Condividi tramite

Configurare l'accesso alla rete e le regole del firewall per Azure AI Search

  • Articolo

Non appena si installa Azure AI Search, è possibile configurare l'accesso alla rete per limitare l'accesso a un set approvato di dispositivi e servizi cloud. Esistono due meccanismi:

  • Regole in ingresso che elencano gli indirizzi IP, gli intervalli o le subnet da cui sono ammesse le richieste
  • Eccezioni alle regole di rete, in cui le richieste vengono ammesse senza controlli, purché la richiesta provenga da un servizio attendibile

Le regole di rete non sono necessarie, ma aggiungerle rappresenta una procedura consigliata per la sicurezza.

Le regole di rete hanno ambiti per le operazioni del piano dati rispetto all'endpoint pubblico del servizio di ricerca. Le operazioni del piano dati includono la creazione o l'esecuzione di query sugli indici e tutte le altre azioni descritte dalle API REST di ricerca. Amministrazione del servizio di destinazione delle operazioni del piano di controllo. Queste operazioni specificano gli endpoint del provider di risorse, soggetti alle protezioni di rete supportate da Azure Resource Manager.

Questo articolo illustra come configurare l'accesso di rete all'endpoint pubblico di un servizio di ricerca. Per bloccare l'accesso a tutti i piani dati nell'endpoint pubblico, usare endpoint privati e una rete virtuale di Azure.

Questo articolo presuppone l'uso del portale di Azure per la configurazione dell'accesso alla rete. È anche possibile usare l'API REST di gestione, Azure PowerShell o l'interfaccia della riga di comando di Azure.

Prerequisiti

  • Un servizio di ricerca, qualsiasi area, al livello Basic o superiore

  • Autorizzazioni di Proprietario o Collaboratore

Configurare l'accesso alla rete nel portale di Azure

  1. Accedere al portale di Azure e trovare il servizio di ricerca.

  2. In Impostazioni selezionare Rete nel riquadro più a sinistra. Se questa opzione non viene visualizzata, controllare il livello di servizio. Le opzioni di rete sono disponibili nel livello Basic e in quelli superiori.

  3. Scegliere Indirizzi IP selezionati. Evitare l'opzione Disabilitata a meno che non si configuri un endpoint privato.

    Screenshot che mostra le opzioni di accesso alla rete nel portale di Azure.

  4. Quando si sceglie questa opzione, diventano disponibili altre impostazioni.

    Screenshot che mostra come configurare il firewall IP nel portale di Azure.

  5. In Firewall IPselezionare Aggiungere l'indirizzo IP client per creare una regola in ingresso per l'indirizzo IP pubblico del sistema. Per informazioni dettagliate, vedere Consentire l'accesso dall'indirizzo IP del portale di Azure .

  6. Aggiungere altri indirizzi IP client per altri dispositivi e servizi che inviano richieste a un servizio di ricerca.

    Gli indirizzi IP e gli intervalli sono in formato CIDR. Un esempio di notazione CIDR è 8.8.8.0/24, che rappresenta gli indirizzi IP compresi tra 8.8.8.0 e 8.8.8.255.

    Se il client di ricerca è un'app Web statica in Azure, vedere Indirizzi IP in ingresso e in uscita nel servizio app di Azure. Per le funzioni di Azure, vedere Indirizzi IP in Funzioni di Azure.

  7. In Eccezioni, selezionare Consenti ai servizi di Azure nell'elenco dei servizi attendibili di accedere a questo servizio di ricerca. L'elenco di servizi attendibili include:

    • Microsoft.CognitiveServices per Azure OpenAI e Servizi di Azure AI
    • Microsoft.MachineLearningServices per Azure Machine Learning

    Quando si abilita questa eccezione, si assume una dipendenza dall'autenticazione di Microsoft Entra ID, dalle identità gestite e dalle assegnazioni di ruolo. Qualsiasi servizio Azure per intelligenza artificiale o funzionalità AML con un'assegnazione di ruolo valida nel servizio di ricerca può ignorare il firewall. Per altri dettagli, vedere Concedere l'accesso ai servizi attendibili.

  8. Selezionare Salva per salvare le modifiche.

Dopo aver abilitato i criteri di controllo di accesso IP per il servizio Azure AI Search, tutte le richieste al piano dati dai computer esterni all'elenco di intervalli di indirizzi IP consentiti vengono rifiutate.

Quando le richieste provengono da indirizzi IP non inclusi nell'elenco consentito, viene restituita una risposta generica 403 Accesso negato senza altri dettagli.

Importante

L'applicazione delle modifiche potrebbe richiedere alcuni minuti. Attendere almeno 15 minuti prima di risolvere eventuali problemi relativi alla configurazione di rete.

