Habilitar o deshabilitar el control de acceso basado en roles en Azure AI Search
Si desea utilizar el control de acceso basado en funciones de Azure para las conexiones a Azure AI Search, en este artículo se explica cómo habilitarlo para su servicio de búsqueda.
El acceso basado en roles para las operaciones del plano de datos es opcional, pero recomendable. La alternativa es autenticación basada en claves, que es el valor predeterminado.
Las funciones de administración de servicios (plano de control) están integradas y no pueden habilitarse ni deshabilitarse.
Nota:
El plano de datos se refiere a las operaciones contra el punto de conexión del servicio de búsqueda, como la indexación o las consultas, o cualquier otra operación especificada en la API de REST de búsqueda o en las bibliotecas de cliente Azure SDK equivalentes.
Requisitos previos
Propietario, Administrador de acceso de usuario, o un rol personalizado con permisos Microsoft.Authorization/roleAssignments/write.
Un servicio de búsqueda en cualquier región, en cualquier nivel, incluido el gratuito.
Habilitación del acceso basado en roles para las operaciones del plano de datos
Cuando habilita roles para el plano de datos, el cambio es efectivo inmediatamente, pero espere unos segundos antes de asignar roles.
El modo de error predeterminado es http401WithBearerChallenge
. Como alternativa, puede establecer el modo de error en http403
.
Una vez habilitado el acceso basado en roles, el servicio de búsqueda reconoce un encabezado de autorización en las solicitudes del plano de datos que proporcionan un token de acceso OAuth2.
Inicie sesión en Azure Portal y abra la página del servicio de búsqueda.
Seleccione Configuración, y luego seleccione Teclas en el panel de navegación izquierdo.
Elija Control basado en roles o Ambos si actualmente está utilizando claves y necesita tiempo para realizar la transición de los clientes al control de acceso basado en roles.
Opción Descripción Clave de API (valor predeterminado). Requiere claves de API en el encabezado de solicitud para la autorización. Control de acceso basado en rol Requiere la pertenencia a una asignación de roles para completar la tarea. También requiere un encabezado de autorización en la solicitud. Ambos Las solicitudes son válidas mediante una clave de API o un control de acceso basado en rol, pero si proporciona ambos en la misma solicitud, se usa la clave de API. Como administrador, si elige un enfoque de solo roles, asignar roles de plano de datos a su cuenta de usuario para restaurar el acceso administrativo completo a través de las operaciones del plano de datos en Azure Portal. Los roles incluyen Colaborador del servicio Search, Colaborador de datos de índice de búsqueda y Lector de datos de índice de búsqueda. Necesita los tres roles si desea acceso equivalente.
A veces, las asignaciones de roles pueden tardar entre cinco y diez minutos en surtir efecto. Hasta ese momento, aparece el mensaje siguiente en las páginas del portal usadas para las operaciones del plano de datos.
Deshabilitar el control de acceso basado en roles
Es posible deshabilitar el control de acceso basado en roles para las operaciones del plano de datos y utilizar en su lugar la autenticación basada en claves. Puede hacerlo como parte de un flujo de trabajo de prueba, por ejemplo, para descartar problemas de permisos.
Invierta los pasos que siguió anteriormente para habilitar el acceso basado en roles.
Inicia sesión en Azure Portal y abre la página del servicio de búsqueda.
Seleccione Configuración, y luego seleccione Teclas en el panel de navegación izquierdo.
Seleccione API Keys (Claves de API).
Deshabilitación de la autenticación de clave de API
El acceso mediante clave, o autenticación local, puede deshabilitarse en su servicio si utiliza exclusivamente las funciones integradas y la autenticación de Microsoft Entra. Deshabilitar las claves de API hace que el servicio de búsqueda rechace todas las solicitudes relacionadas con datos que pasan una clave de API en el encabezado.
Las claves API de administración pueden deshabilitarse, pero no eliminarse. Las claves de API de consulta se pueden eliminar.
Se requieren permisos de Propietario o Colaborador para deshabilitar las características de seguridad.
En Azure Portal, vaya al servicio de búsqueda.
En el panel de navegación izquierdo, seleccione Claves.
Seleccione Control de acceso basado en roles.
El cambio es efectivo inmediatamente, pero espere unos segundos antes de las pruebas. Suponiendo que tenga permiso para asignar roles como miembro con el rol Propietario, Administrador de servicios o Coadministrador, puede usar características del portal para probar el acceso basado en roles.
Limitaciones
El control de acceso basado en rol puede aumentar la latencia de algunas solicitudes. Cada combinación única de recursos de servicio (índice, indexador, etc.) y la entidad de servicio desencadena una comprobación de autorización. Estas comprobaciones de autorización pueden agregar hasta 200 milisegundos de latencia por solicitud.
En raras ocasiones, cuando las solicitudes se originan a partir de un gran número de entidades de servicio diferentes, todas dirigidas a recursos de servicio diferentes (índices, indexadores, etc.), es posible que las comprobaciones de autorización den lugar a una limitación. La limitación solo se produciría si se usaran cientos de combinaciones únicas de recursos del servicio Search y entidades de servicio en un segundo.
Pasos siguientes
Comentarios
https://aka.ms/ContentUserFeedback.
Próximamente: A lo largo de 2024 iremos eliminando gradualmente las Cuestiones de GitHub como mecanismo de retroalimentación para el contenido y lo sustituiremos por un nuevo sistema de retroalimentación. Para más información, consulta:Enviar y ver comentarios de