Biztonságos hozzáférés konfigurálása felügyelt identitásokkal és virtuális hálózatokkal

Ez a tartalom a következőre vonatkozik::v4.0 (előzetes verzió)v3.1 (GA)v3.0 (GA)v2.1 (GA)

Ez az útmutató végigvezeti a dokumentumintelligencia-erőforrás biztonságos kapcsolatainak engedélyezésén. A következő kapcsolatokat biztonságossá teheti:

• Kommunikáció egy virtuális hálózaton (VNET) belüli ügyfélalkalmazás és a dokumentumintelligencia-erőforrás között.

• Kommunikáció a Document Intelligence Studio és a Dokumentumintelligencia-erőforrás között.

• Kommunikáció a Dokumentumintelligencia-erőforrás és egy tárfiók között (egyéni modell betanításakor szükséges).

A környezetet az erőforrások védelmére állítja be:

Előfeltételek

A kezdéshez a következők szükségesek:

• Aktív Azure-fiók – ha nem rendelkezik ilyen fiókkal, létrehozhat egy ingyenes fiókot.

• Dokumentumintelligencia- vagy Azure AI-szolgáltatási erőforrás az Azure Portalon. Részletes lépésekért lásd: Többszolgáltatásos erőforrás létrehozása.

• Egy Azure Blob Storage-fiók ugyanabban a régióban, mint a Dokumentumintelligencia-erőforrás. Tárolók létrehozása a blobadatok tárfiókon belüli tárolásához és rendszerezéséhez.

• Egy Azure-beli virtuális hálózat , amely ugyanabban a régióban található, mint a Dokumentumintelligencia-erőforrás. Hozzon létre egy virtuális hálózatot az alkalmazáserőforrások üzembe helyezéséhez modellek betanítása és dokumentumok elemzése érdekében.

• Egy Windows vagy Linux/Ubuntu rendszerű Azure-beli adatelemzési virtuális gép, amely opcionálisan üzembe helyez egy adatelemzési virtuális gépet a virtuális hálózaton a létesített biztonságos kapcsolatok teszteléséhez.

Erőforrások konfigurálása

Konfigurálja az egyes erőforrásokat úgy, hogy az erőforrások kommunikálhassanak egymással:

• Konfigurálja a Document Intelligence Studiót az újonnan létrehozott Dokumentumintelligencia-erőforrás használatára a beállítások lap eléréséhez és az erőforrás kiválasztásához.

• Győződjön meg arról, hogy a konfiguráció működik a Read API kiválasztásával és egy mintadokumentum elemzésével. Ha az erőforrás megfelelően lett konfigurálva, a kérés sikeresen befejeződött.

• Adjon hozzá egy betanítási adatkészletet egy tárolóhoz a létrehozott Storage-fiókban.

• Egyéni projekt létrehozásához válassza ki az egyéni modell csempét. Győződjön meg arról, hogy ugyanazt a dokumentumintelligencia-erőforrást és az előző lépésben létrehozott tárfiókot választja ki.

• Válassza ki a tárolót az előző lépésben feltöltött betanítási adatkészlettel. Győződjön meg arról, hogy ha a betanítási adatkészlet egy mappán belül van, a mappa elérési útja megfelelően van beállítva.

• Győződjön meg arról, hogy rendelkezik a szükséges engedélyekkel, a Studio beállítja a tárfiók eléréséhez szükséges CORS-beállítást. Ha nem rendelkezik az engedélyekkel, a folytatás előtt meg kell győződnie arról, hogy a CORS-beállítások konfigurálva vannak a Tárfiókban.

• Győződjön meg arról, hogy a Studio úgy van konfigurálva, hogy hozzáférjen a betanítási adatokhoz. Ha a dokumentumok a címkézési felületen jelennek meg, az összes szükséges kapcsolat létrejön.

Most már rendelkezik az alapértelmezett biztonsági modellel rendelkező Dokumentumintelligencia-megoldás létrehozásához szükséges összes összetevő működőképes implementációjával:

Ezután hajtsa végre a következő lépéseket:

• Felügyelt identitás konfigurálása a Dokumentumintelligencia-erőforráson.

