Mengonfigurasi akses aman dengan identitas terkelola dan jaringan virtual

Konten ini berlaku untuk: v4.0 (pratinjau) v3.1 (GA) v3.0 (GA) v2.1 (GA)

Panduan cara ini memandu Anda melalui proses mengaktifkan koneksi aman untuk sumber daya Kecerdasan Dokumen Anda. Anda dapat mengamankan koneksi berikut:

• Komunikasi antara aplikasi klien dalam Virtual Network (VNET) dan Sumber Daya Kecerdasan Dokumen Anda.

• Komunikasi antara Studio Kecerdasan Dokumen dan sumber daya Kecerdasan Dokumen Anda. F

• Komunikasi antara sumber daya Kecerdasan Dokumen Anda dan akun penyimpanan (diperlukan saat melatih model kustom).

Anda menyiapkan lingkungan untuk mengamankan sumber daya:

Prasyarat

Untuk memulai, Anda memerlukan:

• Akun Azure yang aktif—jika belum memilikinya, Anda dapat membuat akun gratis.

• Sumber daya layanan Kecerdasan Dokumen atau Azure AI di portal Azure. Untuk langkah-langkah mendetail, lihat Membuat sumber daya layanan Azure AI.

• Akun penyimpanan blob Azure di wilayah yang sama dengan sumber daya Kecerdasan Dokumen Anda. Buat kontainer untuk menyimpan dan mengatur data blob Anda dalam akun penyimpanan Anda.

• Jaringan virtual Azure di wilayah yang sama dengan sumber daya Kecerdasan Dokumen Anda. Buat jaringan virtual untuk menyebarkan sumber daya aplikasi Anda untuk melatih model dan menganalisis dokumen.

• VM ilmu data Azure untuk Windows atau Linux/Ubuntu untuk secara opsional menyebarkan VM ilmu data di jaringan virtual untuk menguji koneksi aman yang dibuat.

Mengonfigurasi sumber daya

Konfigurasikan setiap sumber daya untuk memastikan bahwa sumber daya dapat berkomunikasi satu sama lain:

• Konfigurasikan Studio Kecerdasan Dokumen untuk menggunakan sumber daya Kecerdasan Dokumen yang baru dibuat dengan mengakses halaman pengaturan dan memilih sumber daya.

• Pastikan dan validasi bahwa konfigurasi berfungsi dengan memilih API Baca dan menganalisis dokumen sampel. Jika sumber daya dikonfigurasi dengan benar, permintaan berhasil diselesaikan.

• Tambahkan himpunan data pelatihan ke kontainer di akun Storage yang Anda buat.

• Pilih petak peta model kustom untuk membuat proyek kustom. Pastikan Anda memilih sumber daya Kecerdasan Dokumen yang sama dan akun penyimpanan yang Anda buat di langkah sebelumnya.

• Pilih kontainer dengan himpunan data pelatihan yang Anda unggah di langkah sebelumnya. Pastikan bahwa jika himpunan data pelatihan berada dalam folder, jalur folder diatur dengan tepat.

• Pastikan Anda memiliki izin yang diperlukan, Studio mengatur pengaturan CORS yang diperlukan untuk mengakses akun penyimpanan. Jika Anda tidak memiliki izin, Anda perlu memastikan bahwa pengaturan CORS dikonfigurasi pada akun Penyimpanan sebelum Anda dapat melanjutkan.

• Pastikan dan validasi bahwa Studio dikonfigurasi untuk mengakses data pelatihan Anda. Jika Anda dapat melihat dokumen Anda dalam pengalaman pelabelan, semua koneksi yang diperlukan dibuat.

Anda sekarang memiliki implementasi yang berfungsi dari semua komponen yang diperlukan untuk membangun solusi Kecerdasan Dokumen dengan model keamanan default:

Selanjutnya, selesaikan langkah-langkah berikut:

• Konfigurasikan identitas terkelola pada sumber daya Kecerdasan Dokumen.

• Amankan akun penyimpanan untuk membatasi lalu lintas hanya dari jaringan virtual dan alamat IP tertentu.

• Konfigurasikan identitas terkelola Kecerdasan Dokumen untuk berkomunikasi dengan akun penyimpanan.

• Nonaktifkan akses publik ke sumber daya Kecerdasan Dokumen dan buat titik akhir privat. Sumber daya Anda kemudian hanya dapat diakses dari jaringan virtual dan alamat IP tertentu.

• Tambahkan titik akhir privat untuk akun penyimpanan di jaringan virtual yang dipilih.

• Pastikan dan validasi bahwa Anda dapat melatih model dan menganalisis dokumen dari dalam jaringan virtual.

Menyiapkan identitas terkelola untuk Kecerdasan Dokumen

Navigasi ke sumber daya Kecerdasan Dokumen di portal Azure dan pilih tab Identitas. Alihkan identitas terkelola yang ditetapkan Sistem ke Aktif dan simpan perubahan:

Mengamankan akun Penyimpanan

Mulai konfigurasi komunikasi yang aman dengan menavigasi ke tab Jaringan pada akun Storage Anda di portal Azure.

