Configurer l'accès sécurisé avec des identités managées et des réseaux virtuels
Ce contenu s’applique à : v4.0 (préversion) v3.1 (GA) v3.0 (GA) v2.1 (GA)
Ce guide pratique vous guide tout au long du processus d’activation des connexions sécurisées pour votre ressource Document Intelligence. Vous pouvez sécuriser les connexions suivantes :
Communication entre une application cliente au sein d’un réseau virtuel (
VNET
) et de votre ressource d’Intelligence documentaire.Communication entre Document Intelligence Studio et votre ressource Document Intelligence.F
Communication entre votre ressource Document Intelligence et un compte de stockage (nécessaire lors de l’apprentissage d’un modèle personnalisé).
Vous configurez votre environnement pour sécuriser les ressources :
Prérequis
Pour commencer, vous avez besoin des éléments suivants :
Un compte Azure actif : si vous n’en avez pas, vous pouvez créer un compte gratuit.
Une ressource Intelligence documentaire ou Azure AI services dans le portail Azure. Pour plus d'informations sur les étapes, consultez Créer une ressource Azure AI services.
Un compte de stockage Blob Azure dans la même région que votre ressource Intelligence documentaire. Créez des conteneurs pour stocker et organiser vos données d’objet blob dans votre compte de stockage.
Un réseau virtuel Azure dans la même région que votre ressource Intelligence Document. Mettez en place un réseau virtuel pour déployer vos ressources d’application pour entraîner des modèles et analyser des documents.
Azure Data Science VM pour Windows ou Linux/Ubuntu pour déployer éventuellement une machine virtuelle de science des données dans le réseau virtuel afin de tester les connexions sécurisées établies.
Configuration des ressources
Configurez chacune des ressources pour vous assurer que les ressources peuvent communiquer entre elles :
Configurez Document Intelligence Studio pour utiliser la ressource Document Intelligence nouvellement créée en accédant à la page des paramètres et en sélectionnant la ressource.
Vérifiez que la configuration fonctionne en sélectionnant l’API Lecture et en analysant un exemple de document. Si la ressource a été configurée correctement, la requête s’effectue correctement.
Ajoutez un jeu de données d’entraînement à un conteneur dans le compte Stockage que vous avez créé.
Sélectionnez la vignette de modèle personnalisé pour créer un projet personnalisé. Veillez à sélectionner la même ressource Document Intelligence et le compte de stockage que vous avez créé à l’étape précédente.
Sélectionnez le conteneur avec le jeu de données d’apprentissage que vous avez chargé à l’étape précédente. Vérifiez que si le jeu de données d’apprentissage se trouve dans un dossier, le chemin d’accès au dossier est défini de manière appropriée.
Vérifiez que vous disposez des autorisations requises ; le studio définit le paramètre CORS requis pour accéder au compte de stockage. Si vous n’avez pas les autorisations, vous devez vous assurer que les paramètres CORS sont configurés sur le compte de stockage avant de pouvoir continuer.
Vérifiez que le studio est configuré pour accéder à vos données d’apprentissage. Si vous pouvez voir vos documents dans l’expérience d’étiquetage, c’est que toutes les connexions requises sont établies.
Vous disposez maintenant d’une implémentation opérationnelle de tous les composants nécessaires pour générer une solution de Document Intelligence avec le modèle de sécurité par défaut :
Ensuite, effectuez ces étapes :
Configurez l’identité managée sur la ressource Intelligence documentaire.
Sécurisez le compte de stockage pour limiter le trafic à partir de réseaux virtuels et d’adresses IP spécifiques.
Configurez l’identité managée Document Intelligence pour communiquer avec le compte de stockage.
Désactivez l’accès public à la ressource Intelligence documentaire et créez un point de terminaison privé. Votre ressource est alors accessible seulement depuis des réseaux virtuels et des adresses IP spécifiques.
Ajoutez un point de terminaison privé pour le compte de stockage sur un réseau virtuel sélectionné.
Vérifiez que vous pouvez effectuer l’apprentissage des modèles et analyser des documents à partir du réseau virtuel.
Configurer une identité managée pour Document Intelligence
Accédez à la ressource Document Intelligence dans le Portail Azure et sélectionnez l’onglet Identité. Faites basculer l’identité managée affectée par le système sur On et enregistrez les modifications :
Sécuriser le compte de stockage
Commencez à configurer des communications sécurisées en accédant à l’onglet Mise en réseau de votre compte Stockage dans le Portail Azure.
Sous Pare-feu et réseaux virtuels, choisissez Activé à partir des réseaux virtuels et adresses IP sélectionnés dans la liste Accès au réseau public.
