Csatlakozás az Azure AI Search szolgáltatáshoz szerepkörök használatával

Az Azure globális hitelesítési és szerepköralapú engedélyezési rendszert biztosít a platformon futó összes szolgáltatáshoz. Az Azure AI Searchben Azure-szerepköröket rendelhet a következőhöz:

• Szolgáltatásfelügyelet
• Keresési szolgáltatás fejlesztése vagy írási hozzáférése
• Csak olvasási hozzáférés lekérdezésekhez
• Hatókörön belüli hozzáférés egyetlen indexhez

A szerepkör-hozzárendelések nem támogatják a felhasználónkénti hozzáférést a keresési eredményekhez (más néven sorszintű biztonsághoz vagy dokumentumszintű biztonsághoz). Áthidaló megoldásként hozzon létre olyan biztonsági szűrőket, amelyek felhasználói identitás alapján vágják le az eredményeket, eltávolítva azokat a dokumentumokat, amelyekhez a kérelmezőnek nem kellene hozzáféréssel rendelkeznie. Tekintse meg ezt a vállalati csevegési mintát a RAG használatával egy bemutatóhoz.

A szerepkör-hozzárendelések összesítőek és áthatóak az összes eszköz és ügyfélkódtár között. Szerepköröket az Azure szerepköralapú hozzáférés-vezérlési dokumentációjában ismertetett támogatott megközelítések bármelyikével hozzárendelhet.

A szerepköralapú hozzáférés nem kötelező, de ajánlott. A másik lehetőség a kulcsalapú hitelesítés, amely az alapértelmezett.

Előfeltételek

• Bármely régióban elérhető keresési szolgáltatás, bármely szinten, szerepköralapú hozzáférésre engedélyezve.

• Tulajdonos, felhasználói hozzáférés-rendszergazda vagy egyéni szerepkör Microsoft.Authorization/roleAssignments/write engedélyekkel.

Az Azure AI Searchben használt beépített szerepkörök

A következő szerepkörök vannak beépítve. Ha ezek a szerepkörök nem elegendőek, hozzon létre egy egyéni szerepkört.

Szerepkör	Repülőgép	Leírás
Tulajdonos	Control & Data	A keresési erőforrás vezérlősíkjának teljes hozzáférése, beleértve az Azure-szerepkörök hozzárendelését is. Csak a tulajdonosi szerepkör engedélyezheti vagy tilthatja le a hitelesítési beállításokat, illetve kezelheti a szerepköröket más felhasználók számára. Az előfizetés-rendszergazdák alapértelmezés szerint tagok. Az adatsíkon ez a szerepkör ugyanazzal a hozzáféréssel rendelkezik, mint a keresési szolgáltatás közreműködői szerepköre. Ez magában foglalja az összes adatsík-művelethez való hozzáférést, kivéve a dokumentumok lekérdezésének vagy indexelésének lehetőségét.
Közreműködő	Control & Data	A vezérlősíkhoz való hozzáférés szintje megegyezik a tulajdonossal, és nincs lehetőség szerepkörök hozzárendelésére vagy a hitelesítési beállítások módosítására. Az adatsíkon ez a szerepkör ugyanazzal a hozzáféréssel rendelkezik, mint a keresési szolgáltatás közreműködői szerepköre. Ez magában foglalja az összes adatsík-művelethez való hozzáférést, kivéve a dokumentumok lekérdezésének vagy indexelésének lehetőségét.
Olvasó	Control & Data	Olvasási hozzáférés a teljes szolgáltatásban, beleértve a keresési metrikákat, a tartalommetrikákat (felhasznált tárterület, objektumok száma) és az adatsík-erőforrások (indexek, indexelők stb.) objektumdefinícióit. Azonban nem tudja olvasni az API-kulcsokat, és nem tud tartalmat olvasni az indexekben.
Keresési szolgáltatás közreműködője	Control & Data	Írási-olvasási hozzáférés objektumdefiníciókhoz (indexek, aliasok, szinonimatérképek, indexelők, adatforrások és képességkészletek). Ez a szerepkör olyan fejlesztőknek szól, akik objektumokat hoznak létre, valamint olyan rendszergazdák számára, akik egy keresési szolgáltatást és annak objektumait kezelik, de nem férnek hozzá az index tartalmához. Ezzel a szerepkörsel létrehozhat, törölhet és listázhat indexeket, lekérheti az indexdefiníciókat, lekérheti a szolgáltatásinformációkat (statisztikákat és kvótákat), tesztelheti az elemzőket, szinonimatérképeket, indexelőket, adatforrásokat és készségkészleteket hozhat létre és kezelhet. Tekintse meg Microsoft.Search/searchServices/* az engedélyek listáját.
Keresési index adatszolgáltatója	Adatok	Olvasási-írási hozzáférés az indexekben lévő tartalmakhoz. Ez a szerepkör azoknak a fejlesztőknek vagy indextulajdonosoknak szól, akiknek importálni, frissíteniük vagy le kell kérdezniük egy index dokumentumgyűjteményét. Ez a szerepkör nem támogatja az indexek létrehozását vagy kezelését. Alapértelmezés szerint ez a szerepkör a keresési szolgáltatás összes indexéhez tartozik. A hatókör szűkítéséhez lásd : Hozzáférés biztosítása egyetlen indexhez .
Keresési index adatolvasója	Adatok	Írásvédett hozzáférés keresési indexek lekérdezéséhez. Ez a szerepkör a lekérdezéseket futtató alkalmazások és felhasználók számára készült. Ez a szerepkör nem támogatja az objektumdefiníciók olvasási hozzáférését. Nem olvashat például keresési indexdefiníciót, és nem kérhet le keresési szolgáltatási statisztikákat. Alapértelmezés szerint ez a szerepkör a keresési szolgáltatás összes indexéhez tartozik. A hatókör szűkítéséhez lásd : Hozzáférés biztosítása egyetlen indexhez .