• Biztonságossá teheti a tárfiókot, hogy csak bizonyos virtuális hálózatokról és IP-címekről korlátozza a forgalmat.

• Konfigurálja a dokumentumintelligencia által felügyelt identitást a tárfiókkal való kommunikációhoz.

• Tiltsa le a dokumentumintelligencia-erőforráshoz való nyilvános hozzáférést, és hozzon létre egy privát végpontot. Az erőforrás ezután csak meghatározott virtuális hálózatokról és IP-címekről érhető el.

• Adjon hozzá egy privát végpontot a tárfiókhoz egy kijelölt virtuális hálózaton.

• Győződjön meg arról, hogy modelleket taníthat be és elemezhet dokumentumokat a virtuális hálózaton belül.

Felügyelt identitás beállítása a dokumentumintelligencia-szolgáltatáshoz

Lépjen a Dokumentumintelligencia-erőforrásra az Azure Portalon, és válassza az Identitás lapot. Kapcsolja be a rendszer által hozzárendelt felügyelt identitást , és mentse a módosításokat:

A Tárfiók védelme

A biztonságos kommunikáció konfigurálásához navigáljon a Storage-fiók Hálózatkezelés lapjára az Azure Portalon.

1. A Tűzfalak és virtuális hálózatok területen válassza a Nyilvános hálózatok hozzáférési listájában a kiválasztott virtuális hálózatok és IP-címek közül az Engedélyezve lehetőséget.

2. Győződjön meg arról, hogy a Kivételek listában ki van jelölve, hogy a megbízható szolgáltatások listájában szereplő Azure-szolgáltatások hozzáférhessenek ehhez a tárfiókhoz.

3. Mentse a módosításokat.

Feljegyzés

A tárfiók nem lesz elérhető a nyilvános internetről.

Ha frissíti az egyéni modell címkézési oldalát a Studióban, hibaüzenet jelenik meg.

Tárterülethez való hozzáférés engedélyezése a Dokumentumintelligencia szolgáltatásból

Ahhoz, hogy a Dokumentumintelligencia-erőforrás hozzáférhessen a betanítási adatkészlethez, hozzá kell adnia egy szerepkör-hozzárendelést a felügyelt identitáshoz.

1. Az Azure Portal tárfiókablakában maradva lépjen a bal oldali navigációs sáv Hozzáférés-vezérlés (IAM) lapjára.

2. Válassza a Szerepkör-hozzárendelés hozzáadása gombot.

   

3. A Szerepkör lapon keresse meg és válassza ki a Storage Blob Adatolvasó engedélyét, majd válassza a Tovább gombot.

   

4. A Tagok lapon válassza a Felügyelt identitás lehetőséget, majd a + Tagok kijelölése lehetőséget

5. A Felügyelt identitások kiválasztása párbeszédpanelen válassza a következő beállításokat:

   • Előfizetés. Válassza ki előfizetését.

   • Felügyelt identitás. Válassza az Űrlap-felismerő lehetőséget.

   • Válassza ki. Válassza ki a felügyelt identitással engedélyezett Dokumentumintelligencia-erőforrást.

   

6. Zárja be a párbeszédpanel ablakát.

7. Végül válassza a Véleményezés + hozzárendelés lehetőséget a módosítások mentéséhez.

Nagyszerű! A Dokumentumintelligencia-erőforrást úgy konfigurálta, hogy felügyelt identitással csatlakozzon egy tárfiókhoz.

Tipp.

A Document Intelligence Studio kipróbálásakor látni fogja, hogy a READ API és más előre összeállított modellek nem igényelnek tárterület-hozzáférést a dokumentumok feldolgozásához. Az egyéni modellek betanítása azonban további konfigurációt igényel, mert a Studio nem tud közvetlenül kommunikálni egy tárfiókkal. A tárterület-hozzáférés engedélyezéséhez válassza az Ügyfél IP-címének hozzáadása lehetőséget a tárfiók Hálózatkezelés lapján úgy, hogy a gép IP-engedélyezési listával férhessen hozzá a tárfiókhoz.

