次の方法で共有

マネージド ID と仮想ネットワークを使用してセキュリティで保護されたアクセスを構成する

このコンテンツの適用対象:checkmarkv4.0 (GA)checkmarkv3.1 (GA)checkmarkv3.0 (GA)checkmarkv2.1 (GA)

この攻略ガイドでは、Document Intelligence リソース用にセキュリティで保護された接続を有効にするプロセスについて説明します。 次の接続をセキュリティで保護することができます。

  • 仮想ネットワーク (VNET) 内のクライアント アプリケーションと Document Intelligence リソースの間の通信。

  • Document Intelligence Studio と Document Intelligence リソースとの間の通信。

  • Document Intelligence リソースとストレージ アカウントの間の通信 (カスタム モデルをトレーニングするときに必要)。

リソースをセキュリティで保護するように環境を設定します。

マネージド ID と仮想ネットワークを使用したセキュリティで保護された構成のスクリーンショット。

前提条件

開始するには、以下が必要です。

リソースの構成

リソースが相互に通信できるように、各リソースを構成します。

  • 設定ページにアクセスしてリソースを選ぶことで、新しく作成した Document Intelligence リソースを使うように Document Intelligence Studio を構成します。

  • Read API を選んでサンプル ドキュメントを分析することにより、構成が機能することを確認および検証します。 リソースが正しく構成されている場合、要求は正常に完了します。

  • 作成したストレージ アカウントのコンテナーに、トレーニング データセットを追加します。

  • カスタム モデル タイルを選んで、カスタム プロジェクトを作成します。 前のステップで作成したのと同じ Document Intelligence リソースとストレージ アカウントを選びます。

  • 前のステップでアップロードしたトレーニング データセットが含まれるコンテナーを選びます。 トレーニング データセットがフォルダー内にある場合は、フォルダー パスが適切に設定されていることを確認します。

  • 必要なアクセス許可があることを確認し、Studio によってストレージ アカウントにアクセスするために必要な CORS 設定が行われます。 アクセス許可がない場合は、先に進む前に、ストレージ アカウントで CORS 設定が構成されていることを確認する必要があります。

  • Studio がトレーニング データにアクセスするように構成されていることを確認して検証します。 ラベル付けエクスペリエンスでドキュメントを参照できる場合は、必要なすべての接続が確立されています。

既定のセキュリティ モデルで Document Intelligence ソリューションを構築するために必要なすべてのコンポーネントの実装が動作するようになりました。

既定のセキュリティ構成のスクリーンショット。

次に、以下の手順を完了します。

  • Document Intelligence リソースでマネージド ID を構成します。

  • ストレージ アカウントをセキュリティで保護して、特定の仮想ネットワークと IP アドレスからのトラフィックのみに制限します。

  • ストレージ アカウントと通信するように、Document Intelligence のマネージド ID を構成します。

  • ドキュメント インテリジェンス リソースへのパブリック アクセスを無効にし、プライベート エンドポイントを作成します。 そうすると、リソースには、特定の仮想ネットワークと IP アドレスからのみアクセスできます。

  • 選んだ仮想ネットワークにストレージ アカウントのプライベート エンドポイントを追加します。

  • 仮想ネットワーク内からモデルをトレーニングしてドキュメントを分析できることを確認および検証します。

Document Intelligence のマネージド ID を設定する

Azure portal で Document Intelligence リソースに移動し、[ID] タブを選びます。[システム割り当て済み] のマネージド ID を [オン] に切り替えて、変更を保存します。

マネージド ID の構成のスクリーンショット。

ストレージ アカウントをセキュリティで保護する

Azure portal のストレージ アカウント[ネットワーク] タブに移動して、セキュリティで保護された通信の構成を始めます。

  1. [ファイアウォールと仮想ネットワーク] で、[パブリック ネットワーク アクセス] の一覧から [選択した仮想ネットワークと IP アドレスから有効] を選びます。

  2. [例外] の一覧で [信頼されたサービスの一覧にある Azure サービスがこのストレージ アカウントにアクセスすることを許可します] がオンになっていることを確認します。

  3. 変更内容を保存します。

ストレージ ファイアウォールの構成のスクリーンショット。

注意

パブリック インターネットからストレージ アカウントにアクセスすることはできません。

Studio でカスタム モデルのラベル付けページを更新すると、エラー メッセージが表示されます。

Document Intelligence からストレージへのアクセスを有効にする

Document Intelligence リソースからトレーニング データセットにアクセスできるようにするには、マネージド ID にロールの割り当てを追加する必要があります。