Kombinálja ezeket a szerepköröket, hogy megfelelő engedélyeket kapjon a használati esethez.

Feljegyzés

Ha letiltja az Azure szerepköralapú hozzáférését, a vezérlősík beépített szerepkörei (Tulajdonos, Közreműködő, Olvasó) továbbra is elérhetők maradnak. A szerepköralapú hozzáférés letiltása csak a szerepkörökhöz társított adatkapcsolatú engedélyeket távolítja el. Ha az adatsík-szerepkörök le vannak tiltva, a keresési szolgáltatás közreműködője egyenértékű a vezérlősík-közreműködővel.

Szerepkörök hozzárendelése

Ebben a szakaszban rendeljen hozzá szerepköröket a következőhöz:

• Szolgáltatásfelügyelet

  Szerepkör	ID (Azonosító)
  Owner	8e3af657-a8ff-443c-a75c-2fe8c4bcb635
  Contributor	b24988ac-6180-42a0-ab88-20f7382dd24c
  Reader	acdd72a7-3385-48ef-bd42-f606fba81ae7

• Keresési szolgáltatás fejlesztése vagy írási hozzáférése

  Feladat	Szerepkör	ID (Azonosító)
  CRUD-műveletek	Search Service Contributor	7ca78c08-252a-4471-8644-bb5ff32d4ba0
  Dokumentumok betöltése, indexelési feladatok futtatása	Search Index Data Contributor	8ebe5a00-799e-43f5-93ac-243d3dce84a7
  Index lekérdezése	Search Index Data Reader	1407120a-92aa-4202-b7e9-c0e197c71c8f

• Csak olvasási hozzáférés lekérdezésekhez

  Szerepkör	ID (Azonosító)
  Search Index Data Readera PowerShell-lel	1407120a-92aa-4202-b7e9-c0e197c71c8f

Szerepkörök hozzárendelése szolgáltatásfelügyelethez

Szolgáltatásadminisztrátorként létrehozhat és konfigurálhat egy keresési szolgáltatást, és elvégezheti a felügyeleti REST API-ban vagy azzal egyenértékű ügyfélkódtárakban leírt vezérlősík-műveleteket. A szerepkörtől függően a legtöbb adatsík keresési REST API-feladatát is végrehajthatja.

