Csatlakozás Azure AI Search szolgáltatásba azure-beli szerepköralapú hozzáférés-vezérléssel (Azure RBAC)

Az Azure globális szerepköralapú hozzáférés-vezérlési engedélyezési rendszert biztosít a platformon futó összes szolgáltatáshoz. Az Azure AI Searchben az Azure-szerepkörök a következő célokra használhatók:

• Síkműveletek vezérlése (szolgáltatásfelügyeleti feladatok az Azure Resource Manageren keresztül).

• Adatsík-műveletek, például indexek létrehozása, betöltése és lekérdezése.

A felhasználónkénti hozzáférés a keresési eredményekhez (más néven sorszintű biztonsághoz vagy dokumentumszintű biztonsághoz) nem támogatott. Áthidaló megoldásként hozzon létre olyan biztonsági szűrőket, amelyek felhasználói identitás alapján vágják le az eredményeket, eltávolítva azokat a dokumentumokat, amelyekhez a kérelmezőnek nem kellene hozzáféréssel rendelkeznie.

Megjegyzés:

Az Azure AI Searchben a "vezérlősík" a Felügyeleti REST API-ban vagy azzal egyenértékű ügyfélkódtárakban támogatott műveletekre vonatkozik. Az "adatsík" a keresési szolgáltatásvégponton végzett műveletekre utal, például indexelésre vagy lekérdezésekre, vagy a Search REST API-ban vagy az azzal egyenértékű ügyfélkódtárakban megadott bármely más műveletre.

A keresésben használt beépített szerepkörök

A következő szerepkörök vannak beépítve. Ha ezek a szerepkörök nem elegendőek, hozzon létre egy egyéni szerepkört.

Role	Sík	Leírás
Owner	Adatok szabályozása &	A keresési erőforrás vezérlősíkjának teljes hozzáférése, beleértve az Azure-szerepkörök hozzárendelését is. Csak a tulajdonosi szerepkör engedélyezheti vagy tilthatja le a hitelesítési beállításokat, illetve kezelheti a szerepköröket más felhasználók számára. Az előfizetés-rendszergazdák alapértelmezés szerint tagok. Az adatsíkon ez a szerepkör ugyanazzal a hozzáféréssel rendelkezik, mint a keresési szolgáltatás közreműködői szerepköre. Ez magában foglalja az összes adatsík-művelethez való hozzáférést, kivéve a dokumentumok lekérdezésének vagy indexelésének lehetőségét.
Contributor	Adatok szabályozása &	A vezérlősíkhoz való hozzáférés szintje megegyezik a tulajdonossal, és nincs lehetőség szerepkörök hozzárendelésére vagy a hitelesítési beállítások módosítására. Az adatsíkon ez a szerepkör ugyanazzal a hozzáféréssel rendelkezik, mint a keresési szolgáltatás közreműködői szerepköre. Ez magában foglalja az összes adatsík-művelethez való hozzáférést, kivéve a dokumentumok lekérdezésének vagy indexelésének lehetőségét.
Reader	Adatok szabályozása &	Olvasási hozzáférés a teljes szolgáltatásban, beleértve a keresési metrikákat, a tartalommetrikákat (felhasznált tárterület, objektumok száma) és az adatsík-erőforrások (indexek, indexelők stb.) objektumdefinícióit. Azonban nem tudja olvasni az API-kulcsokat, és nem tud tartalmat olvasni az indexekben.
Keresési szolgáltatás közreműködője	Adatok szabályozása &	Olvasási-írási hozzáférés objektumdefiníciókhoz (indexek, szinonimák térképei, indexelők, adatforrások és képességkészletek). Tekintse meg Microsoft.Search/searchServices/* az engedélyek listáját. Ez a szerepkör nem fér hozzá az indexek tartalmához, így nincs lekérdezés vagy indexelés, de létrehozhat, törölhet és listázhat indexeket, visszaadhat indexdefiníciókat és statisztikákat, valamint tesztelemzőket. Ez a szerepkör a keresési szolgáltatás rendszergazdáinak szól, akiknek a keresési szolgáltatást és annak objektumait kell kezelniük, de tartalomhozzáférés nélkül.
Keresési index adatszolgáltatója	Adat	Olvasási-írási hozzáférés a keresési szolgáltatás összes indexében lévő tartalomhoz. Ez a szerepkör azoknak a fejlesztőknek vagy indextulajdonosoknak szól, akiknek importálni, frissíteniük vagy le kell kérdezniük egy index dokumentumgyűjteményét.
Keresési index adatolvasója	Adat	Írásvédett hozzáférés a keresési szolgáltatás összes keresési indexéhez. Ez a szerepkör a lekérdezéseket futtató alkalmazások és felhasználók számára készült.

