Configurare l'accesso sicuro con identità gestite e reti virtuali

  • Articolo

Questo contenuto si applica a:checkmarkv4.0 (anteprima)checkmarkv3.1 (GA)checkmarkv3.0 (GA)checkmarkv2.1 (GA)

Questa guida pratica illustra il processo di abilitazione delle connessioni sicure per la risorsa di Document Intelligence. È possibile proteggere le connessioni seguenti:

  • Comunicazione tra un'applicazione client all'interno di un Rete virtuale (VNET) e la risorsa di Document Intelligence.

  • Comunicazione tra Document Intelligence Studio e la risorsa di Document Intelligence.

  • Comunicazione tra la risorsa di Document Intelligence e un account di archiviazione (necessario per il training di un modello personalizzato).

Si sta configurando l'ambiente per proteggere le risorse:

Screenshot of secure configuration with managed identity and virtual networks.

Prerequisiti

Per iniziare, è necessario:

  • Un account Azure attivo, se non ne è disponibile uno, è possibile creare un account gratuito.

  • Una risorsa di Document Intelligence o dei servizi di intelligenza artificiale di Azure nella portale di Azure. Per i passaggi dettagliati, vedereCreare una risorsa multiservizio.

  • Un account di archiviazione BLOB di Azure nella stessa area della risorsa di Document Intelligence. Creare contenitori per archiviare e organizzare i dati BLOB all'interno dell'account di archiviazione.

  • Una rete virtuale di Azure nella stessa area della risorsa di Document Intelligence. Creare una rete virtuale per distribuire le risorse dell'applicazione per eseguire il training dei modelli e analizzare i documenti.

  • Una macchina virtuale di data science di Azure per Windows o Linux/Ubuntu per distribuire facoltativamente una macchina virtuale di data science nella rete virtuale per testare le connessioni sicure stabilite.

Configure resources

Configurare ognuna delle risorse per assicurarsi che le risorse possano comunicare tra loro:

  • Configurare Document Intelligence Studio per usare la risorsa Document Intelligence appena creata accedendo alla pagina delle impostazioni e selezionando la risorsa.

  • Verificare che la configurazione funzioni selezionando l'API lettura e analizzando un documento di esempio. Se la risorsa è stata configurata correttamente, la richiesta viene completata correttamente.

  • Aggiungere un set di dati di training a un contenitore nell'account Archiviazione creato.

  • Selezionare il riquadro del modello personalizzato per creare un progetto personalizzato. Assicurarsi di selezionare la stessa risorsa di Document Intelligence e l'account di archiviazione creato nel passaggio precedente.

  • Selezionare il contenitore con il set di dati di training caricato nel passaggio precedente. Assicurarsi che se il set di dati di training si trova all'interno di una cartella, il percorso della cartella viene impostato in modo appropriato.

  • Se si dispone delle autorizzazioni necessarie, Studio imposta l'impostazione CORS necessaria per accedere all'account di archiviazione. Se non si dispone delle autorizzazioni, è necessario assicurarsi che le impostazioni CORS siano configurate nell'account Archiviazione prima di procedere.

  • Verificare che Studio sia configurato per accedere ai dati di training, se è possibile visualizzare i documenti nell'esperienza di etichettatura, vengono stabilite tutte le connessioni necessarie.

È ora disponibile un'implementazione funzionante di tutti i componenti necessari per creare una soluzione document intelligence con il modello di sicurezza predefinito:

Screenshot of default security configuration.

Completare quindi i passaggi seguenti:

  • Configurare l'identità gestita nella risorsa di Document Intelligence.

  • Proteggere l'account di archiviazione per limitare il traffico solo da reti virtuali e indirizzi IP specifici.

  • Configurare l'identità gestita di Document Intelligence per comunicare con l'account di archiviazione.

  • Disabilitare l'accesso pubblico alla risorsa di Document Intelligence e creare un endpoint privato per renderlo accessibile solo da reti virtuali e indirizzi IP specifici.

  • Aggiungere un endpoint privato per l'account di archiviazione in una rete virtuale selezionata.

  • Verificare che sia possibile eseguire il training dei modelli e analizzare i documenti dall'interno della rete virtuale.

Configurare l'identità gestita per Document Intelligence

Passare alla risorsa Document Intelligence nella portale di Azure e selezionare la scheda Identità. Impostare l'identità gestita assegnata dal sistema su e salvare le modifiche:

Screenshot of configure managed identity.

Proteggere l'account Archiviazione per limitare il traffico

Iniziare a configurare le comunicazioni sicure passando alla scheda Rete nell'account Archiviazione nel portale di Azure.

  1. In Firewall e reti virtuali scegliere Abilitato tra reti virtuali e indirizzi IP selezionati dall'elenco Accesso alla rete pubblica.