Azure Portalra

1. Jelentkezzen be az Azure Portalra.

2. Lépjen a keresési szolgáltatáshoz.

3. A bal oldali navigációs panelen válassza a Hozzáférés-vezérlés (IAM) lehetőséget.

4. Válassza a + Hozzáadás>Szerepkör-hozzárendelés hozzáadása lehetőséget.

5. Válasszon ki egy megfelelő szerepkört:

   • Tulajdonos (teljes hozzáférés az összes adatsíkhoz és vezérlősík-művelethez, a lekérdezési engedélyek kivételével)
   • Közreműködő (ugyanaz, mint a tulajdonos, kivéve a szerepkörök hozzárendelésére vonatkozó engedélyeket)
   • Olvasó (a metrikák monitorozásához és megtekintéséhez elfogadható)

6. A Tagok lapon válassza ki a Microsoft Entra felhasználót vagy csoportdentitást.

7. A szerepkör hozzárendeléséhez a Felülvizsgálat + hozzárendelés lapon válassza a Felülvizsgálat + hozzárendelés lehetőséget.

PowerShell

Amikor a PowerShellt használja a szerepkörök hozzárendeléséhez, hívja meg a New-AzRoleAssignment parancsot, adja meg az Azure-felhasználó vagy csoport nevét és a hozzárendelés hatókörét.

Ez a példa létrehoz egy keresési szolgáltatás hatókörébe tartozó szerepkör-hozzárendelést:

New-AzRoleAssignment -SignInName <email> `
    -RoleDefinitionName "Reader" `
    -Scope  "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Search/searchServices/<search-service>"

Szerepkörök hozzárendelése fejlesztéshez

A szerepkör-hozzárendelések globálisak a keresési szolgáltatásban. Ha egyetlen index engedélyeit szeretné hatókörbe felvenni, hozzon létre egyéni szerepkört a PowerShell vagy az Azure CLI használatával.

A teljes hozzáférést biztosító szerepkörök másik kombinációja a közreműködő vagy a tulajdonos, valamint a keresési index adatolvasója.

Fontos

Ha szerepköralapú hozzáférést konfigurál egy szolgáltatáshoz vagy indexhez, és egy API-kulcsot is megad a kéréshez, a keresési szolgáltatás az API-kulcsot használja a hitelesítéshez.

Azure Portalra

1. Jelentkezzen be az Azure Portalra.

2. Lépjen a keresési szolgáltatáshoz.

3. A bal oldali navigációs panelen válassza a Hozzáférés-vezérlés (IAM) lehetőséget.

4. Válassza a + Hozzáadás>Szerepkör-hozzárendelés hozzáadása lehetőséget.

   

5. Válasszon ki egy szerepkört:

   • Keresési szolgáltatás közreműködője (indexeken, indexelőken, képességkészleteken és egyéb legfelső szintű objektumokon végzett létrehozási-olvasási-frissítési-törlési műveletek)
   • Keresési indexadatok közreműködője (dokumentumok betöltése és indexelési feladatok futtatása)
   • Keresési index adatolvasója (index lekérdezése)

   A teljes hozzáférést biztosító szerepkörök másik kombinációja a közreműködő vagy a tulajdonos, valamint a keresési index adatolvasója.

6. A Tagok lapon válassza ki a Microsoft Entra felhasználót vagy csoportdentitást.

7. A szerepkör hozzárendeléséhez a Felülvizsgálat + hozzárendelés lapon válassza a Felülvizsgálat + hozzárendelés lehetőséget.

8. Ismételje meg a többi szerepkört. A legtöbb fejlesztőnek mind a háromra szüksége van.

PowerShell

Amikor a PowerShellt használja a szerepkörök hozzárendeléséhez, hívja meg a New-AzRoleAssignment parancsot, adja meg az Azure-felhasználó vagy csoport nevét és a hozzárendelés hatókörét.

Ez a példa létrehoz egy keresési szolgáltatás hatókörébe tartozó szerepkör-hozzárendelést:

New-AzRoleAssignment -SignInName <email> `
    -RoleDefinitionName "Search Index Data Contributor" `
    -Scope  "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Search/searchServices/<search-service>"

Ez a példa létrehoz egy szerepkör-hozzárendelést, amely egy adott indexre terjed ki:

New-AzRoleAssignment -SignInName <email> `
    -RoleDefinitionName "Search Index Data Contributor" `
    -Scope  "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Search/searchServices/<search-service>/indexes/<index-name>"

Szerepkörök hozzárendelése írásvédett lekérdezésekhez

Használja a Keresési index adatolvasó szerepkört olyan alkalmazásokhoz és folyamatokhoz, amelyeknek csak olvasási hozzáférésre van szükségük egy indexhez.