Megjegyzés:

Ha letiltja az Azure szerepköralapú hozzáférését, a vezérlősík beépített szerepkörei (Tulajdonos, Közreműködő, Olvasó) továbbra is elérhetők maradnak. Az Azure RBAC letiltása csak az ezekhez a szerepkörökhöz társított adatokhoz kapcsolódó engedélyeket távolítja el. Letiltott RBAC-forgatókönyv esetén a keresési szolgáltatás közreműködője egyenértékű a vezérlősík közreműködőivel.

Limitations

• A szerepköralapú hozzáférés-vezérlés bevezetése növelheti egyes kérések késését. A kérelemben használt szolgáltatáserőforrás (index, indexelő stb.) és a szolgáltatásnév minden egyedi kombinációja engedélyezési ellenőrzést indít el. Ezek az engedélyezési ellenőrzések akár 200 ezredmásodperc késést is adhatnak egy kéréshez.

• Ritka esetekben, amikor a kérések számos különböző szolgáltatásnévből származnak, amelyek mindegyike különböző szolgáltatáserőforrásokat (indexeket, indexelőket stb.) céloz meg, az engedélyezési ellenőrzések szabályozást eredményezhetnek. A szabályozás csak akkor történne, ha a keresési szolgáltatás erőforrásának és a szolgáltatásnévnek több száz egyedi kombinációját használnák egy másodpercen belül.

Szerepköralapú hozzáférés konfigurálása adatsíkhoz

A következőkre vonatkozik: Keresési index adatszolgáltatója, Keresési index adatolvasója, Keresési szolgáltatás közreműködője

Ebben a lépésben konfigurálja a keresési szolgáltatást úgy, hogy felismerjen egy engedélyezési fejlécet az OAuth2 hozzáférési jogkivonatot biztosító adatkéréseken.

Azure Portal

1. Jelentkezzen be az Azure Portalra , és nyissa meg a keresési szolgáltatás oldalát.

2. A bal oldali navigációs panelen válassza a Kulcsok lehetőséget.

   

3. Válasszon egy API-hozzáférés-vezérlési lehetőséget. Mindkettőt javasoljuk, ha rugalmasságot szeretne, vagy alkalmazásokat szeretne migrálni.

   Beállítás	Leírás
   API-kulcs	(alapértelmezett). A kérelem fejlécében rendszergazdai vagy lekérdezési API-kulcs szükséges az engedélyezéshez. A rendszer nem használ szerepköröket.
   Role-based access control	A következő lépésben ismertetett feladat elvégzéséhez tagságra van szükség egy szerepkör-hozzárendelésben. Egy engedélyezési fejlécet is igényel.
   Both	A kérelmek API-kulccsal vagy szerepköralapú hozzáférés-vezérléssel érvényesek.

A módosítás azonnal érvényes, de várjon néhány másodpercet a tesztelés előtt.

A keresési szolgáltatás műveleteire és tartalmára vonatkozó összes hálózati hívás tiszteletben tartja a választott beállítást: API-kulcsokat, tulajdonosi jogkivonatot, vagy bármelyiket, ha mindkettőt választja.

Ha engedélyezi a szerepköralapú hozzáférés-vezérlést a portálon, a hiba mód "http401WithBearerChallenge", ha az engedélyezés sikertelen.

REST API

A Felügyeleti REST API létrehozási vagy frissítési szolgáltatásával konfigurálhatja a szolgáltatást a szerepköralapú hozzáférés-vezérléshez.

A Felügyeleti REST API-ba irányuló összes hívás hitelesítése a Microsoft Entra-azonosítón keresztül történik, közreműködői vagy tulajdonosi engedélyekkel. Ha segítségre van szüksége a hitelesített kérések Postmanben való beállításához, olvassa el az Azure AI Search REST használatával történő kezelését.

