Felügyelt identitások a dokumentumfordításhoz

  • Cikk

Az Azure-erőforrások felügyelt identitásai olyan szolgáltatásnevek, amelyek Létrehoznak egy Microsoft Entra-identitást, és meghatározott engedélyeket hoznak létre az Azure-beli felügyelt erőforrásokhoz. A felügyelt identitások biztonságosabban biztosítják a tárolási adatokhoz való hozzáférést, és felülírják a közös hozzáférésű jogosultságkódok (SAS) forrás- és cél URL-címekkel való használatára vonatkozó követelményt.

Screenshot of managed identity flow (RBAC).

  • Felügyelt identitásokkal hozzáférést biztosíthat a Microsoft Entra-hitelesítést támogató erőforrásokhoz, beleértve a saját alkalmazásait is.

  • Az Azure-erőforrásokhoz való hozzáférés biztosításához rendeljen hozzá egy Azure-szerepkört egy felügyelt identitáshoz azure-beli szerepköralapú hozzáférés-vezérléssel (Azure RBAC).

  • A felügyelt identitások azure-beli használata nem jár többletköltséggel.

Fontos

  • Felügyelt identitások használata esetén ne tartalmazzon SAS-jogkivonat URL-címét a HTTP-kérésekkel – a kérések sikertelenek lesznek. A felügyelt identitások használata felülírja a közös hozzáférésű jogosultságkódok (SAS) forrás- és cél URL-címekkel való hozzáadásának követelményét.

  • Ha felügyelt identitásokat szeretne használni a dokumentumfordítási műveletekhez, létre kell hoznia a Translator-erőforrást egy adott földrajzi Azure-régióban, például az USA keleti régiójában. Ha a Translator erőforrásrégió globális értékre van állítva, akkor nem használhat felügyelt identitást a dokumentumfordításhoz. Továbbra is használhat közös hozzáférésű jogosultságkód-jogkivonatokat (SAS) a dokumentumfordításhoz.

  • A dokumentumfordítás csak az S1 Standard szolgáltatáscsomagban (használatalapú fizetés) vagy a D3 mennyiségi kedvezménycsomagban érhető el. Tekintse meg azAzure AI-szolgáltatások díjszabását – Translator.

Előfeltételek

A kezdéshez a következők szükségesek:

  • Aktív Azure-fiók – ha nem rendelkezik ilyen fiókkal, létrehozhat egy ingyenes fiókot.

  • Egy egyszolgáltatásos Translator (nem többszolgáltatásos Azure AI-szolgáltatások) erőforrás, amely egy földrajzi régióhoz, például az USA nyugati régiójához van hozzárendelve. Részletes lépésekért lásd: Többszolgáltatásos erőforrás létrehozása.

  • Az Azure-beli szerepköralapú hozzáférés-vezérlés (Azure RBAC) rövid ismertetése az Azure Portal használatával.

  • Egy Azure Blob Storage-fiók ugyanabban a régióban, mint a Translator-erőforrás. Tárolókat is létre kell hoznia a blobadatok tárfiókon belüli tárolásához és rendszerezéséhez.

  • Ha a tárfiók tűzfal mögött található, engedélyeznie kell a következő konfigurációt:

    1. Nyissa meg az Azure Portalt, és jelentkezzen be Azure-fiókjába.

    2. Válassza ki a Tárfiókot.

    3. A bal oldali panel Biztonság + hálózatkezelés csoportjában válassza a Hálózatkezelés lehetőséget.

    4. A Tűzfalak és virtuális hálózatok lapon válassza az Engedélyezve lehetőséget a kiválasztott virtuális hálózatok és IP-címek közül.

      Screenshot: Selected networks radio button selected.

    5. Törölje az összes jelölőnégyzet kijelölését.

    6. Győződjön meg arról, hogy a Microsoft hálózati útválasztása be van jelölve.

    7. Az Erőforráspéldányok szakaszban válassza a Microsoft.CognitiveServices/accounts lehetőséget erőforrástípusként, és válassza ki a Translator-erőforrást a példány neveként.

    8. Győződjön meg arról, hogy a megbízható szolgáltatások listájában szereplő Azure-szolgáltatások hozzáférésének engedélyezése a tárfiókhoz jelölőnégyzet be van jelölve. A kivételek kezelésével kapcsolatos további információkért lásd: Azure Storage-tűzfalak és virtuális hálózatok konfigurálása.

      Screenshot: allow trusted services checkbox, portal view.

    9. Válassza a Mentés parancsot.

      Feljegyzés

      A hálózati módosítások propagálása akár 5 percet is igénybe vehet.

    Bár a hálózati hozzáférés most már engedélyezett, a Translator-erőforrás továbbra sem tud hozzáférni a Tárfiókban lévő adatokhoz. Létre kell hoznia egy felügyelt identitást, és hozzá kell rendelnie egy adott hozzáférési szerepkört a Translator-erőforráshoz.