Ez egy nagyon specifikus szerepkör. Get vagy POST hozzáférést biztosít a keresési index dokumentumgyűjteményéhez a kereséshez, az automatikus kiegészítéshez és a javaslatokhoz. Nem támogatja a GET vagy LIST műveleteket egy indexen vagy más legfelső szintű objektumon vagy a GET szolgáltatásstatisztikán.

Ez a szakasz alapvető lépéseket tartalmaz a szerepkör-hozzárendelés beállításához, és a teljesség érdekében itt található, de azt javasoljuk, hogy kulcsok nélkül használja az Azure AI Search szolgáltatást az alkalmazás szerepköralapú hozzáférésre való konfigurálására vonatkozó átfogó utasításokhoz.

Azure Portalra

1. Jelentkezzen be az Azure Portalra.

2. Lépjen a keresési szolgáltatáshoz.

3. A bal oldali navigációs panelen válassza a Hozzáférés-vezérlés (IAM) lehetőséget.

4. Válassza a + Hozzáadás>Szerepkör-hozzárendelés hozzáadása lehetőséget.

5. Válassza ki a Keresési index adatolvasó szerepkört.

6. A Tagok lapon válassza ki a Microsoft Entra felhasználót vagy csoportdentitást. Ha egy másik szolgáltatás engedélyeit állítja be, előfordulhat, hogy rendszer- vagy felhasználó által felügyelt identitást használ. Válassza ezt a lehetőséget, ha a szerepkör-hozzárendelés szolgáltatásidentitáshoz tartozik.

7. A szerepkör hozzárendeléséhez a Felülvizsgálat + hozzárendelés lapon válassza a Felülvizsgálat + hozzárendelés lehetőséget.

PowerShell

Amikor a PowerShellt szerepkörök hozzárendelésére használja, hívja meg a New-AzRoleAssignment parancsot, és adja meg az Azure-felhasználó vagy csoport nevét és a hozzárendelés hatókörét.

1. Kérje le az előfizetés azonosítóját, a keresési szolgáltatás erőforráscsoportját és a keresési szolgáltatás nevét.

2. Kérje le az Azure-szolgáltatás objektumazonosítóját, például az Azure OpenAI-t.

    Get-AzADServicePrincipal -SearchString <YOUR AZURE OPENAI RESOURCE NAME>
   

3. Kérje le a szerepkördefiníciót, és tekintse át az engedélyeket, hogy biztosan ez legyen a kívánt szerepkör.

   Get-AzRoleDefinition -Name "Search Index Data Reader"
   

4. Hozza létre a szerepkör-hozzárendelést, és helyettesítse a helyőrzők érvényes értékeit.

   New-AzRoleAssignment -ObjectId YOUR-AZURE-OPENAI-OBJECT-ID -RoleDefinitionName "Search Index Data Reader" -Scope /subscriptions/YOUR-SUBSCRIPTION-ID/resourcegroups/YOUR-RESOURCE-GROUP/providers/Microsoft.Search/searchServices/YOUR-SEARCH-SERVICE-NAME
   

5. Íme egy példa egy adott indexre hatókörrel rendelkező szerepkör-hozzárendelésre:

   New-AzRoleAssignment -ObjectId YOUR-AZURE-OPENAI-OBJECT-ID `
       -RoleDefinitionName "Search Index Data Reader" `
       -Scope /subscriptions/YOUR-SUBSCRIPTION-ID/resourcegroups/YOUR-RESOURCE-GROUP/providers/Microsoft.Search/searchServices/YOUR-SEARCH-SERVICE-NAME/indexes/YOUR-INDEX-NAME
   

Szerepkör-hozzárendelések tesztelése

Szerepkör-hozzárendelések tesztelése ügyfél használatával. Ne feledje, hogy a szerepkörök halmozott és örökölt szerepkörök, amelyek hatóköre az előfizetés vagy az erőforráscsoport szintjén van, nem törölhető vagy nem tagadható meg az erőforrás (keresési szolgáltatás) szintjén.

