asignarse un rol adicional (colaborador de datos de Storage Blob) al servicio Document Intelligence. Document Intelligence Studio requiere este rol para escribir blobs en la cuenta de almacenamiento al realizar operaciones de etiquetado automático, actualización de OCR, supervisión humana en ML o uso compartido de proyectos.

Pasos siguientes