1. Kérje le a szolgáltatásbeállításokat, hogy áttekinthesse az aktuális konfigurációt.

   GET https://management.azure.com/subscriptions/{{subscriptionId}}/providers/Microsoft.Search/searchServices?api-version=2023-11-01
   

2. A szolgáltatáskonfiguráció frissítéséhez használja a PATCH-et. Az alábbi módosítások lehetővé teszik a kulcsokat és a szerepköralapú hozzáférést is. Ha csak szerepköröket szeretne konfigurálni, olvassa el az API-kulcsok letiltása című témakört.

   A "tulajdonságok" területen állítsa az "authOptions" értéket "aadOrApiKey" értékre. Az "authOptions" beállításához a "disableLocalAuth" tulajdonságnak hamisnak kell lennie.

   Ha a hitelesítés sikertelen, állítsa be az "aadAuthFailureMode" értéket annak megadására, hogy a rendszer a 401-es értéket adja-e vissza a 403 helyett. Az érvényes értékek a "http401WithBearerChallenge" vagy a "http403".

   PATCH https://management.azure.com/subscriptions/{{subscriptionId}}/resourcegroups/{{resource-group}}/providers/Microsoft.Search/searchServices/{{search-service-name}}?api-version=2023-11-01
   {
       "properties": {
           "disableLocalAuth": false,
           "authOptions": {
               "aadOrApiKey": {
                   "aadAuthFailureMode": "http401WithBearerChallenge"
               }
           }
       }
   }
   

3. Az adatsík-műveletek szerepköreinek hozzárendeléséhez kövesse a következő lépés utasításait.

Assign roles

A szerepkör-hozzárendelések összesítőek és áthatóak az összes eszköz és ügyfélkódtár között. Szerepköröket az Azure szerepköralapú hozzáférés-vezérlési dokumentációjában ismertetett támogatott megközelítések bármelyikével hozzárendelhet.

Tulajdonosnak kell lennie, vagy Microsoft.Authorization/roleAssignments/write engedélyekkel kell rendelkeznie a szerepkör-hozzárendelések kezeléséhez.

Azure Portal

A szerepkör-hozzárendelések a portálon szolgáltatásszintűek. Ha egyetlen indexhez szeretne engedélyeket adni, használja inkább a PowerShellt vagy az Azure CLI-t.

1. Jelentkezzen be az Azure Portalra.

2. Lépjen a keresési szolgáltatáshoz.

3. A bal oldali navigációs panelen válassza a Hozzáférés-vezérlés (IAM) lehetőséget.

4. Válassza a + Hozzáadás>Szerepkör-hozzárendelés hozzáadása lehetőséget.

   

5. Válasszon ki egy megfelelő szerepkört:

   • Owner
   • Közreműködő
   • Olvasó
   • Keresési szolgáltatás közreműködője
   • Keresési index adatszolgáltatója
   • Keresési index adatolvasója

6. A Tagok lapon válassza ki a Microsoft Entra felhasználót vagy csoportdentitást.

7. A szerepkör hozzárendeléséhez a Felülvizsgálat + hozzárendelés lapon válassza a Felülvizsgálat + hozzárendelés lehetőséget.

PowerShell

Amikor a PowerShellt szerepkörök hozzárendelésére használja, hívja meg a New-AzRoleAssignment parancsot, és adja meg az Azure-felhasználó vagy csoport nevét és a hozzárendelés hatókörét.

A kezdés előtt mindenképpen töltse be az Az és az AzureAD modulokat, és csatlakozzon az Azure-hoz:

Import-Module -Name Az
Import-Module -Name AzureAD
Connect-AzAccount

Ez a példa létrehoz egy keresési szolgáltatás hatókörébe tartozó szerepkör-hozzárendelést:

New-AzRoleAssignment -SignInName <email> `
    -RoleDefinitionName "Search Index Data Contributor" `
    -Scope  "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Search/searchServices/<search-service>"

Ez a példa létrehoz egy szerepkör-hozzárendelést, amely egy adott indexre terjed ki:

New-AzRoleAssignment -SignInName <email> `
    -RoleDefinitionName "Search Index Data Contributor" `
    -Scope  "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Search/searchServices/<search-service>/indexes/<index-name>"

Ne feledje, hogy csak a legfelső szintű erőforrásokhoz, például indexekhez, szinonimatérképekhez, indexelőkhöz, adatforrásokhoz és képességkészletekhez férhet hozzá. Azure-szerepkörökkel nem szabályozhatja a keresési dokumentumokhoz (indextartalmakhoz) való hozzáférést.