Konfigurálja az alkalmazást kulcs nélküli kapcsolatokhoz , és a tesztelés előtt rendelkezik szerepkör-hozzárendelésekkel.

Azure Portalra

1. Jelentkezzen be az Azure Portalra.

2. Lépjen a keresési szolgáltatáshoz.

3. Az Áttekintés lapon válassza az Indexek lapot:

   • A keresési szolgáltatás közreműködői bármilyen objektumot megtekinthetnek és létrehozhatnak, de nem tölthetnek be dokumentumokat, és nem kérdezhetnek le indexet. Az engedélyek ellenőrzéséhez hozzon létre egy keresési indexet.

   • A keresési index adatszolgáltatói betölthetik a dokumentumokat. Az Adatok importálása varázslón kívül nincs dokumentumbetöltési lehetőség a portálon, de a dokumentumbetöltési engedélyek megerősítéséhez alaphelyzetbe állíthat és futtathat indexelőt .

   • A keresési index adatolvasói lekérdezhetik az indexet. Az engedélyek ellenőrzéséhez használja a Kereséskezelőt. Lekérdezéseket küldhet és megtekintheti az eredményeket, de nem tekintheti meg az indexdefiníciót, és nem hozhat létre egyet.

REST API

Ez a megközelítés a Visual Studio Code REST-ügyfélbővítménnyel való használatát feltételezi.

1. Nyisson meg egy parancshéjat az Azure CLI-hez, és jelentkezzen be az Azure-előfizetésbe.

   az login
   

2. Kérje le a bérlőazonosítót és az előfizetés azonosítóját. Az azonosító egy későbbi lépésben változóként lesz használva.

   az account show
   

3. Hozzáférési jogkivonat lekérése.

   az account get-access-token --query accessToken --output tsv
   

4. Illessze be ezeket a változókat egy új szövegfájlba a Visual Studio Code-ban.

   @baseUrl = PASTE-YOUR-SEARCH-SERVICE-URL-HERE
   @index-name = PASTE-YOUR-INDEX-NAME-HERE
   @token = PASTE-YOUR-TOKEN-HERE
   

5. Illessze be, majd küldjön egy kérést, amely a megadott változókat használja. A "Keresési index adatolvasó" szerepkörhöz lekérdezést küldhet. Bármilyen támogatott API-verziót használhat.

   POST https://{{baseUrl}}/indexes/{{index-name}}/docs/search?api-version=2024-07-01 HTTP/1.1
     Content-type: application/json
     Authorization: Bearer {{token}}
   
       {
            "queryType": "simple",
            "search": "motel",
            "filter": "",
            "select": "HotelName,Description,Category,Tags",
            "count": true
        }
   

További információ arról, hogyan szerezhet be jogkivonatot egy adott környezethez: Azure AI-Search szolgáltatás kezelése REST API-kkal és Microsoft Identitásplatform hitelesítési kódtárakkal.

.NET

1. Használja az Azure.Search.Documents csomagot.

2. A jogkivonat-hitelesítéshez használja az Azure.Identity for .NET-et . A Microsoft a DefaultAzureCredential() legtöbb forgatókönyvhöz ajánlott.

3. Íme egy példa egy ügyfélkapcsolatra a használatával DefaultAzureCredential().

   // Create a SearchIndexClient to send create/delete index commands
   SearchIndexClient adminClient = new SearchIndexClient(serviceEndpoint, new DefaultAzureCredential());
   
   // Create a SearchClient to load and query documents
   SearchClient srchclient = new SearchClient(serviceEndpoint, indexName, new DefaultAzureCredential());
   

4. Íme egy másik példa az ügyfél titkos hitelesítő adatainak használatára:

   var tokenCredential =  new ClientSecretCredential(aadTenantId, aadClientId, aadSecret);
   SearchClient srchclient = new SearchClient(serviceEndpoint, indexName, tokenCredential);
   

Python

1. Az azure.search.documents (Pythonhoz készült Azure SDK) használata.

2. A Pythonhoz készült Azure.Identity használata jogkivonat-hitelesítéshez.

3. A DefaultAzureCredential parancsot akkor használja, ha a Python-ügyfél kiszolgálóoldali alkalmazást futtat. Engedélyezze az interaktív hitelesítést , ha az alkalmazás böngészőben fut.