  1. Azure portal の [ストレージ アカウント] ウィンドウを表示したまま、左側のウィンドウの [アクセス制御 (IAM)] タブに移動します。

  2. [ロールの割り当ての追加] ボタンを選びます。

    [ロールの割り当ての追加] ウィンドウのスクリーンショット。

  3. [ロール] タブで、[ストレージ BLOB データ共同作成者] アクセス許可を検索して選び、[次へ] を選びます。

    [ロール] タブの選択のスクリーンショット。

  4. [メンバー] タブで、[マネージド ID] オプションを選んで、[+ メンバーの選択] を選びます

  5. [マネージド ID の選択] ダイアログ ウィンドウで、次のオプションを選びます。

    • [サブスクリプション]。 サブスクリプションを選択します。

    • [マネージド ID][Form Recognizer] を選びます。

    • 選択する。 マネージド ID で有効にした Document Intelligence リソースを選びます。

    [マネージド ID] ダイアログ ウィンドウのスクリーンショット。

  6. ダイアログ ウィンドウを閉じます

  7. 最後に、[レビューと割り当て] を選んで変更を保存します。

すばらしい。 マネージド ID を使ってストレージ アカウントに接続するための Document Intelligence リソースの構成が済みました。

ヒント

Document Intelligence Studio を試すと、READ API や他の事前構築済みモデルでドキュメントを処理するためにストレージ アクセスは必要ないことがわかります。 ただし、Studio はストレージ アカウントと直接通信できないため、カスタム モデルをトレーニングするには追加の構成が必要です。 ストレージ アカウントの [ネットワーク] タブで [クライアント IP アドレスを追加する] を選び、IP 許可リストを使ってストレージ アカウントにアクセスするようにコンピューターを構成することで、ストレージ アクセスを有効にできます。

VNET からのアクセス用にプライベート エンドポイントを構成する

注意

  • リソースには、仮想ネットワークからのみアクセスできます。

  • Studio の一部の Document Intelligence 機能 (自動ラベルなど) を使用するには、Document Intelligence Studio にストレージ アカウントへのアクセス権が必要です。

  • Document Intelligence とストレージ アカウントの両方のリソースのファイアウォール許可リストに、Studio の IP アドレス 20.3.165.95 を追加します。 これは Document Intelligence Studio の専用 IP アドレスであり、安全に許可できます。

仮想ネットワークからリソースに接続するときは、プライベート エンドポイントを追加することで、ストレージ アカウントと Document Intelligence リソースの両方に仮想ネットワークからアクセスできるようになります。

次に、仮想ネットワークを構成して、仮想ネットワーク内のリソースまたはネットワーク経由のトラフィック ルーターのみから、Document Intelligence リソースとストレージ アカウントにアクセスできるようにします。

ファイアウォールと仮想ネットワークを有効にする

  1. Azure portal で、Document Intelligence リソースに移動します。

  2. 左側のウィンドウから [ ネットワーク ] タブを選択します。

  3. [ファイアウォールと仮想ネットワーク] タブで [選択したネットワークとプライベート エンドポイント] オプションを有効にして、[保存] を選びます。

注意

Document Intelligence Studio の機能のいずれかにアクセスしようとすると、アクセス拒否メッセージが表示されます。 コンピューター上の Studio からアクセスできるようにするには、[クライアント IP アドレスを追加する] チェックボックスをオンにして [保存] を選び、アクセスを復元します。

Document Intelligence へのパブリック アクセスを無効にする方法を示すスクリーンショット。

プライベート エンドポイントを構成する

  1. [プライベート エンドポイント接続] タブに移動して、[+ プライベート エンドポイント] を選びます。 [プライベート エンドポイントの作成] ダイアログ ページに移動します。

  2. [プライベート エンドポイントの作成] ダイアログ ページで、次のオプションを選びます。

    • [サブスクリプション]。 課金サブスクリプションを選びます。

    • リソース グループ。 適切なリソース グループを選びます。

    • 名前。 プライベート エンドポイントの名前を入力します。

    • [リージョン]。 仮想ネットワークと同じリージョンを選びます。

    • 次へ:リソース を選択します。

    プライベート エンドポイントを設定する方法を示すスクリーンショット。

仮想ネットワークを構成する

  1. [リソース] タブでは、既定値をそのまま使って、[次: 仮想ネットワーク] を選びます。

  2. [仮想ネットワーク] タブで、作成した仮想ネットワークを選択していることを確認します。

  3. 複数のサブネットがある場合は、プライベート エンドポイントを接続するサブネットを選びます。 [IP アドレスを動的に割り当てる] は既定値のままにします。

  4. [次: DNS] を選びます

  5. [プライベート DNS ゾーンと統合する] は、既定値の [はい] をそのまま使います。

    プライベート エンドポイントを構成する方法を示すスクリーンショット。

  6. 残りの既定値はそのままにして、[次: タグ] を選びます。

  7. [次: 確認と作成] を選びます。

お疲れさまでした。 仮想ネットワークと IP 許可リスト内のすべての IP アドレスからのみ、Document Intelligence リソースにアクセスできるようになりました。