Szerepkör-hozzárendelések tesztelése

Szerepkör-hozzárendelések tesztelése ügyfél használatával. Ne feledje, hogy a szerepkörök halmozott és örökölt szerepkörök, amelyek hatóköre az előfizetésre vagy erőforráscsoportra terjed ki, nem törölhető vagy nem tagadható meg az erőforrás (keresési szolgáltatás) szintjén.

A hozzáférés tesztelése előtt győződjön meg arról, hogy az ügyfélalkalmazást a Microsoft Entra-azonosítóval regisztrálja, és rendelkezik szerepkör-hozzárendelésekkel.

Azure Portal

1. Jelentkezzen be az Azure Portalra.

2. Lépjen a keresési szolgáltatáshoz.

3. Az Áttekintés lapon válassza az Indexek lapot:

   • A közreműködők bármilyen objektumot megtekinthetnek és létrehozhatnak, de nem kérdezhetnek le indexet a Search Explorer használatával.

   • A keresési index adatolvasói a Search Explorerrel kérdezhetik le az indexet. A hozzáférés ellenőrzéséhez bármely API-verziót használhat. Lekérdezéseket kell küldenie, és meg kell tekintenie az eredményeket, de nem szabad, hogy megtekintse az indexdefiníciót.

   • A keresési index adatszolgáltatói az Új index lehetőséget választva új indexet hozhatnak létre. Az új index mentése ellenőrzi az írási hozzáférést a szolgáltatásban.

REST API

Ez a megközelítés a Postmant feltételezi REST-ügyfélként, és egy Postman-gyűjteményt és változókat használ a tulajdonosi jogkivonat biztosításához. Az Azure CLI vagy más eszköz használatával hozzon létre egy biztonsági tagot a REST-ügyfél számára.

1. Nyisson meg egy parancshéjat az Azure CLI-hez, és jelentkezzen be az Azure-előfizetésbe.

   az login
   

2. Szerezze be az előfizetés azonosítóját. Az azonosító egy későbbi lépésben változóként lesz használva.

   az account show --query id -o tsv
   

3. Hozzon létre egy erőforráscsoportot a biztonsági tag számára. Ez a példa az USA nyugati régióját használja. Ezt az értéket egy későbbi lépésben változóként adja meg. A létrehozott szerepkör hatóköre az erőforráscsoportra terjed ki.

   az group create -l westus -n MyResourceGroup
   

4. Hozza létre a szolgáltatásnevet, és cserélje le a helyőrző értékeket érvényes értékekre a biztonsági egyszerű név, az előfizetés azonosítója és az erőforráscsoport neve esetében. Ez a példa a "Keresési index adatolvasója" (idézőjel) szerepkört használja.

   az ad sp create-for-rbac --name mySecurityPrincipalName --role "Search Index Data Reader" --scopes /subscriptions/mySubscriptionID/resourceGroups/myResourceGroupName
   

   A sikeres válaszok közé tartozik az "appId", a "password" és a "tenant". Ezeket az értékeket a "clientId", a "clientSecret" és a "tenant" változóhoz használja.

5. Indítsa el az új Postman-gyűjteményt, és szerkessze annak tulajdonságait. A Változók lapon hozza létre a következő változókat:

   Változó	Leírás
   clientId	Adja meg a Korábban létrehozott "appID"-t, amelyet a Microsoft Entra ID-ban hozott létre.
   clientSecret	Adja meg az ügyfél számára létrehozott "jelszót".
   tenantId	Adja meg az előző lépésben visszaadott "bérlőt".
   subscriptionId	Adja meg az előfizetés előfizetés-azonosítóját.
   erőforrás	Írja be https://search.azure.com.
   bearerToken	(hagyja üresen; a jogkivonat programozott módon jön létre)

6. Az Engedélyezés lapon válassza a Tulajdonosi jogkivonatot típusként.

7. A Token mezőben adja meg a változó helyőrzőt{{bearerToken}}.

8. A Kérés előtti szkript lapon illessze be a következő szkriptet:

   pm.test("Check for collectionVariables", function () {
       let vars = ['clientId', 'clientSecret', 'tenantId', 'subscriptionId'];
       vars.forEach(function (item, index, array) {
           console.log(item, index);
           pm.expect(pm.collectionVariables.get(item), item + " variable not set").to.not.be.undefined;
           pm.expect(pm.collectionVariables.get(item), item + " variable not set").to.not.be.empty; 
       });
   