4. Példa:

   from azure.search.documents import SearchClient
   from azure.identity import DefaultAzureCredential
   
   credential = DefaultAzureCredential()
   endpoint = "https://<mysearch>.search.windows.net"
   index_name = "myindex"
   client = SearchClient(endpoint=endpoint, index_name=index_name, credential=credential)
   

JavaScript

1. Használja @azure/search-documents (JavaScripthez készült Azure SDK) 11.3-as verzióját.

2. Az Azure.Identity for JavaScript használata jogkivonat-hitelesítéshez.

3. A React használata esetén használja InteractiveBrowserCredential a Microsoft Entra-hitelesítést a kereséshez. A részletekért lásd: Mikor érdemes használni @azure/identity .

Java

1. Azure-search-documents (Java-hoz készült Azure SDK) használata.

2. Az Azure.Identity for Java használata jogkivonat-hitelesítéshez.

3. A Microsoft a DefaultAzureCredential parancsot javasolja az Azure-ban futó alkalmazásokhoz.

Tesztelés aktuális felhasználóként

Ha már közreműködője vagy tulajdonosa a keresési szolgáltatásnak, bemutathat egy tulajdonosi jogkivonatot a felhasználói identitáshoz az Azure AI Searchben való hitelesítéshez.

1. Tulajdonosi jogkivonat lekérése az aktuális felhasználóhoz az Azure CLI használatával:

   az account get-access-token --scope https://search.azure.com/.default
   

   Vagy a PowerShell használatával:

   Get-AzAccessToken -ResourceUrl https://search.azure.com
   

2. Illessze be ezeket a változókat egy új szövegfájlba a Visual Studio Code-ban.

   @baseUrl = PASTE-YOUR-SEARCH-SERVICE-URL-HERE
   @index-name = PASTE-YOUR-INDEX-NAME-HERE
   @token = PASTE-YOUR-TOKEN-HERE
   

3. Illessze be, majd küldjön egy kérést a hozzáférés megerősítéséhez. Az alábbiakban lekérdezi a hotels-quickstart indexet

   POST https://{{baseUrl}}/indexes/{{index-name}}/docs/search?api-version=2024-07-01 HTTP/1.1
     Content-type: application/json
     Authorization: Bearer {{token}}
   
       {
            "queryType": "simple",
            "search": "motel",
            "filter": "",
            "select": "HotelName,Description,Category,Tags",
            "count": true
        }
   

Hozzáférés biztosítása egyetlen indexhez

Bizonyos esetekben érdemes lehet korlátozni egy alkalmazás hozzáférését egyetlen erőforráshoz, például egy indexhez.

A portál jelenleg nem támogatja a szerepkör-hozzárendeléseket ezen a részletességi szinten, de a PowerShell vagy az Azure CLI használatával is elvégezhető.

A PowerShellben használja a New-AzRoleAssignment parancsot, és adja meg az Azure-felhasználó vagy csoport nevét, valamint a hozzárendelés hatókörét.

1. Töltse be a Azure modulokat és AzureAD a modulokat, és csatlakozzon az Azure-fiókjához:

   Import-Module -Name Az
   Import-Module -Name AzureAD
   Connect-AzAccount
   

2. Szerepkör-hozzárendelés hozzáadása egy adott indexhez:

   New-AzRoleAssignment -ObjectId <objectId> `
       -RoleDefinitionName "Search Index Data Contributor" `
       -Scope  "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Search/searchServices/<search-service>/indexes/<index-name>"
   

Egyéni szerepkör létrehozása

Ha a beépített szerepkörök nem biztosítják az engedélyek megfelelő kombinációját, létrehozhat egy egyéni szerepkört a szükséges műveletek támogatásához.

Ez a példa klónozza a keresési index adatolvasót , majd hozzáadja az indexek név szerinti listázásának lehetőségét. A keresési szolgáltatás indexeinek felsorolása általában rendszergazdai jognak minősül.

