Configuración del servicio Azure AI Search en Azure Portal

La configuración del nuevo servicio Azure AI Search implica varias tareas para optimizar la seguridad, el acceso y el rendimiento. En este artículo se proporciona una lista de comprobación diaria para ayudarle a configurar el servicio en Azure Portal.

Después de crear un servicio de búsqueda, se recomienda:

• Configuración del acceso basado en roles
• Configuración de una identidad administrada
• Configuración de la seguridad de red
• Comprobación de la capacidad y comprensión de la facturación
• Habilitar registro de diagnóstico
• Proporcionar información de conexión a los desarrolladores

Configuración del acceso basado en roles

El acceso al portal se basa en las asignaciones de roles. De forma predeterminada, los nuevos servicios de búsqueda tienen al menos un administrador de servicios o propietario. Los administradores de servicios, los coadministradores y los propietarios tienen permiso para crear más administradores y asignar otros roles. También tienen acceso a todas las páginas y operaciones del portal en los servicios de búsqueda predeterminados.

Sugerencia

De forma predeterminada, cualquier administrador o propietario puede crear o eliminar servicios. Para evitar eliminaciones accidentales, considere la posibilidad de bloquear los recursos.

Cada servicio de búsqueda incluye claves de API y usa la autenticación basada en claves de forma predeterminada. Sin embargo, se recomienda usar el identificador de Entra de Microsoft y el control de acceso basado en rol (RBAC) para mejorar la seguridad. RBAC elimina la necesidad de almacenar y pasar claves de API en texto sin formato.

Al cambiar de la autenticación basada en claves a la autenticación sin claves, los administradores de servicios deben asignarse roles de plano de datos para obtener acceso total a objetos y datos. Estos roles incluyen Colaborador del servicio de búsqueda, Colaborador de datos de índice de búsqueda y Lector de datos de índice de búsqueda.

Para configurar el acceso basado en roles:

1. Habilitar roles en el servicio de búsqueda. Se recomienda usar tanto claves de API como roles.

2. Asigne roles de plano de datos para reemplazar la funcionalidad perdida al deshabilitar las claves de API. Un propietario solo necesita Lector de datos de índice de búsqueda, pero los desarrolladores necesitan más roles.

   Las asignaciones de roles pueden tardar varios minutos en surtir efecto. Hasta entonces, las páginas del portal usadas para las operaciones del plano de datos muestran el mensaje siguiente:

   

3. Asigne más roles para desarrolladores y aplicaciones de soluciones.

Configuración de una identidad administrada

Si tiene previsto usar indexadores para la indexación automatizada, la inteligencia artificial aplicada o la vectorización integrada, debe configurar el servicio de búsqueda para que use una identidad administrada. A continuación, puede asignar roles en otros servicios de Azure que autoricen al servicio de búsqueda para acceder a datos y operaciones.

Para la vectorización integrada, la identidad del servicio de búsqueda necesita los siguientes roles:

• Lector de datos de blob de almacenamiento en Azure Storage
• Usuario de datos de Cognitive Services en una cuenta de varios servicios de Azure AI

Las asignaciones de roles pueden tardar varios minutos en surtir efecto.

Antes de pasar a la seguridad de red, considere la posibilidad de probar todos los puntos de conexión para validar las asignaciones de roles. Ejecute el Asistente para importar datos o el Asistente para importar y vectorizar datos para probar los permisos.

Configuración de la seguridad de red

De forma predeterminada, un servicio de búsqueda acepta solicitudes autenticadas y autorizadas a través de conexiones de Internet públicas. Tiene dos opciones para mejorar la seguridad de red:

• Configure reglas de firewall para restringir el acceso de red por dirección IP.
• Configure un punto de conexión privado para permitir solo el tráfico desde redes virtuales de Azure. Tenga en cuenta que, al desactivar el punto de conexión público, los asistentes para importación no se ejecutarán.

Para más información sobre las llamadas entrantes y salientes en Azure AI Search, consulte Seguridad en Azure AI Search.

Comprobar la capacidad y comprender la facturación

De forma predeterminada, se crea un servicio de búsqueda con una réplica y una partición. Puede agregar capacidad agregando réplicas y particiones, pero se recomienda esperar hasta que los volúmenes lo requieran. Muchos clientes ejecutan cargas de trabajo de producción en la configuración mínima.

El clasificador semántico aumenta el costo de ejecutar el servicio. Si no desea usar esta característica, puede deshabilitar el clasificador semántico en el nivel de servicio.

Para más información sobre otras características que afectan a la facturación, consulte Cómo se le cobra por Azure AI Search.

Habilitar registro de diagnóstico

Habilite el registro de diagnóstico para realizar un seguimiento de la actividad del usuario. Si omite este paso, seguirá recibiendo automáticamente los registros de actividad y las métricas de la plataforma . Sin embargo, si desea obtener información de uso de índices y consultas, debe habilitar el registro de diagnóstico y elegir un destino para las operaciones registradas. Se recomienda el área de trabajo de Log Analytics para el almacenamiento duradero para poder ejecutar consultas del sistema en Azure Portal.

Internamente, Microsoft recopila datos de telemetría sobre el servicio y la plataforma. Para más información sobre la retención de datos, consulte Retención de métricas.

Para obtener más información sobre la ubicación y la privacidad de los datos, consulte Residencia de datos.

Habilitación del clasificador semántico

El clasificador semántico es gratuito para las primeras 1000 solicitudes al mes. Está habilitado de forma predeterminada en los servicios de búsqueda más recientes.

Para habilitar el clasificador semántico en el portal, seleccione SettingsSemantic ranker (Clasificador semántico>) en el panel izquierdo y, a continuación, seleccione el plan Gratis. Para más información, consulte Habilitación del clasificador semántico.

Proporcionar información de conexión a los desarrolladores

Para conectarse a Azure AI Search, los desarrolladores necesitan:

• Punto de conexión o dirección URL de la página Información general .
• Una clave de API de la página Claves o una asignación de roles. Se recomienda Colaborador del servicio de búsqueda, Colaborador de datos de índice de búsqueda y Lector de datos de índice de búsqueda.

Se recomienda el acceso al portal para el Asistente para importar datos, el Asistente para importar y vectorizar datos y el Explorador de búsqueda. Debe ser colaborador o superior para ejecutar los asistentes.

Contenido relacionado

Para obtener compatibilidad mediante programación con la administración de servicios, consulte las siguientes API y módulos:

• Referencia de API REST de administración
• Módulo Az.Search de PowerShell
• Módulo az search de la CLI de Azure

También puede usar las bibliotecas cliente de administración en los SDK de Azure para .NET, Python, Java y JavaScript.

Hay paridad de características en todas las modalidades y lenguajes, excepto en las características de administración en versión preliminar. Como regla general, las características de administración en versión preliminar se publican primero a través de la API REST de administración.