  2. Assicurarsi che l'opzione Consenti ai servizi di Azure nell'elenco dei servizi attendibili di accedere a questo account di archiviazione sia selezionata nell'elenco Eccezioni .

  3. Selezionare Salva per salvare le modifiche.

Screenshot of configure storage firewall.

Nota

L'account di archiviazione non sarà accessibile dalla rete Internet pubblica.

L'aggiornamento della pagina di etichettatura del modello personalizzata in Studio genererà un messaggio di errore.

Abilitare l'accesso all'archiviazione da Document Intelligence

Per assicurarsi che la risorsa di Document Intelligence possa accedere al set di dati di training, è necessario aggiungere un'assegnazione di ruolo per l'identità gestita.

  1. Rimanendo nella finestra dell'account di archiviazione nella portale di Azure, passare alla scheda Controllo di accesso (IAM) nella barra di spostamento a sinistra.

  2. Selezionare il pulsante Aggiungi assegnazione di ruolo.

    Screenshot of add role assignment window.

  3. Nella scheda Ruolo cercare e selezionare l'autorizzazione Archiviazione lettore di dati BLOB e selezionare Avanti.

    Screenshot of choose a role tab.

  4. Nella scheda Membri selezionare l'opzione Identità gestita e scegliere + Seleziona membri

  5. Nella finestra di dialogo Seleziona identità gestite selezionare le opzioni seguenti:

    • Sottoscrizione. Selezionare la propria sottoscrizione.

    • Identità gestita. Selezionare Riconoscimento modulo.

    • Seleziona. Scegliere la risorsa di Intelligence sui documenti abilitata con un'identità gestita.

    Screenshot of managed identities dialog window.

  6. Chiudere la finestra di dialogo.

  7. Infine, selezionare Rivedi e assegna per salvare le modifiche.

Ottimo. La risorsa di Document Intelligence è stata configurata per l'uso di un'identità gestita per connettersi a un account di archiviazione.

Suggerimento

Quando si prova Document Intelligence Studio, si noterà che l'API READ e altri modelli predefiniti non richiedono l'accesso all'archiviazione per elaborare i documenti. Tuttavia, il training di un modello personalizzato richiede una configurazione aggiuntiva perché Studio non può comunicare direttamente con un account di archiviazione. È possibile abilitare l'accesso alle risorse di archiviazione selezionando Aggiungi l'indirizzo IP client nella scheda Rete dell'account di archiviazione per configurare il computer per accedere all'account di archiviazione tramite l'elenco indirizzi IP consentiti.

Configurare gli endpoint privati per l'accesso da reti virtuali

Nota

  • Le risorse sono accessibili solo dalla rete virtuale.

  • Alcune funzionalità di Document Intelligence in Studio come l'etichetta automatica richiedono che Document Intelligence Studio abbia accesso all'account di archiviazione.

  • Aggiungere l'indirizzo IP di Studio, 20.3.165.95, all'elenco di indirizzi consentiti del firewall sia per le risorse di Document Intelligence che per Archiviazione Account. Questo è l'indirizzo IP dedicato di Document Intelligence Studio e può essere consentito in modo sicuro.

Quando ci si connette alle risorse da una rete virtuale, l'aggiunta di endpoint privati garantisce che sia l'account di archiviazione che la risorsa document intelligence siano accessibili dalla rete virtuale.

Configurare quindi la rete virtuale per garantire che solo le risorse all'interno della rete virtuale o del router del traffico attraverso la rete abbiano accesso alla risorsa document intelligence e all'account di archiviazione.

Abilitare firewall e reti virtuali

  1. Nella portale di Azure passare alla risorsa di Intelligence documenti.

  2. Selezionare la scheda Rete nella barra di spostamento a sinistra.

  3. Abilitare l'opzione Rete e endpoint privati selezionati nella scheda Firewall e reti virtuali e selezionare Salva.

Nota

Se si tenta di accedere a una delle funzionalità di Document Intelligence Studio, verrà visualizzato un messaggio di accesso negato. Per abilitare l'accesso da Studio nel computer, selezionare la casella di controllo Aggiungi indirizzo IP client e Salva per ripristinare l'accesso.

Screenshot showing how to disable public access to Document Intelligence.

Configurare l'endpoint privato

  1. Passare alla scheda Connessioni endpoint privato e selezionare l'endpoint + Privato. Si passa alla finestra di dialogo Crea un endpoint privato.

  2. Nella finestra di dialogo Crea endpoint privato selezionare le opzioni seguenti:

    • Sottoscrizione. Selezionare la sottoscrizione di fatturazione.

    • Gruppo di risorse. Selezionare il gruppo di risorse appropriato.

    • Nome. Immettere un nome per l'endpoint privato.

    • Area. Selezionare la stessa area della rete virtuale.

    • Selezionare Avanti: Risorsa.