Azure Portalra

Ezek a lépések az Azure-beli egyéni szerepkörök Azure Portal használatával történő létrehozásából vagy frissítéséből származnak. A meglévő szerepkörből való klónozás támogatott a keresési szolgáltatás oldalán.

Ezek a lépések létrehoznak egy egyéni szerepkört, amely kibővíti a keresési lekérdezési jogosultságokat, hogy név szerint listázzák az indexeket. Az indexek listázása általában rendszergazdai függvénynek minősül.

1. Az Azure Portalon keresse meg a keresési szolgáltatást.

2. A bal oldali navigációs panelen válassza a Hozzáférés-vezérlés (IAM) lehetőséget.

3. A műveletsávon válassza a Szerepkörök lehetőséget.

4. Kattintson a jobb gombbal az Index keresése adatolvasóra (vagy egy másik szerepkörre), és válassza a Klónozás lehetőséget az egyéni szerepkör létrehozása varázsló megnyitásához.

5. Az Alapszintű beállítások lapon adja meg az egyéni szerepkör nevét, például a "Search Index Data Explorer" nevet, majd kattintson a Tovább gombra.

6. Az Engedélyek lapon válassza az Engedély hozzáadása lehetőséget.

7. Az Engedélyek hozzáadása lapon keresse meg, majd válassza ki a Microsoft Keresés csempét.

8. Állítsa be az egyéni szerepkör engedélyeit. A lap tetején, az alapértelmezett műveletek kijelölésével:

   • A Microsoft.Search/operations területen válassza az Olvasás: Az összes elérhető művelet listázása lehetőséget.
   • A Microsoft.Search/searchServices/indexek területen válassza az Olvasás : Index olvasása lehetőséget.

9. Ugyanazon a lapon váltson az Adatműveletek elemre , és a Microsoft.Search/searchServices/indexes/documents területen válassza az Olvasás: Dokumentumok olvasása lehetőséget.

   A JSON-definíció a következő példához hasonlóan néz ki:

   {
    "properties": {
        "roleName": "search index data explorer",
        "description": "",
        "assignableScopes": [
            "/subscriptions/0000000000000000000000000000000/resourceGroups/free-search-svc/providers/Microsoft.Search/searchServices/demo-search-svc"
        ],
        "permissions": [
            {
                "actions": [
                    "Microsoft.Search/operations/read",
                    "Microsoft.Search/searchServices/indexes/read"
                ],
                "notActions": [],
                "dataActions": [
                    "Microsoft.Search/searchServices/indexes/documents/read"
                ],
                "notDataActions": []
            }
        ]
      }
    }
   

10. Válassza a Véleményezés + létrehozás lehetőséget a szerepkör létrehozásához. Mostantól hozzárendelhet felhasználókat és csoportokat a szerepkörhöz.

Azure PowerShell

A PowerShell-példa a keresési index adatolvasójának klónozott egyéni szerepkörének JSON-szintaxisát mutatja be, de az összes indexet név szerint listázhatja.

1. Tekintse át az atomi engedélyek listáját, és állapítsa meg, hogy mely engedélyekre van szüksége. Ebben a példában a következőkre lesz szüksége:

   "Microsoft.Search/operations/read",
   "Microsoft.Search/searchServices/read",
   "Microsoft.Search/searchServices/indexes/read"
   

2. Állítson be egy PowerShell-munkamenetet az egyéni szerepkör létrehozásához. Részletes útmutatásért lásd: Azure PowerShell

3. Adja meg a szerepkördefiníciót JSON-dokumentumként. Az alábbi példa az egyéni szerepkörök PowerShell-lel való létrehozásának szintaxisát mutatja be.

{
  "Name": "Search Index Data Explorer",
  "Id": "88888888-8888-8888-8888-888888888888",
  "IsCustom": true,
  "Description": "List all indexes on the service and query them.",
  "Actions": [
      "Microsoft.Search/operations/read",
      "Microsoft.Search/searchServices/read"
  ],
  "NotActions": [],
  "DataActions": [
      "Microsoft.Search/searchServices/indexes/read"
  ],
  "NotDataActions": [],
  "AssignableScopes": [
    "/subscriptions/{subscriptionId1}"
  ]
}

Feljegyzés

Ha a hozzárendelhető hatókör az index szintjén van, az adatműveletnek kell lennie "Microsoft.Search/searchServices/indexes/documents/read".