1. Di bawah Firewall dan jaringan virtual, pilih Diaktifkan dari jaringan virtual dan alamat IP yang dipilih dari daftar Akses jaringan publik.

2. Pastikan bahwa Izinkan layanan Azure pada daftar layanan tepercaya untuk mengakses akun penyimpanan ini dipilih dari daftar Pengecualian.

3. Simpan perubahan Anda.

Catatan

Akun penyimpanan Anda tidak akan dapat diakses dari internet publik.

Me-refresh halaman pelabelan model kustom di Studio akan mengakibatkan pesan kesalahan.

Mengaktifkan akses ke penyimpanan dari Kecerdasan Dokumen

Untuk memastikan bahwa sumber daya Kecerdasan Dokumen dapat mengakses himpunan data pelatihan, Anda perlu menambahkan penetapan peran untuk identitas terkelola Anda.

1. Tetap berada di jendela akun penyimpanan di portal Azure, navigasikan ke tab Kontrol Akses (IAM) di bilah navigasi kiri.

2. Pilih tombol Tambahkan penetapan peran.

   

3. Pada tab Peran , cari dan pilih izin Kontributor Data Blob Penyimpanan dan pilih Berikutnya.

   

4. Pada tab Anggota, pilih opsi Identitas terkelola dan pilih + Pilih anggota

5. Pada jendela dialog Pilih identitas terkelola, pilih opsi berikut ini:

   • Langganan. Pilih langganan Anda.

   • Identitas terkelola. Pilih Pengenal Formulir.

   • Pilih. Pilih sumber daya Kecerdasan Dokumen yang Anda aktifkan dengan identitas terkelola.

   

6. Tutup jendela dialog.

7. Terakhir, pilih Tinjau + tetapkan untuk menyimpan perubahan Anda.

Bagus! Anda mengonfigurasi sumber daya Kecerdasan Dokumen untuk menggunakan identitas terkelola untuk menyambungkan ke akun penyimpanan.

Tip

Saat mencoba Document Intelligence Studio, Anda akan melihat READ API dan model bawaan lainnya tidak memerlukan akses penyimpanan untuk memproses dokumen. Namun, melatih model kustom memerlukan konfigurasi tambahan karena Studio tidak dapat langsung berkomunikasi dengan akun penyimpanan. Anda dapat mengaktifkan akses penyimpanan dengan memilih Tambahkan alamat IP klien Anda dari tab Jaringan akun penyimpanan untuk mengonfigurasi komputer Anda untuk mengakses akun penyimpanan melalui daftar IP yang diizinkan.

Mengonfigurasi titik akhir privat untuk akses dari VNETs

Catatan

• Sumber daya hanya dapat diakses dari jaringan virtual.

• Beberapa fitur Kecerdasan Dokumen di Studio seperti label otomatis mengharuskan Studio Kecerdasan Dokumen memiliki akses ke akun penyimpanan Anda.

• Tambahkan alamat IP Studio kami, 20.3.165.95, ke daftar izin firewall untuk sumber daya Inteligensi Dokumen dan Akun Penyimpanan. Ini adalah alamat IP khusus Document Intelligence Studio dan dapat diizinkan dengan aman.

Saat Anda terhubung ke sumber daya dari jaringan virtual, menambahkan titik akhir privat memastikan akun penyimpanan, dan sumber daya Kecerdasan Dokumen dapat diakses dari jaringan virtual.

Selanjutnya, konfigurasikan jaringan virtual untuk memastikan hanya sumber daya dalam jaringan virtual atau router lalu lintas melalui jaringan yang memiliki akses ke sumber daya Kecerdasan Dokumen dan akun penyimpanan.

Mengaktifkan firewall dan jaringan virtual Anda

1. Di portal Azure, navigasikan ke sumber daya Kecerdasan Dokumen Anda.

2. Pilih tab Jaringan dari bilah navigasi kiri.

3. Aktifkan opsi Jaringan terpilih dan Titik Akhir Privat dari tab Firewall dan jaringan virtual dan pilih simpan.

Catatan

Jika Anda mencoba mengakses salah satu fitur Studio Kecerdasan Dokumen, Anda akan melihat pesan akses ditolak. Untuk mengaktifkan akses dari Studio di komputer Anda, pilih kotak centang Tambahkan alamat IP klien Anda dan Simpan untuk memulihkan akses.

Konfigurasikan titik akhir privat Anda

1. Navigasikan ke tab Sambungan titik akhir pribadi dan pilih + Titik akhir privat. Anda dinavigasi ke halaman dialog Buat titik akhir privat.

2. Pada halaman dialog Buat titik akhir privat, pilih opsi berikut ini:

   • Langganan. Pilih langganan tagihan Anda.

   • Grup Sumber Daya. Pilih grup sumber daya yang sesuai.

   • Nama. Masukkan nama untuk titik akhir privat Anda.