    Screenshot showing how to set-up a private endpoint

Configurare la rete virtuale

  1. Nella scheda Risorsa accettare i valori predefiniti e selezionare Avanti: Rete virtuale.

  2. Nella scheda Rete virtuale assicurarsi di selezionare la rete virtuale creata.

  3. Se sono presenti più subnet, selezionare la subnet in cui si vuole connettere l'endpoint privato. Accettare il valore predefinito per allocare dinamicamente l'indirizzo IP.

  4. Selezionare Avanti: DNS

  5. Accettare il valore predefinito Sì per l'integrazione con la zona DNS privata.

    Screenshot showing how to configure private endpoint

  6. Accettare le impostazioni predefinite rimanenti e selezionare Avanti: Tag.

  7. Selezionare Avanti: Rivedi e crea.

le due dipendenze nell'app. La risorsa di Document Intelligence è ora accessibile solo dalla rete virtuale e da tutti gli indirizzi IP nell'elenco indirizzi IP consentiti.

Configurare endpoint privati per l'archiviazione

Passare all'account di archiviazione nel portale di Azure.

  1. Selezionare la scheda Rete dal menu di spostamento a sinistra.

  2. Selezionare la scheda Connessioni endpoint privato.

  3. Scegliere Aggiungi + Endpoint privato.

  4. Specificare un nome e scegliere la stessa area della rete virtuale.

  5. Selezionare Avanti: Risorsa.

    Screenshot showing how to create a private endpoint

  6. Nella scheda risorsa selezionare BLOB dall'elenco Sotto-risorse di destinazione .

  7. selezionare Avanti: Rete virtuale.

    Screenshot showing how to configure a private endpoint for a blob.

  8. Selezionare la rete virtuale e la subnet. Assicurarsi che l'opzione Abilita criteri di rete per tutti gli endpoint privati in questa subnet sia selezionata e che l'indirizzo IP allocato in modo dinamico sia abilitato.

  9. Selezionare Avanti: DNS.

  10. Assicurarsi che sia abilitato per l'integrazione con la zona DNS privata.

  11. Al termine, selezionare Avanti: Tag.

  12. Selezionare Avanti: Rivedi e crea.

Ottimo lavoro! Sono ora disponibili tutte le connessioni tra la risorsa di Document Intelligence e l'archiviazione configurate per l'uso delle identità gestite.

Nota

Le risorse sono accessibili solo dalla rete virtuale e dagli INDIRIZZI IP consentiti.

L'accesso e l'analisi delle richieste alla risorsa di Document Intelligence avranno esito negativo a meno che la richiesta non provenga dalla rete virtuale o venga instradata tramite la rete virtuale.

Convalidare la distribuzione

Per convalidare la distribuzione, è possibile distribuire una macchina virtuale (VM) nella rete virtuale e connettersi alle risorse.

  1. Configurare una macchina virtuale per l'analisi scientifica dei dati nella rete virtuale.

  2. Connettersi in remoto alla macchina virtuale dal desktop per avviare una sessione del browser per accedere a Document Intelligence Studio.

  3. Analizzare le richieste e le operazioni di training dovrebbero ora funzionare correttamente.

Ecco fatto! È ora possibile configurare l'accesso sicuro per la risorsa di Document Intelligence con identità gestite ed endpoint privati.

Messaggi di errore comuni

  • Impossibile accedere al contenitore BLOB:

    Screenshot of error message when CORS config is required

    Risoluzione:

    1. Configurare CORS.

    2. Assicurarsi che il computer client possa accedere alla risorsa e all'account di archiviazione di Document Intelligence, che si trovino nella stessa rete virtuale o che l'indirizzo IP client sia consentito nella pagina delle impostazioni Firewall di rete > e reti virtuali sia della risorsa di Document Intelligence che dell'account di archiviazione.

  • AuthorizationFailure:

    Screenshot of authorization failure error.

    Soluzione: assicurarsi che il computer client possa accedere alla risorsa e all'account di archiviazione di Document Intelligence, che si trovino nella stessa rete virtuale o che l'indirizzo IP client sia consentito nella pagina delle impostazioni Firewall di rete > e reti virtuali sia della risorsa di Document Intelligence che dell'account di archiviazione.

  • ContentSourceNotAccessible:

    Screenshot of content source not accessible error.

    Soluzione: assicurarsi di concedere all'identità gestita di Document Intelligence il ruolo di lettore di dati BLOB Archiviazione e di abilitare l'accesso ai servizi attendibili o le regole dell'istanza delle risorse nella scheda Rete.

  • AccessDenied:

    Screenshot of an access denied error.

    Soluzione: verificare che sia presente la connettività tra il computer che accede a Document Intelligence Studio e al servizio Document Intelligence. Ad esempio, potrebbe essere necessario aggiungere l'indirizzo IP client alla scheda rete del servizio Document Intelligence.

Passaggi successivi

Accedere Archiviazione di Azure da un'app Web usando identità gestite