       if (!pm.collectionVariables.get("bearerToken") || Date.now() > new Date(pm.collectionVariables.get("bearerTokenExpiresOn") * 1000)) {
           pm.sendRequest({
               url: 'https://login.microsoftonline.com/' + pm.collectionVariables.get("tenantId") + '/oauth2/token',
               method: 'POST',
               header: 'Content-Type: application/x-www-form-urlencoded',
               body: {
                   mode: 'urlencoded',
                   urlencoded: [
                       { key: "grant_type", value: "client_credentials", disabled: false },
                       { key: "client_id", value: pm.collectionVariables.get("clientId"), disabled: false },
                       { key: "client_secret", value: pm.collectionVariables.get("clientSecret"), disabled: false },
                       { key: "resource", value: pm.collectionVariables.get("resource") || "https://search.azure.com", disabled: false }
                   ]
               }
           }, function (err, res) {
               if (err) {
                   console.log(err);
               } else {
                   let resJson = res.json();
                   pm.collectionVariables.set("bearerTokenExpiresOn", resJson.expires_on);
                   pm.collectionVariables.set("bearerToken", resJson.access_token);
               }
           });
       }
   });
   

9. Mentse a gyűjteményt.

10. Küldjön egy kérést, amely a megadott változókat használja. A "Keresési index adatolvasó" szerepkörben lekérdezhet egy indexet (ne felejtse el érvényes keresési szolgáltatásnevet megadni az URI-n). Bármilyen támogatott API-verziót használhat.

    POST https://<service-name>.search.windows.net/indexes/hotels-quickstart/docs/search?api-version=2020-06-30
    {
     "queryType": "simple",
     "search": "motel",
     "filter": "",
     "select": "HotelName,Description,Category,Tags",
     "count": true
     }
    

Az adott környezethez tartozó jogkivonatok beszerzéséről további információt Microsoft Identitásplatform hitelesítési kódtárakban talál.

.NET

1. Használja az Azure.Search.Documents csomagot.

2. A jogkivonat-hitelesítéshez használja az Azure.Identity for .NET-et . A Microsoft a DefaultAzureCredential() legtöbb forgatókönyvhöz ajánlott.

   • Az OAuth-jogkivonat beszerzésekor a hatókör a következő: "https://search.azure.com/.default". Az SDK megköveteli, hogy a közönség ";"https://search.azure.com" legyen. A ".default" egy Microsoft Entra-konvenció.

   • Az SDK ellenőrzi, hogy a felhasználó rendelkezik-e a "user_impersonation" hatókörrel, amelyet az alkalmazásnak meg kell adnia, de maga az SDK csak a következőt kéri: "https://search.azure.com/.default".

3. Íme egy példa egy ügyfélkapcsolatra a használatával DefaultAzureCredential().

   // Create a SearchIndexClient to send create/delete index commands
   SearchIndexClient adminClient = new SearchIndexClient(serviceEndpoint, new DefaultAzureCredential());
   
   // Create a SearchClient to load and query documents
   SearchClient srchclient = new SearchClient(serviceEndpoint, indexName, new DefaultAzureCredential());
   

4. Íme egy másik példa az ügyfél titkos hitelesítő adatainak használatára:

   var tokenCredential =  new ClientSecretCredential(aadTenantId, aadClientId, aadSecret);
   SearchClient srchclient = new SearchClient(serviceEndpoint, indexName, tokenCredential);
   

Python

1. Az azure.search.documents (Pythonhoz készült Azure SDK) használata.

2. A Pythonhoz készült Azure.Identity használata jogkivonat-hitelesítéshez.

3. A DefaultAzureCredential parancsot akkor használja, ha a Python-ügyfél kiszolgálóoldali alkalmazást futtat. Engedélyezze az interaktív hitelesítést , ha az alkalmazás böngészőben fut.

4. Here's an example:

   from azure.search.documents import SearchClient
   from azure.identity import DefaultAzureCredential
   
   credential = DefaultAzureCredential()
   endpoint = "https://<mysearch>.search.windows.net"
   index_name = "myindex"
   client = SearchClient(endpoint=endpoint, index_name=index_name, credential=credential)
   

JavaScript

1. Használja @azure/search-documents (JavaScripthez készült Azure SDK) 11.3-as verzióját.

2. Az Azure.Identity for JavaScript használata jogkivonat-hitelesítéshez.

3. A React használata esetén használja InteractiveBrowserCredential a Microsoft Entra-hitelesítést a kereséshez. A részletekért lásd: Mikor érdemes használni @azure/identity .