   • Wilayah. Pilih wilayah yang sama dengan jaringan virtual Anda.

   • Pilih Berikutnya: Sumber Daya.

   

Konfigurasikan jaringan virtual Anda

1. Pada tab Sumber Daya, terima nilai default dan pilih Berikutnya: Virtual Network.

2. Pada tab Virtual Network , pastikan Anda memilih jaringan virtual yang Anda buat.

3. Jika Anda memiliki beberapa subnet, pilih subnet tempat Anda ingin titik akhir privat tersambung. Terima nilai default untuk Mengalokasikan alamat IP secara dinamis.

4. Pilih Berikutnya: DNS

5. Terima nilai default Ya untuk berintegrasi dengan zona DNS pribadi.

   

6. Terima default yang tersisa, dan pilih Berikutnya: Tag.

7. Pilih Berikutnya: Tinjau + buat.

Kerja bagus! Sumber daya Kecerdasan Dokumen Anda sekarang hanya dapat diakses dari jaringan virtual dan alamat IP apa pun dalam daftar ip yang diizinkan.

Mengonfigurasi titik akhir privat untuk penyimpanan

Navigasikan ke akun penyimpanan Anda di portal Azure.

1. Pilih tab Jaringan dari menu navigasi kiri.

2. Pilih tab Koneksi titik akhir privat.

3. Pilih tambahkan + Titik akhir privat.

4. Berikan nama dan pilih wilayah yang sama dengan jaringan virtual.

5. Pilih Berikutnya: Sumber Daya.

   

6. Pada tab sumber daya, pilih blob dari daftar Sub-sumber daya target.

7. pilih Berikutnya: Virtual Network.

   

8. Pilih Jaringan virtual dan Subnet. Pastikan Aktifkan kebijakan jaringan untuk semua titik akhir privat dalam subnet ini dipilih dan alamat IP yang dialokasikan secara dinamis diaktifkan.

9. Pilih Berikutnya: DNS.

10. Pastikan bahwa Ya diaktifkan untuk Integrasikan dengan zona DNS privat.

11. Pilih Berikutnya: Tag.

12. Pilih Berikutnya: Tinjau + buat.

Bagus sekali! Anda sekarang memiliki semua koneksi antara sumber daya Kecerdasan Dokumen dan penyimpanan yang dikonfigurasi untuk menggunakan identitas terkelola.

Catatan

Sumber daya hanya dapat diakses dari jaringan virtual dan IP yang diizinkan.

Akses studio dan analisis permintaan ke sumber daya Kecerdasan Dokumen Anda akan gagal kecuali permintaan berasal dari jaringan virtual atau dirutekan melalui jaringan virtual.

Memvalidasi penyebaran Anda

Untuk memvalidasi penyebaran, Anda dapat menyebarkan komputer virtual (VM) ke jaringan virtual dan menyambungkan ke sumber daya.

1. Konfigurasikan VM Ilmu Data di jaringan virtual.

2. Sambungkan dari jarak jauh ke VM dari desktop Anda dan luncurkan sesi browser yang mengakses Document Intelligence Studio.

3. Analisis permintaan dan operasi pelatihan sekarang harus berhasil.

Itu saja! Anda sekarang dapat mengonfigurasi akses aman untuk sumber daya Kecerdasan Dokumen Anda dengan identitas terkelola dan titik akhir privat.

Pesan kesalahan umum

• Gagal untuk mengakses kontainer Blob:

  

  Resolusi:

  1. Mengonfigurasi CORS.

  2. Pastikan komputer klien dapat mengakses sumber daya Kecerdasan Dokumen dan akun penyimpanan, baik mereka berada di alamat IP klien yang sama VNET, atau diizinkan di Halaman pengaturan Firewall Jaringan > dan jaringan virtual dari sumber daya Kecerdasan Dokumen dan akun penyimpanan.

• AuthorizationFailure:

  

  Resolusi: Pastikan komputer klien dapat mengakses sumber daya Kecerdasan Dokumen dan akun penyimpanan, baik mereka berada di alamat IP klien yang sama VNET, atau diizinkan di Firewall Jaringan > dan halaman pengaturan jaringan virtual dari sumber daya Kecerdasan Dokumen dan akun penyimpanan.

• ContentSourceNotAccessible:

  

  Resolusi: Pastikan Anda memberikan identitas terkelola Kecerdasan Dokumen peran Kontributor Data Blob Penyimpanan dan akses layanan Tepercaya yang diaktifkan atau Aturan instans sumber daya pada tab jaringan.

• AccessDenied:

  

  Resolusi: Pastikan komputer klien dapat mengakses sumber daya Kecerdasan Dokumen dan akun penyimpanan, baik mereka berada di alamat IP klien yang sama VNET, atau diizinkan di Firewall Jaringan > dan halaman pengaturan jaringan virtual dari sumber daya Kecerdasan Dokumen dan akun penyimpanan.

Langkah berikutnya

Mengakses Azure Storage dari aplikasi web menggunakan identitas terkelola