ストレージのプライベート エンドポイントを構成する

Azure portal でストレージ アカウントに移動します。

  1. 左側のウィンドウから [ ネットワーク ] タブを選択します。

  2. [プライベート エンドポイント接続] タブを選択します。

  3. [+ プライベート エンドポイント] を選びます。

  4. 名前を指定し、仮想ネットワークと同じリージョンを選びます。

  5. 次へ:リソース を選択します。

    プライベート エンドポイントを作成する方法を示すスクリーンショット。

  6. [リソース] タブで、[対象サブリソース] の一覧から [BLOB] を選びます。

  7. [次: 仮想ネットワーク] を選びます。

    BLOB 向けにプライベート エンドポイントを構成する方法を示すスクリーンショット

  8. [仮想ネットワーク][サブネット] を選びます。 [このサブネット内のすべてのプライベート エンドポイントに対してネットワーク ポリシーを有効にします] がオンにされ、[IP アドレスを動的に割り当てる] が有効にされていることを確認します。

  9. [次: DNS] を選びます。

  10. [プライベート DNS ゾーンと統合する][はい] が有効になっていることを確認します。

  11. タグを選択します。

  12. 確認と作成 をクリックします。

上出来 これで、Document Intelligence リソースとストレージの間のすべての接続が、マネージド ID を使うように構成されました。

注意

リソースには、その仮想ネットワークと許可された IP からのみアクセスできます。

Studio による Document Intelligence リソースへのアクセスと分析の要求は、要求が仮想ネットワークから発信されているか、仮想ネットワーク経由でルーティングされているのでない限り失敗します。

デプロイを検証する

デプロイを検証するには、仮想マシン (VM) を仮想ネットワークにデプロイし、リソースに接続します。

  1. 仮想ネットワークで Data Science VM を構成します。

  2. デスクトップから VM にリモートで接続し、Document Intelligence Studio にアクセスするブラウザー セッションを起動します。

  3. 分析要求とトレーニング操作が、正常に機能するはずです。

これで完了です。 マネージド ID とプライベート エンドポイントを使って、Document Intelligence リソースへのセキュリティで保護されたアクセスを構成できるようになりました。

一般的なエラー メッセージ

  • BLOB コンテナーにアクセスできませんでした:

    CORS の構成が必要というエラー メッセージのスクリーンショット。

    解決策:

    1. CORS を構成します

    2. クライアント コンピューターから Document Intelligence リソースとストレージ アカウントにアクセスできること、それらが同じ VNET 内にあるか、Document Intelligence リソースとストレージ アカウントの両方の [ネットワーク] > [ファイアウォールと仮想ネットワーク] 設定ページで、クライアント IP アドレスが許可されていることを確認します。

  • AuthorizationFailure:

    認可の失敗エラーのスクリーンショット

    解決策: クライアント コンピューターから Document Intelligence リソースとストレージ アカウントにアクセスできること、それらが同じ VNET 内にあるか、Document Intelligence リソースとストレージ アカウントの両方の [ネットワーク] > [ファイアウォールと仮想ネットワーク] 設定ページで、クライアント IP アドレスが許可されていることを確認します。

  • ContentSourceNotAccessible:

    コンテンツ ソースにアクセス不可エラーのスクリーンショット。

    解決策: Document Intelligence のマネージド ID にストレージ BLOB データ共同作成者のロールを付与し、[ネットワーク] タブで信頼されたサービス アクセスまたはリソース インスタンス ルールを有効にしてあることを確認します。

  • AccessDenied:

    アクセス拒否エラーのスクリーンショット。

    解決策: クライアント コンピューターから Document Intelligence リソースとストレージ アカウントにアクセスできること、それらが同じ VNET 内にあるか、Document Intelligence リソースとストレージ アカウントの両方の [ネットワーク] > [ファイアウォールと仮想ネットワーク] 設定ページで、クライアント IP アドレスが許可されていることを確認します。

次のステップ

マネージド ID を使用して Web アプリから Azure Storage にアクセスする