Assurez-vous que Autoriser les services Azure figurant dans la liste des services approuvés à accéder à ce compte de stockage est sélectionné dans la liste Exceptions.
Enregistrez les changements apportés.
Notes
Votre compte de stockage ne sera pas accessible à partir de l’Internet public.
L’actualisation de la page d’étiquetage de modèle personnalisé dans Studio entraîne l’affichage d’un message d’erreur.
Activer l’accès au stockage à partir de Document Intelligence
Pour vous assurer que la ressource Document Intelligence peut accéder au jeu de données d’apprentissage, vous devez ajouter une attribution de rôle pour votre identité managée.
En restant dans la fenêtre du compte de stockage dans le Portail Azure, accédez à l’onglet Access Control (IAM) dans la barre de navigation de gauche.
Cliquez sur le bouton Ajouter une attribution de rôle.
Sous l’onglet Rôle, recherchez et sélectionnez l’autorisation Contributeur des données blob du stockage, puis sélectionnez Suivant.
Sous l’onglet Membres, sélectionnez l’option Identité managée, puis + Sélectionner des membres
Dans la boîte de dialogue Sélectionner des identités managées , sélectionnez les options suivantes :
Abonnement. Sélectionnez votre abonnement.
Identité managée. Sélectionnez Form Recognizer.
cochez la case. Choisissez la ressource Document Intelligence que vous avez activée avec une identité managée.
Fermez la fenêtre de dialogue.
Enfin, sélectionnez Vérifier + attribuer pour enregistrer vos modifications.
Très bien ! Vous avez configuré votre ressource d’Intelligence documentaire pour utiliser une identité managée pour vous connecter à un compte de stockage.
Conseil
Lorsque vous essayez le Document Intelligence Studio, l’API READ et d’autres modèles prédéfinis ne nécessitent pas d’accès au stockage pour traiter les documents. Toutefois, l’entraînement d’un modèle personnalisé nécessite une configuration supplémentaire, car Studio ne peut pas communiquer directement avec un compte de stockage. Vous pouvez activer l’accès au stockage en sélectionnant Ajouter votre adresse IP cliente à partir de l’onglet Mise en réseau du compte de stockage pour configurer votre ordinateur afin qu’il accède au compte de stockage via la liste d'adresses IP autorisées.
Configurer des points de terminaison privés pour l’accès depuis des réseaux virtuels (VNET
)
Remarque
Les ressources sont accessibles uniquement à partir du réseau virtuel.
Certaines fonctionnalités d’Intelligence documentaire dans Studio, telles que l’étiquette automatique, nécessitent que Document Intelligence Studio ait accès à votre compte de stockage.
Ajoutez l’adresse IP de notre studio (20.3.165.95) à la liste d’autorisation du pare-feu pour les ressources d’Intelligence documentaire et du Compte de stockage. Il s’agit de l’adresse IP dédiée de Document Intelligence Studio ; elle peut être autorisée en toute sécurité.
Lorsque vous vous connectez aux ressources à partir d’un réseau virtuel, l’ajout de points de terminaison privés garantit que le compte de stockage et la ressource Document Intelligence sont accessibles à partir du réseau virtuel.
Ensuite, vous configurez le réseau virtuel pour garantir que seules les ressources du réseau virtuel ou du routeur de trafic via le réseau ont accès à la ressource Document Intelligence et au compte de stockage.
Activer vos pare-feu et réseaux virtuels
Dans le Portail Azure, accédez à votre ressource Document Intelligence.
Sélectionnez l’onglet Mise en réseau dans la barre de navigation de gauche.
Activez l’option Mise en réseau et points de terminaison privés sélectionnés sous l’onglet Pare-feu et réseaux virtuels , puis sélectionnez Enregistrer.
Remarque
Si vous essayez d’accéder à l’une des fonctionnalités Document Intelligence Studio, un message d’accès refusé s’affiche. Pour permettre l'accès à partir du Studio sur votre machine, cochez la case Ajouter votre adresse IP client et Enregistrer pour restaurer l'accès.
Configurer votre point de terminaison privé
Accédez à l’onglet Connexions de points de terminaison privés, puis sélectionnez +Point de terminaison privé. Vous accédez à la boîte de dialogue Créer un point de terminaison privé.
Sur la boîte de dialogue Créer un point de terminaison privé, sélectionnez les options suivantes :
Abonnement. Sélectionnez votre abonnement de facturation.
Groupe de ressources. Sélectionnez un groupe de ressources approprié.
Nom. Entrez un nom pour votre point de terminaison privé.