Privát végpontok konfigurálása az s-ből való VNEThozzáféréshez

Feljegyzés

• Az erőforrások csak a virtuális hálózatról érhetők el.

• A Studio egyes dokumentumintelligencia-funkciói, például az automatikus címke megkövetelik, hogy a Document Intelligence Studio hozzáférhessen a tárfiókhoz.

• Adja hozzá a Studio 20.3.165.95-ös IP-címét a dokumentumintelligencia- és tárfiók-erőforrások tűzfalengedélyezési listájához. Ez a Document Intelligence Studio dedikált IP-címe, és biztonságosan engedélyezhető.

Amikor egy virtuális hálózatból csatlakozik az erőforrásokhoz, a privát végpontok hozzáadása biztosítja, hogy a tárfiók és a dokumentumintelligencia-erőforrás is elérhető legyen a virtuális hálózatról.

Ezután konfigurálja úgy a virtuális hálózatot, hogy csak a virtuális hálózaton vagy a hálózaton keresztüli forgalmi útválasztón belüli erőforrások férhessenek hozzá a Dokumentumintelligencia-erőforráshoz és a tárfiókhoz.

Tűzfalak és virtuális hálózatok engedélyezése

1. Az Azure Portalon keresse meg a Dokumentumintelligencia-erőforrást.

2. A bal oldali navigációs sávon válassza a Hálózatkezelés lapot.

3. Engedélyezze a Kiválasztott hálózatkezelés és privát végpontok lehetőséget a Tűzfalak és a virtuális hálózatok lapon, és válassza a Mentés lehetőséget.

Feljegyzés

Ha megpróbál hozzáférni a Document Intelligence Studio bármely funkcióhoz, egy hozzáférés-megtagadási üzenet jelenik meg. Ha engedélyezni szeretné a hozzáférést a gépén lévő Studióból, jelölje be az Ügyfél IP-címének hozzáadása jelölőnégyzetet, a hozzáférés visszaállításához pedig a Mentés jelölőnégyzetet.

A privát végpont konfigurálása

1. Lépjen a Privát végpont kapcsolatai lapra, és válassza ki a + Privát végpontot. Ekkor megnyitja a Privát végpont létrehozása párbeszédpanelt.

2. A Privát végpont létrehozása párbeszédpanelen válassza a következő beállításokat:

   • Előfizetés. Válassza ki a számlázási előfizetését.

   • Erőforráscsoport. Válassza ki a megfelelő erőforráscsoportot.

   • Név. Adja meg a privát végpont nevét.

   • Régió. Válassza ki ugyanazt a régiót, mint a virtuális hálózat.

   • Válassza a Tovább: Erőforrás lehetőséget.

   

A virtuális hálózat konfigurálása

1. Az Erőforrás lapon fogadja el az alapértelmezett értékeket, és válassza a Tovább: Virtuális hálózat lehetőséget.

2. A Virtuális hálózat lapon győződjön meg arról, hogy kiválasztja a létrehozott virtuális hálózatot.

3. Ha több alhálózattal rendelkezik, válassza ki azt az alhálózatot, amelyhez a privát végpontot csatlakoztatni szeretné. Fogadja el az alapértelmezett értéket az IP-cím dinamikus lefoglalásához.

4. Válassza a Tovább elemet : DNS

5. Fogadja el az alapértelmezett Igen értéket a privát DNS-zónával való integrációhoz.

   

6. Fogadja el a fennmaradó alapértelmezett értékeket, és válassza a Tovább: Címkék lehetőséget.

7. Válassza a Tovább: Ellenőrzés és létrehozás lehetőségre.

Szép munka! A dokumentumintelligencia-erőforrás most már csak a virtuális hálózatról és az IP-engedélyezési listán szereplő IP-címekről érhető el.

Privát végpontok konfigurálása tároláshoz

Lépjen a tárfiókjára az Azure Portalon.

1. A bal oldali navigációs menüBen válassza a Hálózatkezelés lapot.

2. Válassza a Privát végponti kapcsolatok lapot.

3. Válassza a Hozzáadás + Privát végpont lehetőséget.

4. Adjon meg egy nevet, és válassza ki ugyanazt a régiót, mint a virtuális hálózat.

5. Válassza a Tovább: Erőforrás lehetőséget.

   

6. Az erőforrás lapon válassza ki a blobot a Cél alerőforrás listájából.

7. válassza a Tovább: Virtuális hálózat lehetőséget.

