Configurer Video Indexer pour qu’il fonctionne avec des comptes de stockage derrière le pare-feu
Lorsque vous créez un compte Video Indexer, vous devez l’associer à un compte Stockage Azure. Les comptes de stockage pour VI doivent être un compte de stockage v2 universel standard. Video Indexer peut accéder au compte de stockage à l’aide de l’authentification système ou de l’authentification d’identité managée. Video Indexer vérifie que l’utilisateur qui ajoute l’association a accès au compte de stockage avec le contrôle d’accès en fonction du rôle (RBAC) Azure Resource Manager.
Si vous souhaitez utiliser un pare-feu pour sécuriser votre compte de stockage et activer le stockage approuvé, l’authentification des identités managées qui permet à Video Indexer d’accéder via le pare-feu est l’option préférée. Il permet à Video Indexer d’accéder au compte de stockage configuré sans avoir besoin d’un accès public pour l’accès de stockage approuvé.
Important
Il est important de comprendre les implications si vous verrouillez vos comptes de stockage sans accès public, en particulier par rapport au portail Video Indexer. L’adresse IP source de l’appareil client est essentielle dans ce scénario. Si le compte de stockage est verrouillé et n’a pas d’exception pour l’adresse IP source, l’accès à l’URL SAP du fichier source vidéo est refusé. Cela s’applique au téléchargement et au streaming de contenu vidéo.
Pour garantir un accès transparent, nous vous recommandons de travailler en étroite collaboration avec votre administrateur réseau/stockage pour répondre à ces exigences. Utilisez votre réseau d’entreprise, un VPN ou Azure Private Link pour fournir la connectivité nécessaire pendant que vous maintenez la posture de sécurité de vos comptes de stockage.
Par exemple, Azure Private Link offre un moyen sécurisé d’accéder aux services Azure en privé à partir de votre réseau virtuel. Il simplifie l’architecture réseau et sécurise la connexion entre les points de terminaison dans Azure en éliminant l’exposition des données à l’internet public.
Toutes les modifications apportées aux configurations réseau doivent être soigneusement planifiées et testées pour éviter d’interrompre l’accès aux services et ressources essentiels.
Suivez ces étapes pour activer l’identité managée pour le stockage, puis verrouiller votre compte de stockage. Il est supposé que vous avez déjà créé un compte Video Indexer et associé au compte de stockage.
Attribuer l’identité managée et le rôle
Suivez toutes les étapes de création d’un compte Azure AI Video Indexer, mais utilisez également les étapes ci-dessous :
- Lorsque vous sélectionnez Attribuer un rôle, les rôles suivants sont attribués :
Azure Media Services : Contributor
etAzure Storage : Storage Blob Data Owner
. Vous pouvez vérifier ou définir manuellement des affectations en accédant au menu Identité de votre compte Video Indexer et en sélectionnant Attributions de rôles Azure. - Accédez à votre compte de stockage. Sélectionnez Mise en réseau dans le menu, puis sélectionnez Activé dans les réseaux virtuels et adresses IP sélectionnés dans la section Accès au réseau public.
- Sous Exceptions, vérifiez que l’option Autoriser les services Azure dans la liste des services approuvés à accéder à ce compte de stockage est sélectionnée.
Charger à partir d’un compte de stockage verrouillé
Lorsque vous chargez un fichier dans Video Indexer, vous pouvez fournir un lien vers une vidéo à l’aide d’un localisateur SAP. Si le compte de stockage hébergeant la vidéo n’est pas accessible publiquement, utilisez l’approche d’identité managée et de service approuvé. Étant donné qu’il n’existe aucun moyen de savoir si une URL SAP pointe vers un compte de stockage verrouillé, définissez explicitement le paramètre useManagedIdentityToDownloadVideo
true
de requête sur dans l’appel d’API upload-video.
Vous devez également définir le rôle Azure Storage : Storage Blob Data Owner
sur ce compte de stockage comme vous l’avez fait avec le compte de stockage.