REST API

1. Tekintse át az atomi engedélyek listáját, és állapítsa meg, hogy mely engedélyekre van szüksége.

2. A lépésekért tekintse meg az Azure-beli egyéni szerepkörök létrehozását vagy frissítését a REST API használatával.

3. Másolja vagy hozza létre a szerepkört, vagy használja a JSON-t az egyéni szerepkör megadásához (lásd a JSON-szintaxis PowerShell lapját).

Azure CLI

1. Tekintse át az atomi engedélyek listáját, és állapítsa meg, hogy mely engedélyekre van szüksége.

2. A lépésekért tekintse meg az Egyéni Azure-szerepkörök létrehozását vagy frissítését az Azure CLI használatával.

3. A JSON-szintaxist a PowerShell lapon találja.

Feltételes hozzáférés

A Microsoft Entra feltételes hozzáférését javasoljuk, ha vállalati szabályzatokat, például többtényezős hitelesítést szeretne kikényszeríteni.

Az Azure AI Search feltételes hozzáférési szabályzatának engedélyezéséhez kövesse az alábbi lépéseket:

1. Jelentkezzen be az Azure Portalra.

2. Keresse meg a Microsoft Entra feltételes hozzáférését.

3. Válassza a Szabályzatok lehetőséget.

4. Válassza az Új szabályzat lehetőséget.

5. A szabályzat Felhőalkalmazások vagy műveletek szakaszában vegye fel az Azure AI Search szolgáltatást felhőalkalmazásként attól függően, hogy hogyan szeretné beállítani a szabályzatot.

6. Frissítse a szabályzat fennmaradó paramétereit. Adja meg például, hogy mely felhasználókra és csoportokra vonatkozik ez a szabályzat.

7. Mentse a házirendet.

Fontos

Ha a keresési szolgáltatáshoz hozzárendelt egy felügyelt identitást, az adott keresési szolgáltatás felhőalkalmazásként jelenik meg, amely a feltételes hozzáférési szabályzat részeként belefoglalható vagy kizárható. A feltételes hozzáférési szabályzatok nem kényszeríthetők egy adott keresési szolgáltatásra. Ehelyett válassza ki az általános Azure AI Search felhőalkalmazást.

Korlátozások

• A szerepköralapú hozzáférés-vezérlés növelheti egyes kérések késését. A szolgáltatáserőforrás (index, indexelő stb.) és a szolgáltatásnév minden egyedi kombinációja engedélyezési ellenőrzést indít el. Ezek az engedélyezési ellenőrzések kérelemenként legfeljebb 200 ezredmásodperc késést adhatnak hozzá.

• Ritka esetekben, amikor a kérések számos különböző szolgáltatásnévből származnak, amelyek mindegyike különböző szolgáltatáserőforrásokat (indexeket, indexelőket stb.) céloz meg, az engedélyezési ellenőrzések szabályozást eredményezhetnek. A szabályozás csak akkor történne, ha a keresési szolgáltatás erőforrásának és a szolgáltatásnévnek több száz egyedi kombinációját használnák egy másodpercen belül.

Szerepköralapú hozzáférés-vezérlési problémák elhárítása

A hitelesítéshez szerepköralapú hozzáférés-vezérlést használó alkalmazások fejlesztésekor gyakori problémák léphetnek fel:

• Ha az engedélyezési jogkivonat egy felügyelt identitásból származik, és a megfelelő engedélyek nemrég lettek hozzárendelve, több órát is igénybe vehet, amíg ezek az engedély-hozzárendelések érvénybe lépnek.

• A keresési szolgáltatás alapértelmezett konfigurációja a kulcsalapú hitelesítés. Ha nem módosította az alapértelmezett kulcsbeállítást mindkettőre vagy szerepköralapú hozzáférés-vezérlésre, akkor a rendszer a mögöttes engedélyektől függetlenül automatikusan megtagadja a szerepköralapú hitelesítést használó összes kérést.