Java

1. Azure-search-documents (Java-hoz készült Azure SDK) használata.

2. Az Azure.Identity for Java használata jogkivonat-hitelesítéshez.

3. A Microsoft a DefaultAzureCredential parancsot javasolja az Azure-ban futó alkalmazásokhoz.

Tesztelés aktuális felhasználóként

Ha már közreműködője vagy tulajdonosa a keresési szolgáltatásnak, bemutathat egy tulajdonosi jogkivonatot a felhasználói identitáshoz az Azure AI Searchben való hitelesítéshez. Az alábbi utasítások bemutatják, hogyan állíthat be Egy Postman-gyűjteményt a kérések aktuális felhasználóként való küldéséhez.

1. Tulajdonosi jogkivonat lekérése az aktuális felhasználóhoz:

   az account get-access-token --scope https://search.azure.com/.default
   

2. Indítsa el az új Postman-gyűjteményt, és szerkessze annak tulajdonságait. A Változók lapon hozza létre a következő változót:

   Változó	Leírás
   bearerToken	(copy-paste from get-access-token output on the parancssor)

3. Az Engedélyezés lapon válassza a Tulajdonosi jogkivonatot típusként.

4. A Token mezőben adja meg a változó helyőrzőt{{bearerToken}}.

5. Mentse a gyűjteményt.

6. Küldjön egy kérést a hozzáférés megerősítéséhez. Az alábbiakban lekérdezi a hotels-quickstart indexet:

   POST https://<service-name>.search.windows.net/indexes/hotels-quickstart/docs/search?api-version=2020-06-30
   {
    "queryType": "simple",
    "search": "motel",
    "filter": "",
    "select": "HotelName,Description,Category,Tags",
    "count": true
    }
   

Hozzáférés biztosítása egyetlen indexhez

Bizonyos esetekben érdemes lehet korlátozni az alkalmazás hozzáférését egyetlen erőforráshoz, például egy indexhez.

A portál jelenleg nem támogatja a szerepkör-hozzárendeléseket ezen a részletességi szinten, de a PowerShell vagy az Azure CLI használatával is elvégezhető.

A PowerShellben használja a New-AzRoleAssignment parancsot, és adja meg az Azure-felhasználó vagy csoport nevét, valamint a hozzárendelés hatókörét.

1. Töltse be az Azure- és AzureAD-modulokat, és csatlakozzon az Azure-fiókjához:

   Import-Module -Name Az
   Import-Module -Name AzureAD
   Connect-AzAccount
   

2. Szerepkör-hozzárendelés hozzáadása egy adott indexhez:

   New-AzRoleAssignment -ObjectId <objectId> `
       -RoleDefinitionName "Search Index Data Contributor" `
       -Scope  "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Search/searchServices/<search-service>/indexes/<index-name>"
   

Create a custom role

Ha a beépített szerepkörök nem biztosítják az engedélyek megfelelő kombinációját, létrehozhat egy egyéni szerepkört a szükséges műveletek támogatásához

Ez a példa klónozza a keresési index adatolvasót , majd hozzáadja az indexek név szerinti listázásának lehetőségét. A keresési szolgáltatás indexeinek felsorolása általában rendszergazdai jognak minősül.

Azure Portalra

Ezek a lépések az Azure-beli egyéni szerepkörök Azure Portal használatával történő létrehozásából vagy frissítéséből származnak. A meglévő szerepkörből való klónozás támogatott a keresési szolgáltatás oldalán.

Ezek a lépések létrehoznak egy egyéni szerepkört, amely kibővíti a keresési lekérdezési jogosultságokat, hogy név szerint listázzák az indexeket. Az indexek listázása általában rendszergazdai függvénynek minősül.

1. Az Azure Portalon keresse meg a keresési szolgáltatást.

2. A bal oldali navigációs panelen válassza a Hozzáférés-vezérlés (IAM) lehetőséget.

3. A műveletsávon válassza a Szerepkörök lehetőséget.

4. Kattintson a jobb gombbal az Index keresése adatolvasóra (vagy egy másik szerepkörre), és válassza a Klónozás lehetőséget az egyéni szerepkör létrehozása varázsló megnyitásához.