Région. Sélectionnez la même région que votre réseau virtuel.
Sélectionnez Suivant : Ressource.
Configuration de votre réseau virtuel
Sous l’onglet Ressource, acceptez les valeurs par défaut, puis sélectionnez Suivant : Réseau virtuel.
Sous l’onglet Réseau virtuel, veillez à sélectionner le réseau virtuel que vous avez créé.
Si vous avez plusieurs sous-réseaux, sélectionnez le sous-réseau auquel vous souhaitez que le point de terminaison privé se connecte. Acceptez la valeur par défaut pour allouer dynamiquement l’adresse IP.
Sélectionnez Suivant : DNS
Acceptez la valeur par défaut Oui pour intégrer avec une zone DNS privée.
Acceptez les valeurs par défaut restantes, puis sélectionnez Suivant : Balises.
Sélectionnez Suivant : Vérifier + créer.
Bravo ! Votre ressource Document Intelligence est désormais accessible uniquement à partir du réseau virtuel et de toutes les adresses IP de la liste d’autorisation IP.
Configurez des points de terminaison privés pour le stockage
Accédez à votre compte de stockage sur le portail Azure.
Sélectionnez l’onglet Mise en réseau dans le menu de navigation de gauche.
Sélectionnez l’onglet Connexions de point de terminaison privé.
Choisissez ajouter + Point de terminaison privé.
Indiquez un nom et choisissez la même région que le réseau virtuel.
Sélectionnez Suivant : Ressource.
Sous l’onglet des ressources, sélectionnez blob dans la liste Sous-ressources cibles.
sélectionnez Suivant : réseau virtuel.
Sélectionnez le Réseau virtuel et le Sous-réseau. Vérifiez que Activer les stratégies réseau pour tous les points de terminaison privés de ce sous-réseau. est sélectionnée et que Allouer dynamiquement l’adresse IP est activé.
Sélectionnez Suivant : DNS.
Assurez-vous que Oui est activé pour Intégrer à une zone DNS privée.
Sélectionnez Suivant : Balises.
Sélectionnez Suivant : Vérifier + créer.
Beau travail ! Vous disposez maintenant de toutes les connexions entre le ressource Document Intelligence et le stockage configuré pour utiliser des identités managées.
Remarque
Les ressources ne sont accessibles qu'à partir du réseau virtuel et des IP autorisées.
L’accès au studio et les demandes d’analyse adressées à votre ressource Document Intelligence échouent, sauf si la demande provient du réseau virtuel ou est routée via le réseau virtuel.
Valider votre déploiement
Pour valider votre déploiement, vous pouvez déployer une machine virtuelle sur le réseau virtuel et vous connecter aux ressources.
Configurez une Data Science VM sur le réseau virtuel.
Connectez-vous à distance à la machine virtuelle depuis votre bureau pour lancer une session de navigateur qui accède à Studio d’intelligence documentaire.
Les demandes d’analyse et les opérations de formation doivent maintenant fonctionner correctement.
Et voilà ! Vous pouvez maintenant configurer l’accès sécurisé pour votre ressource Document Intelligence avec des identités managées et des points de terminaison privés.
Messages d’erreur courants
Échec de l’accès au conteneur d’objets blob :
Résolution :
Vérifiez que l’ordinateur client peut accéder à la ressource et au compte de stockage Intelligence documentaire, qu’ils se trouvent dans le même réseau virtuel (
VNET
), ou que l’adresse IP du client soit autorisée dans la page des paramètres Mise en réseau > Pare-feu et réseaux virtuels de la ressource et du compte de stockage Intelligence documentaire.
AuthorizationFailure:
Résolution : vérifiez que l’ordinateur client peut accéder à la ressource et au compte de stockage Intelligence documentaire, qu’ils soient dans le même réseau virtuel (
VNET
), ou que l’adresse IP du client soit autorisée dans la page de configuration Mise en réseau > Pare-feu et réseaux virtuels de la ressource et du compte de stockage Intelligence documentaire.ContentSourceNotAccessible :
Résolution : assurez-vous de donner à votre identité managée d’Intelligence documentaire le rôle Contributeur des données blob du stockage et que vous activez l’accès aux Services approuvés ou les règles d’Instance de ressource sous l’onglet de mise en réseau.
AccessDenied :
Résolution : vérifiez que l’ordinateur client peut accéder à la ressource et au compte de stockage Intelligence documentaire, qu’ils soient dans le même réseau virtuel (
VNET
), ou que l’adresse IP du client soit autorisée dans la page de configuration Mise en réseau > Pare-feu et réseaux virtuels de la ressource et du compte de stockage Intelligence documentaire.