Compartir por


Identidades administradas para Document Intelligence

Este contenido se aplica a: marca de verificación v4.0 (versión preliminar) marca de verificación v3.1 (GA) marca de verificación v3.0 (GA) marca de verificación v2.1 (GA)

Las identidades administradas para los recursos de Azure son entidades de servicio que crean una identidad de Microsoft Entra y permisos específicos para los recursos administrados de Azure:

Captura de pantalla de flujo de identidad administrada (RBAC).

  • Las identidades administradas conceden acceso a cualquier recurso compatible con la autenticación de Microsoft Entra, incluidas sus propias aplicaciones. A diferencia de las claves de seguridad y los tokens de autenticación, las identidades administradas eliminan la necesidad de que los desarrolladores administren las credenciales.

  • Puede otorgar acceso a un recurso de Azure y asignar un rol de Azure a una identidad administrada usando Control de acceso basado en roles de Azure (Azure RBAC). El uso de identidades administradas en Azure no tiene ningún costo adicional.

Importante

  • Las identidades administradas eliminan la necesidad de administrar las credenciales, incluidos los tokens de firma de acceso compartido (SAS).

  • Las identidades administradas son una manera más segura de conceder acceso a los datos sin tener credenciales en el código.

Acceso de la cuenta de almacenamiento privado

Las identidades administradas para recursos de Azure admiten el acceso y la autenticación de la cuenta de almacenamiento privado de Azure. Si tiene una cuenta de almacenamiento en Azure, protegida por una red virtual (VNet) o un firewall, Document Intelligence no puede acceder directamente a los datos de su cuenta de almacenamiento. Sin embargo, una vez habilitada una identidad administrada, Document Intelligence puede acceder a su cuenta de almacenamiento utilizando una credencial de identidad administrada asignada.

Nota:

Requisitos previos

Para empezar, necesitará lo siguiente:

Asignaciones de identidad administrada

Hay dos tipos de identidad administrada: las asignadas por el sistema y las asignadas por el usuario. Actualmente, Document Intelligence solo admite la identidad administrada asignada por el sistema:

  • Una identidad administrada asignada por el sistema se habilita directamente en una instancia de servicio. No está habilitada de forma predeterminada; debe ir al recurso y actualizar la configuración de identidad.

  • La identidad administrada asignada por el sistema está vinculada al recurso a lo largo de su ciclo de vida. Si elimina el recurso, la identidad administrada se elimina también.

En los siguientes pasos, habilitaremos una identidad administrada asignada por el sistema y concederemos a Document Intelligence acceso limitado a su cuenta de almacenamiento blob de Azure.

Habilitación de una identidad administrada asignada por el sistema.

Importante

Para habilitar una identidad administrada asignada por el sistema, necesita permisos de Microsoft.Authorization/roleAssignments/write como, por ejemplo, Propietario o Administrador de acceso de usuarios. Puede especificar un ámbito en cuatro niveles: grupo de administración, suscripción, grupo de recursos o recurso.

  1. Inicie sesión en Azure Portal con una cuenta asociada a su suscripción de Azure.

  2. En Azure Portal, navegue hasta el recurso de Document Intelligence.

  3. En el raíl izquierdo, seleccione Identidad en la lista Administración de recursos:

    Captura de pantalla de la pestaña de recuirso identidad administrada en Azure Portal.

  4. En la ventana principal, cambie la pestaña Estado asignado por el sistema a On.

Conceder acceso a la cuenta de almacenamiento

Debe conceder a Document Intelligence acceso a su cuenta de almacenamiento para que pueda leer blobs. Ahora que el acceso a Document Intelligence está habilitado con una identidad administrada asignada por el sistema, puede usar el control de acceso basado en roles de Azure (Azure RBAC), para dar acceso a Document Intelligence al almacenamiento de Azure. El rol de Lector de datos de Blob de almacenamiento da a Document Intelligence (representado por la identidad administrada asignada por el sistema) acceso de lectura y de lista al contenedor de blob y a los datos.

  1. En Permisos, seleccione Asignaciones de roles de Azure:

    Captura de pantalla de habilitación de la identidad administrada asignada por el sistema en Azure Portal.

  2. En la página Asignaciones de roles de Azure que se abre, elija su suscripción en el menú desplegable y, después, seleccione + Agregar asignación de roles.

    Captura de pantalla de la página de asignación de roles de Azure en Azure Portal.

    Nota:

    Si no puede asignar un rol en Azure Portal porque la opción Agregar > Agregar asignación de roles está deshabilitada o experimenta este error de permisos: "no tiene permisos para agregar la asignación de roles en este ámbito", compruebe que tiene una sesión iniciada actualmente como usuario con un rol asignado que disponga de permisos Microsoft.Authorization/roleAssignments/write como, por ejemplo, Propietario o Administrador de acceso de usuario en el ámbito de almacenamiento del recurso de almacenamiento.

  3. A continuación, va a asignar un rol de Lector de datos de bloques de almacenamiento a su recurso de servicio de Document Intelligence. En la ventana emergente Add role assignment, complete los campos como se indica a continuación y seleccione Guardar:

    Campo Valor
    Ámbito Storage
    Suscripción La suscripción asociada al recurso de almacenamiento.
    Recurso El nombre del recurso de almacenamiento.
    Rol Lector de datos de blobs de almacenamiento: permite el acceso de lectura a los contenedores de blobs y a los datos de Azure Storage.

    Captura de pantalla de la página de asignación de roles en Azure Portal.

  4. Después de recibir el mensaje de confirmación Asignación de roles agregada, actualice la página para ver la asignación de roles agregada.

    Captura de pantalla del mensaje emergente de confirmación de asignación de roles agregados.

  5. Si no ve el cambio de inmediato, espere e intente actualizar la página una vez más. Al asignar o quitar asignaciones de roles, los cambios pueden tardar hasta 30 minutos en aplicarse.

    Captura de pantalla de la ventana de asignaciones de roles de Azure.

Eso es todo. Ha completado los pasos para habilitar una identidad administrada asignada por el sistema. Con la identidad administrada y RBAC de Azure, otorgó derechos de acceso específicos a Document Intelligence a su recurso de almacenamiento sin tener que administrar credenciales como tokens SAS.

Otras asignaciones de rol para Document Intelligence Studio

Si va a usar Document Intelligence Studio y la cuenta de almacenamiento está configurada con restricciones de red (como firewall o red virtual) debe asignarse un rol adicional (colaborador de datos de Storage Blob) al servicio Document Intelligence. Document Intelligence Studio requiere este rol para escribir blobs en la cuenta de almacenamiento al realizar operaciones de etiquetado automático, supervisión humana o compartir/actualizar proyectos.

Recorte de pantalla de la asignación del rol de colaborador de datos de blobs de almacenamiento.

Pasos siguientes