ファイアウォールの背後にあるストレージ アカウントを操作できるように Video Indexer を構成する
Video Indexer アカウントを作成するときは、それを Azure Storage アカウントに関連付ける必要があります。 VI のストレージ アカウントは、Standard 汎用 v2 ストレージ アカウントである必要があります。 Video Indexer は、システム認証またはマネージド ID 認証を使用してストレージ アカウントにアクセスできます。 Video Indexer は、関連付けを追加するユーザーが、Azure Resource Manager ロール ベースのアクセス制御 (RBAC) を使用してストレージ アカウントにアクセス権を持っていることを検証します。
ファイアウォールを使ってストレージ アカウントをセキュリティで保護し、信頼されたストレージを有効にする場合は、ファイアウォールを介して Video Indexer のアクセスを許可するマネージド ID 認証が推奨されるオプションです。 これにより、Video Indexer は、信頼されたストレージ アクセスにパブリック アクセスを必要とせずに構成されたストレージ アカウント アクセスできます。
重要
特に Video Indexer ポータルに関連して、パブリック アクセスなしでストレージ アカウントをロックする場合の影響を理解することが重要です。 このシナリオでは、クライアント デバイスのソース IP が極めて重要です。 ストレージ アカウントがロックされていて、ソース IP の例外がない場合、ビデオ ソース ファイルの SAS URL へのアクセスは拒否されます。 これは、ビデオ コンテンツのダウンロードとストリーミングの両方に適用されます。
シームレスなアクセスを確保するために、これらの要件に対応するために、ネットワーク/ストレージ管理者と緊密に連携することをお勧めします。 企業ネットワーク、VPN、または Azure Private Link を利用して、ストレージ アカウントのセキュリティ体制を維持しながら、必要な接続を提供します。
たとえば、Azure Private Link では、仮想ネットワークから Azure サービスにプライベートにアクセスするための安全な方法が提供されます。 ネットワーク アーキテクチャが簡素化され、パブリック インターネットへのデータの公開をなくすことで Azure でのエンドポイント間の接続がセキュリティで保護されます。
ネットワーク構成に対する変更は、重要なサービスとリソースへのアクセスを中断しないように、慎重に計画およびテストする必要があります。
ストレージのマネージド ID を有効にし、ストレージ アカウントをロックするには、次の手順に従います。 Video Indexer アカウントを既に作成し、ストレージ アカウントを関連付けたものと想定されています。
マネージド ID とロールを割り当てる
Azure AI Video Indexer アカウントを作成 のすべての手順に従いますが次の手順も使用します。
- [ロール 割り当てを選択すると、
Azure Media Services : ContributorとAzure Storage : Storage Blob Data Ownerのロールが割り当てられます。 Video Indexer アカウントの [ID] メニューに移動し、[Azure ロールの割り当て] を選ぶと、割り当てを検証したり、手動で設定したりすることができます。 - ストレージ アカウントに移動します。 メニューから [ネットワーク] を選び、[パブリック ネットワーク アクセス] セクションで [Enabled from selected virtual networks and IP addresses] (選択した仮想ネットワークと IP アドレスから有効にする) を選びます。
- [例外] の [Allow Azure services on the trusted services list to access this storage account] (信頼済みサービス一覧にある Azure サービスがこのストレージ アカウントにアクセスすることを許可する) がオンになっていることを確認します。
ロックされたストレージ アカウントからアップロードする
Video Indexer にファイルをアップロードするときに、SAS ロケーターを使って動画へのリンクを指定できます。 ビデオをホストしているストレージ アカウントにパブリックにアクセスできない場合は、マネージド ID と信頼されたサービスのアプローチを使用します。 SAS URL がロックされたストレージ アカウントを指しているかどうかを確認する方法がないため、upload-video API 呼び出しでtrueするようにクエリ パラメーター useManagedIdentityToDownloadVideoを明示的に設定。
また、ストレージ アカウントと同様に、このストレージ アカウントにロール Azure Storage : Storage Blob Data Owner を設定する必要があります。