   

8. Válassza ki a virtuális hálózatot és az alhálózatot. Győződjön meg arról, hogy az alhálózat összes privát végpontjának hálózati házirendjeinek engedélyezése be van jelölve, és a dinamikusan lefoglalt IP-cím engedélyezve van.

9. Válassza a Következő: DNS lehetőséget.

10. Győződjön meg arról, hogy az Igen engedélyezve van a privát DNS-zónával való integrációhoz.

11. Válassza a Következő: Címkék lehetőséget.

12. Válassza a Tovább: Ellenőrzés és létrehozás lehetőségre.

Szép munka! Most már rendelkezik a dokumentumintelligencia-erőforrás és a felügyelt identitások használatára konfigurált tároló közötti összes kapcsolattal.

Feljegyzés

Az erőforrások csak a virtuális hálózatról és az engedélyezett IP-címekről érhetők el.

A Studio hozzáférése és elemzése a Dokumentumintelligencia-erőforráshoz érkező kérések sikertelenek lesznek, kivéve, ha a kérés a virtuális hálózatról származik, vagy a virtuális hálózaton keresztül van irányítva.

Az üzembe helyezés ellenőrzése

Az üzembe helyezés ellenőrzéséhez üzembe helyezhet egy virtuális gépet (VM) a virtuális hálózaton, és csatlakozhat az erőforrásokhoz.

1. Konfiguráljon egy Adattudomány virtuális gépet a virtuális hálózaton.

2. Csatlakozzon távolról a virtuális géphez az asztalról, és nyisson meg egy böngésző munkamenetet, amely hozzáfér a Document Intelligence Studióhoz.

3. A kérések elemzése és a betanítási műveleteknek most már sikeresen működnie kell.

Ennyi az egész! Mostantól biztonságos hozzáférést konfigurálhat a dokumentumintelligencia-erőforráshoz felügyelt identitásokkal és privát végpontokkal.

Gyakori hibaüzenetek

• Nem sikerült elérni a Blob-tárolót:

  

  Megoldás:

  1. Konfigurálja a CORS-t.

  2. Győződjön meg arról, hogy az ügyfélszámítógép hozzáfér a Dokumentumintelligencia-erőforráshoz és a tárfiókhoz, vagy ugyanabban VNETaz állapotban van, vagy az ügyfél IP-címe engedélyezve van a hálózati > tűzfalakban és a virtuális hálózatokban mind a dokumentumintelligencia-erőforrás, mind a tárfiók beállítási lapján.

• AuthorizationFailure:

  

  Megoldás: Győződjön meg arról, hogy az ügyfélszámítógép hozzáfér a Dokumentumintelligencia-erőforráshoz és a tárfiókhoz, vagy ugyanabban VNETaz állapotban van, vagy az ügyfél IP-címe engedélyezve van a hálózati > tűzfalakban és a virtuális hálózatokban a Dokumentumintelligencia-erőforrás és a tárfiók beállításlapján.

• ContentSourceNotAccessible:

  

  Megoldás: Győződjön meg arról, hogy a dokumentumintelligencia által felügyelt identitásnak megadja a Storage Blob-adatolvasó és az engedélyezett megbízható szolgáltatások hozzáférését vagy az erőforráspéldány-szabályokat a hálózatkezelés lapon.

• AccessDenied:

  

  Megoldás: Ellenőrizze, hogy van-e kapcsolat a Document Intelligence Studióhoz hozzáférő számítógép és a Dokumentumintelligencia szolgáltatás között. Előfordulhat például, hogy engedélyeznie kell az ügyfél IP-címét a hálózati > tűzfalakban, valamint a virtuális hálózatok beállítási lapját mind a Dokumentumintelligencia-erőforrás, mind a tárfiók esetében.

Következő lépések

Az Azure Storage elérése webalkalmazásból felügyelt identitások használatával