5. Az Alapszintű beállítások lapon adja meg az egyéni szerepkör nevét, például a "Search Index Data Explorer" nevet, majd kattintson a Tovább gombra.

6. Az Engedélyek lapon válassza az Engedély hozzáadása lehetőséget.

7. Az Engedélyek hozzáadása lapon keresse meg, majd válassza ki a Microsoft Keresés csempét.

8. Állítsa be az egyéni szerepkör engedélyeit. A lap tetején, az alapértelmezett műveletek kijelölésével:

   • A Microsoft.Search/operations területen válassza az Olvasás: Az összes elérhető művelet listázása lehetőséget.
   • A Microsoft.Search/searchServices/indexek területen válassza az Olvasás : Index olvasása lehetőséget.

9. Ugyanazon a lapon váltson az Adatműveletek elemre , és a Microsoft.Search/searchServices/indexes/documents területen válassza az Olvasás: Dokumentumok olvasása lehetőséget.

   A JSON-definíció a következő példához hasonlóan néz ki:

   {
    "properties": {
        "roleName": "search index data explorer",
        "description": "",
        "assignableScopes": [
            "/subscriptions/a5b1ca8b-bab3-4c26-aebe-4cf7ec4791a0/resourceGroups/heidist-free-search-svc/providers/Microsoft.Search/searchServices/demo-search-svc"
        ],
        "permissions": [
            {
                "actions": [
                    "Microsoft.Search/operations/read",
                    "Microsoft.Search/searchServices/indexes/read"
                ],
                "notActions": [],
                "dataActions": [
                    "Microsoft.Search/searchServices/indexes/documents/read"
                ],
                "notDataActions": []
            }
        ]
      }
    }
   

10. Válassza a Véleményezés + létrehozás lehetőséget a szerepkör létrehozásához. Mostantól hozzárendelhet felhasználókat és csoportokat a szerepkörhöz.

Azure PowerShell

A PowerShell-példa a keresési index adatolvasójának klónozott egyéni szerepkörének JSON-szintaxisát mutatja be, de az összes indexet név szerint listázhatja.

1. Tekintse át az atomi engedélyek listáját, és állapítsa meg, hogy mely engedélyekre van szüksége. Ebben a példában a következőkre lesz szüksége:

   "Microsoft.Search/operations/read",
   "Microsoft.Search/searchServices/read",
   "Microsoft.Search/searchServices/indexes/read"
   

2. Állítson be egy PowerShell-munkamenetet az egyéni szerepkör létrehozásához. Részletes útmutatásért lásd: Azure PowerShell

3. Adja meg a szerepkördefiníciót JSON-dokumentumként. Az alábbi példa az egyéni szerepkörök PowerShell-lel való létrehozásának szintaxisát mutatja be.

{
  "Name": "Search Index Data Explorer",
  "Id": "88888888-8888-8888-8888-888888888888",
  "IsCustom": true,
  "Description": "List all indexes on the service and query them.",
  "Actions": [
      "Microsoft.Search/operations/read",
      "Microsoft.Search/searchServices/read"
  ],
  "NotActions": [],
  "DataActions": [
      "Microsoft.Search/searchServices/indexes/read"
  ],
  "NotDataActions": [],
  "AssignableScopes": [
    "/subscriptions/{subscriptionId1}"
  ]
}

Megjegyzés:

Ha a hozzárendelhető hatókör az index szintjén van, az adatműveletnek kell lennie "Microsoft.Search/searchServices/indexes/documents/read".

REST API

1. Tekintse át az atomi engedélyek listáját, és állapítsa meg, hogy mely engedélyekre van szüksége.

2. A lépésekért tekintse meg az Azure-beli egyéni szerepkörök létrehozását vagy frissítését a REST API használatával.

3. Klónozza vagy hozza létre a szerepkört, vagy használja a JSON-t az egyéni szerepkör megadásához (lásd a JSON-szintaxis PowerShell lapját).

Azure CLI

1. Tekintse át az atomi engedélyek listáját, és állapítsa meg, hogy mely engedélyekre van szüksége.

2. A lépésekért tekintse meg az Egyéni Azure-szerepkörök létrehozását vagy frissítését az Azure CLI használatával.

3. Klónozza vagy hozza létre a szerepkört, vagy használja a JSON-t az egyéni szerepkör megadásához (lásd a JSON-szintaxis PowerShell lapját).