Felügyelt identitás-hozzárendelések

A felügyelt identitások két típusa létezik: a rendszer által hozzárendelt és a felhasználó által hozzárendelt. A Dokumentumfordítás jelenleg a rendszer által hozzárendelt felügyelt identitást támogatja:

  • A rendszer által hozzárendelt felügyelt identitások közvetlenül egy szolgáltatáspéldányon vannak engedélyezve . Alapértelmezés szerint nincs engedélyezve; lépjen az erőforrásra, és frissítse az identitásbeállítást.

  • A rendszer által hozzárendelt felügyelt identitás az erőforráshoz kötődik az életciklusa során. Ha törli az erőforrást, a felügyelt identitás is törlődik.

A következő lépésekben engedélyezünk egy rendszer által hozzárendelt felügyelt identitást, és korlátozott hozzáférést biztosítunk a Translator-erőforrásnak az Azure Blob Storage-fiókhoz.

Rendszer által hozzárendelt felügyelt identitás engedélyezése

Blobok létrehozása, olvasása vagy törlése előtt hozzáférést kell adnia a Translator-erőforrásnak a tárfiókhoz. Miután engedélyezte a Translator-erőforrást egy rendszer által hozzárendelt felügyelt identitással, az Azure szerepköralapú hozzáférés-vezérlésével (Azure RBAC) hozzáférést biztosíthat a Translatornek az Azure Storage-tárolókhoz.

  1. Nyissa meg az Azure Portalt, és jelentkezzen be Azure-fiókjába.

  2. Válassza ki a Translator-erőforrást.

  3. A bal oldali panel Erőforrás-kezelés csoportjában válassza az Identitás lehetőséget.

  4. A Rendszerhez rendelt lapon kapcsolja be az Állapot váltógombot.

    Screenshot: resource management identity tab in the Azure portal.

    Fontos

    A felhasználó által hozzárendelt felügyelt identitás nem felel meg a kötegelt átírási tárfiók forgatókönyvére vonatkozó követelményeknek. Mindenképpen engedélyezze a rendszer által hozzárendelt felügyelt identitást.

  5. Válassza a Mentés lehetőséget.

Tárfiók-hozzáférés biztosítása a Translator-erőforráshoz

Fontos

A rendszer által hozzárendelt felügyelt identitás szerepkör hozzárendeléséhez Microsoft.Authorization/roleAssignments/write engedélyre van szükség, például Tulajdonos vagy Felhasználói hozzáférés Rendszergazda istratorra a tárerőforrás tárolási hatókörében.

  1. Nyissa meg az Azure Portalt, és jelentkezzen be Azure-fiókjába.

  2. Válassza ki a Translator-erőforrást.

  3. A bal oldali panel Erőforrás-kezelés csoportjában válassza az Identitás lehetőséget.

  4. Az Engedélyek területen válassza ki az Azure-szerepkör-hozzárendeléseket:

    Screenshot: enable system-assigned managed identity in Azure portal.

  5. A megnyitott Azure-szerepkör-hozzárendelések lapon válassza ki az előfizetését a legördülő menüből, majd válassza a + Szerepkör-hozzárendelés hozzáadása lehetőséget.

    Screenshot: Azure role assignments page in the Azure portal.

  6. Ezután rendeljen hozzá egy storage blobadat-közreműködői szerepkört a Translator szolgáltatás erőforrásához. A Storage Blob Data Contributor szerepkör olvasási, írási és törlési hozzáférést biztosít a Translatornek (amelyet a rendszer által hozzárendelt felügyelt identitás képvisel) a blobtárolóhoz és az adatokhoz. A Szerepkör-hozzárendelés hozzáadása előugró ablakban töltse ki a mezőket az alábbiak szerint, és válassza a Mentés lehetőséget:

    Mező Érték
    Hatókör Tárhely.
    Előfizetés A tárolási erőforráshoz társított előfizetés.
    Erőforrás A tárolási erőforrás neve.
    Szerepkör Tárolóblobadatok közreműködője.

    Screenshot: add role assignments page in the Azure portal.

  7. Miután megjelenik a Szerepkör-hozzárendelés hozzáadása megerősítő üzenet, frissítse a lapot a hozzáadott szerepkör-hozzárendelés megtekintéséhez.

    Screenshot: Added role assignment confirmation pop-up message.

  8. Ha nem látja azonnal az új szerepkör-hozzárendelést, várjon, és próbálkozzon újra a lap frissítésével. Szerepkör-hozzárendelések hozzárendelése vagy eltávolítása akár 30 percet is igénybe vehet, amíg a módosítások érvénybe lépnek.

    Screenshot: Azure role assignments window.

HTTP-kérések

  • Egy aszinkron kötegfordítási kérelmet küld a Translator szolgáltatás végpontjához egy POST-kérésen keresztül.

  • A felügyelt identitással és Azure RBACa sas URL-címekkel már nem kell szerepelnie.

