Membuat koneksi pengindeks ke Azure Storage sebagai layanan tepercaya

Di Azure AI Search, pengindeks yang mengakses blob Azure dapat menggunakan pengecualian layanan tepercaya untuk mengakses blob dengan aman. Mekanisme ini menawarkan pelanggan yang tidak dapat memberikan akses pengindeks menggunakan aturan firewall IP alternatif sederhana, aman, dan gratis untuk mengakses data di akun penyimpanan.

Catatan

Jika Azure Storage berada di belakang firewall dan di wilayah yang sama dengan Azure AI Search, Anda tidak akan dapat membuat aturan masuk yang mengakui permintaan dari layanan pencarian Anda. Solusi untuk skenario ini adalah untuk pencarian agar terhubung sebagai layanan tepercaya, seperti yang dijelaskan dalam artikel ini.

Prasyarat

• Layanan pencarian dengan identitas terkelola yang ditetapkan sistem (lihat memeriksa identitas layanan).

• Akun penyimpanan dengan opsi Izinkan layanan Microsoft tepercaya untuk mengakses jaringan akun penyimpanan ini (lihat memeriksa pengaturan jaringan).

• Penetapan peran Azure di Azure Storage yang memberikan izin ke identitas terkelola yang ditetapkan sistem layanan pencarian (lihat memeriksa izin).

Catatan

Di Azure AI Search, koneksi layanan tepercaya terbatas pada blob dan ADLS Gen2 di Azure Storage. Ini tidak didukung untuk koneksi pengindeks ke Azure Table Storage dan Azure Files.

Koneksi layanan tepercaya harus menggunakan identitas terkelola sistem. Identitas terkelola yang ditetapkan pengguna saat ini tidak didukung untuk skenario ini.

Periksa identitas layanan

1. Masuk ke portal Azure dan temukan layanan pencarian Anda.

2. Pada halaman Identitas , pastikan bahwa identitas yang ditetapkan sistem diaktifkan. Ingat bahwa identitas terkelola yang ditetapkan pengguna, yang saat ini dalam pratinjau, tidak akan berfungsi untuk koneksi layanan tepercaya.

   

Periksa pengaturan jaringan

1. Masuk ke portal Azure dan temukan akun penyimpanan Anda.

2. Di panel navigasi kiri di bawah Keamanan + jaringan, pilih Jaringan.

3. Pada tab Firewall dan jaringan virtual, izinkan akses dari Jaringan yang dipilih.

4. Gulir ke bawah ke bagian Pengecualian .

   

5. Pastikan kotak centang dipilih untuk Izinkan layanan Azure pada daftar layanan tepercaya untuk mengakses akun penyimpanan ini.

   Dengan asumsi layanan pencarian Anda memiliki akses berbasis peran ke akun penyimpanan, layanan ini dapat mengakses data bahkan ketika koneksi ke Azure Storage diamankan oleh aturan firewall IP.

Periksa izin

Identitas terkelola sistem adalah perwakilan layanan Microsoft Entra. Penugasan membutuhkan Pembaca Data Blob Penyimpanan minimal.

1. Di panel navigasi kiri di bawah Kontrol Akses, lihat semua penetapan peran dan pastikan Bahwa Pembaca Data Blob Penyimpanan ditetapkan ke identitas sistem layanan pencarian.

2. Tambahkan Kontributor Data Blob Penyimpanan jika akses tulis diperlukan.

   Fitur yang memerlukan akses tulis termasuk penembolokan pengayaan, sesi debug, dan penyimpanan pengetahuan.

Menyiapkan dan menguji koneksi

Cara term mudah untuk menguji koneksi adalah dengan menjalankan wizard Impor data.

1. Mulai wizard Impor data, pilih Azure Blob Storage atau Azure Data Lake Storage Gen2.

2. Pilih koneksi ke akun penyimpanan Anda, lalu pilih Ditetapkan sistem. Pilih Berikutnya untuk memanggil koneksi. Jika skema indeks terdeteksi, koneksi berhasil.

   

Lihat juga

• Koneksi ke sumber daya Azure lainnya menggunakan identitas terkelola
• Pengindeks blob Azure
• Pengindeks ADLS Gen2
• Autentikasi dengan Microsoft Entra ID
• Tentang identitas terkelola (ID Microsoft Entra)