API-kulcs hitelesítésének letiltása

Az API-kulcsok nem törölhetők, de letilthatók a szolgáltatásban, ha a keresési szolgáltatás közreműködőjét, a keresési index adat-közreműködőjét, valamint a keresési index adatolvasó szerepköreit és a Microsoft Entra-hitelesítést használja. Az API-kulcsok letiltása miatt a keresési szolgáltatás elutasítja az összes olyan adattal kapcsolatos kérést, amely egy API-kulcsot ad át a fejlécben.

A funkciók letiltásához tulajdonosi vagy közreműködői engedélyekre van szükség.

A kulcsalapú hitelesítés letiltásához használja az Azure Portalt vagy a Felügyeleti REST API-t.

Portal

1. Az Azure Portalon keresse meg a keresési szolgáltatást.

2. A bal oldali navigációs panelen válassza a Kulcsok lehetőséget.

3. Válassza a szerepköralapú hozzáférés-vezérlést.

A módosítás azonnal érvényes, de várjon néhány másodpercet a tesztelés előtt. Feltéve, hogy rendelkezik engedéllyel a szerepkörök tulajdonosi, szolgáltatásadminisztrátori vagy társadminisztrátori szerepkörökhöz való hozzárendeléséhez, a portál funkcióival tesztelheti a szerepköralapú hozzáférést.

REST API

A kulcsalapú hitelesítés letiltásához állítsa a "disableLocalAuth" értéket igazra.

1. Kérje le a szolgáltatásbeállításokat, hogy áttekinthesse az aktuális konfigurációt.

   GET https://management.azure.com/subscriptions/{{subscriptionId}}/providers/Microsoft.Search/searchServices?api-version=2023-11-01
   

2. A szolgáltatáskonfiguráció frissítéséhez használja a PATCH-et. Az alábbi módosítás null értékre állítja az "authOptions" értéket.

   PATCH https://management.azure.com/subscriptions/{{subscriptionId}}/resourcegroups/{{resource-group}}/providers/Microsoft.Search/searchServices/{{search-service-name}}?api-version=2023-11-01
   {
       "properties": {
           "disableLocalAuth": true
       }
   }
   

A csak API-kulcsot tartalmazó kérelmek, amelyek nem tartalmaznak tulajdonosi jogkivonatot, HTTP 401-es verzióval meghiúsulnak.

A kulcshitelesítés újbóli engedélyezéséhez futtassa újra az utolsó kérést, és állítsa a "disableLocalAuth" beállítást hamisra. A keresési szolgáltatás automatikusan folytatja az API-kulcsok elfogadását a kérelemben (feltéve, hogy meg vannak adva).

Feltételes hozzáférés

A feltételes hozzáférés egy eszköz a Microsoft Entra-azonosítóban, amely a szervezeti szabályzatok kikényszerítésére szolgál. A feltételes hozzáférési szabályzatok használatával szükség esetén a megfelelő hozzáférési vezérlőket alkalmazhatja a szervezet biztonsága érdekében. Ha szerepköralapú hozzáférés-vezérléssel fér hozzá egy Azure AI-Search szolgáltatás, a feltételes hozzáférés kényszerítheti a szervezeti szabályzatokat.

Az Azure AI Search feltételes hozzáférési szabályzatának engedélyezéséhez kövesse az alábbi lépéseket:

1. Jelentkezzen be az Azure Portalra.

2. Keresse meg a Microsoft Entra feltételes hozzáférését.

3. Válassza a Szabályzatok lehetőséget.

4. Válassza az + Új szabályzat lehetőséget.

5. A szabályzat Felhőalkalmazások vagy műveletek szakaszában vegye fel az Azure AI Search szolgáltatást felhőalkalmazásként attól függően, hogy hogyan szeretné beállítani a szabályzatot.

6. Frissítse a szabályzat fennmaradó paramétereit. Adja meg például, hogy mely felhasználókra és csoportokra vonatkozik ez a szabályzat.

7. Mentse a szabályzatot.

Fontos

Ha a keresési szolgáltatáshoz hozzárendelt egy felügyelt identitást, az adott keresési szolgáltatás felhőalkalmazásként jelenik meg, amely a feltételes hozzáférési szabályzat részeként belefoglalható vagy kizárható. A feltételes hozzáférési szabályzatok nem kényszeríthetők egy adott keresési szolgáltatásra. Ehelyett válassza ki az általános Azure AI Search felhőalkalmazást.