  • Ha sikeres, a POST metódus válaszkódot 202 Accepted ad vissza, és a szolgáltatás létrehoz egy kötegkérelmet.

  • A lefordított dokumentumok megjelennek a céltárolóban.

Fejlécek

A dokumentumfordítási API-kérések a következő fejléceket tartalmazzák:

HTTP-fejléc Leírás
Ocp-Apim-Subscription-Key Kötelező: Az érték a Translator vagy az Azure AI-szolgáltatások erőforrásának Azure-kulcsa.
Content-Type Kötelező: Megadja a hasznos adat tartalomtípusát. Az elfogadott értékek az application/json vagy charset=UTF-8.

POST kérelem törzse

  • A kérelem URL-címe POST https://<NAME-OF-YOUR-RESOURCE>.cognitiveservices.azure.com/translator/text/batch/v1.1/batches.
  • A kérelem törzse egy JSON-objektum.inputs
  • Az inputs objektum a forrás- és targetURL célnyelvi párok mindkét sourceURL és tárolócímét tartalmazza. A rendszer által hozzárendelt felügyelt identitás esetén egyszerű tárfiók URL-címét használja (sas és egyéb kiegészítés nélkül). A formátum https://<storage_account_name>.blob.core.windows.net/<container_name>.
  • A prefix mezők ( suffix nem kötelező) segítségével szűrheti a tárolóban lévő dokumentumokat, beleértve a mappákat is.
  • A dokumentum lefordításakor a glossaries program a mező értékét alkalmazza (nem kötelező).
  • Az targetUrl egyes célnyelvek esetében egyedinek kell lennie.

Fontos

Ha egy azonos nevű fájl már létezik a célhelyen, a feladat sikertelen lesz. Felügyelt identitások használata esetén ne tartalmazzon SAS-jogkivonat URL-címét a HTTP-kérésekkel. Ha így tesz, a kérések sikertelenek lesznek.

Egy tároló összes dokumentumának fordítása

Ez a mintakérési törzs egy forrástárolóra hivatkozik, amely az összes dokumentumot célnyelvre fordítja le.

További információ: kérelemparaméterek.

{
    "inputs": [
        {
            "source": {
                "sourceUrl": "https://<storage_account_name>.blob.core.windows.net/<source_container_name>"
            },
            "targets": [
                {
                    "targetUrl": "https://<storage_account_name>.blob.core.windows.net/<target_container_name>"
                    "language": "fr"
                }
            ]
        }
    ]
}

Adott dokumentum fordítása egy tárolóban

Ez a mintakérési törzs egyetlen forrásdokumentumra hivatkozik, amelyet két célnyelvre szeretne lefordítani.

Fontos

A korábban feljegyzett kérelemparamétereken kívül tartalmaznia kell a következőt"storageType": "File": . Ellenkező esetben a forrás URL-címe a tároló szintjén van.

{
    "inputs": [
        {
            "storageType": "File",
            "source": {
                "sourceUrl": "https://<storage_account_name>.blob.core.windows.net/<source_container_name>/source-english.docx"
            },
            "targets": [
                {
                    "targetUrl": "https://<storage_account_name>.blob.core.windows.net/<target_container_name>/Target-Spanish.docx"
                    "language": "es"
                },
                {
                    "targetUrl": "https://<storage_account_name>.blob.core.windows.net/<target_container_name>/Target-German.docx",
                    "language": "de"
                }
            ]
        }
    ]
}

Egy tároló összes dokumentumának lefordítása egyéni szószedet használatával

Ez a mintakérési törzs egy forrástárolóra hivatkozik, amely az összes dokumentumot szószedet használatával lefordítja egy célnyelvre.

További információ: kérelemparaméterek.

{
    "inputs": [
        {
            "source": {
                "sourceUrl": "https://<storage_account_name>.blob.core.windows.net/<source_container_name>",
                "filter": {
                    "prefix": "myfolder/"
                }
            },
            "targets": [
                {
                    "targetUrl": "https://<storage_account_name>.blob.core.windows.net/<target_container_name>",
                    "language": "es",
                    "glossaries": [
                        {
                            "glossaryUrl": "https://<storage_account_name>.blob.core.windows.net/<glossary_container_name>/en-es.xlf",
                            "format": "xliff"
                        }
                    ]
                }
            ]
        }
    ]
}

Nagyszerű! Most ismerkedett meg a rendszer által hozzárendelt felügyelt identitás engedélyezésével és használatával. Az Azure-erőforrások felügyelt identitásával és Azure RBACa Translatornek adott hozzáférési jogosultságokat a tárerőforráshoz anélkül, hogy SAS-jogkivonatokat tartalmazott a HTTP-kérésekhez.

Következő lépések

Rövid útmutató: Ismerkedés a dokumentumfordítással

Oktatóanyag: Azure Storage elérése webalkalmazásból felügyelt identitások használatával