Consentire l'accesso dall'indirizzo IP del portale di Azure

Quando vengono configurate le regole IP, alcune funzionalità del portale di Azure sono disabilitate. È possibile visualizzare e gestire le informazioni a livello di servizio, ma l'accesso del portale alle procedure guidate di importazione, indici, indicizzatori e altre risorse di primo livello è limitato.

È possibile ripristinare l'accesso del portale all'intera gamma di operazioni del servizio di ricerca aggiungendo l'indirizzo IP del portale.

Per ottenere l'indirizzo IP del portale, eseguire nslookup (o ping) su stamp2.ext.search.windows.net, ossia il dominio della gestione traffico. Per nslookup, l'indirizzo IP è visibile nella parte "Risposta non autorevole" della risposta.

Nell'esempio seguente l'indirizzo IP da copiare è 52.252.175.48.

$ nslookup stamp2.ext.search.windows.net
Server:  ZenWiFi_ET8-0410
Address:  192.168.50.1

Non-authoritative answer:
Name:    azsyrie.northcentralus.cloudapp.azure.com
Address:  52.252.175.48
Aliases:  stamp2.ext.search.windows.net
          azs-ux-prod.trafficmanager.net
          azspncuux.management.search.windows.net

Quando i servizi vengono eseguiti in aree diverse, si connettono a gestori di traffico diversi. Indipendentemente dal nome di dominio, l'indirizzo IP restituito dal ping è quello corretto da usare quando si definisce una regola del firewall in ingresso per il portale di Azure nell'area.

Per il ping, si verifica il timeout della richiesta, ma l'indirizzo IP è visibile nella risposta. Ad esempio, nel messaggio "Pinging azsyrie.northcentralus.cloudapp.azure.com [52.252.175.48]", l'indirizzo IP è 52.252.175.48.

Un banner informa che le regole IP influiscono sull'esperienza del portale. Questo banner rimane visibile anche dopo aver aggiunto l'indirizzo IP del portale. Ricordarsi di attendere alcuni minuti per rendere effettive le regole di rete prima del test.

Screenshot che mostra il banner di accesso limitato.

Concedere l'accesso ai servizi di Azure attendibili

È stata selezionata l'eccezione dei servizi attendibili? In caso affermativo, la risorsa di Azure deve avere un'identità gestita (assegnata dal sistema o dall'utente, ma in genere dal sistema) ed è necessario usare i controlli di accesso in base al ruolo.

L'elenco di servizi attendibili per Azure AI Search include:

  • Microsoft.CognitiveServices per Azure OpenAI e Servizi di Azure AI
  • Microsoft.MachineLearningServices per Azure Machine Learning

I flussi di lavoro per questa eccezione di rete sono richieste che hanno origine da Studio AI della piattaforma Azure, Studio OpenAI di Azure o altre funzionalità AML ad Azure AI Search, in genere in scenari OpenAI di Azure nei dati per il recupero di ambienti di generazione aumentata (RAG) e playground.

Per le identità gestite in Azure OpenAI e Azure Machine Learning:

Per le identità gestite nei Servizi di Azure AI:

  1. Trovare l'account multiservizio.
  2. Nel riquadro più a sinistra, in Gestione risorse, selezionare Identità.
  3. Impostare Assegnato dal sistema su On.

Dopo che la risorsa di Azure ha un'identità gestita, assegnare ruoli in Azure AI Search per concedere autorizzazioni a dati e operazioni. È consigliabile usare il Lettore di dati dell'indice di ricerca.

Nota

Questo articolo illustra l'eccezione attendibile per l'ammissione di richieste al servizio di ricerca, ma Azure AI Search si trova nell'elenco di servizi attendibili di altre risorse di Azure. In particolare, è possibile usare l'eccezione del servizio attendibile per le connessioni da Azure AI Search ad Archiviazione di Azure.

Passaggi successivi

Dopo che una richiesta è consentita tramite il firewall, deve essere autenticata e autorizzata. è possibile procedere in due modi:

  • L'autenticazione basata su chiave, in cui viene fornita una chiave API di amministrazione o query nella richiesta. Si tratta dell'impostazione predefinita.

  • Controllo degli accessi in base al ruolo (RBAC) usando Microsoft Entra ID, dove il chiamante è membro di un ruolo di sicurezza in un servizio di ricerca. Questa è l'opzione più sicura. Usa Microsoft Entra ID per l'autenticazione e le assegnazioni di ruolo in Azure AI Search per le autorizzazioni per i dati e le operazioni.

Abilitare il controllo degli accessi in base al ruolo nel servizio di ricerca