Azure Storage へのインデクサー接続を信頼できるサービスとして作成する

[アーティクル]
04/22/2024

Azure AI Search では、Azure BLOB にアクセスするインデクサーは、信頼されたサービス例外を使用して、BLOB に安全にアクセスできます。このメカニズムにより、IP ファイアウォール規則を使用してインデクサーにアクセス権を付与できないお客様に対して、ストレージアカウントのデータにアクセスするための簡単、安全かつ無料の代替手段が提供されます。

Note

Azure Storage がファイアウォールの内側にあり、Azure AI Search と同じリージョンにある場合、検索サービスからの要求を許可する受信規則を作成することはできません。この記事で説明するように、このシナリオの解決策は、検索が信頼できるサービスとして接続することです。

前提条件

システム割り当てマネージド ID を使用する検索サービスです (「サービス ID を確認する」を参照してください)。
[信頼された Microsoft サービスによるこのストレージアカウントに対するアクセスを許可します] ネットワークオプションを使用するストレージアカウント (「ネットワーク設定を確認する」を参照してください)。
検索サービスのシステム割り当てマネージド ID にアクセス許可を付与する Azure Storage での Azure ロールの割り当て (「アクセス許可を確認する」を参照してください)。

Note

Azure AI Search では、信頼できるサービス接続は、Azure Storage 上の BLOB と ADLS Gen2 に制限されます。 Azure Table Storage と Azure Files へのインデクサー接続ではサポートされていません。

信頼されたサービス接続では、システムマネージド ID を使用する必要があります。このシナリオでは、ユーザー割り当てマネージド ID は現在サポートされていません。

サービス ID を確認する

Azure portal にサインインし、ご利用の検索サービスを探します。
[ID] ページで、システム割り当て ID が有効化されていることを確認します。現在プレビューで表示されているユーザー割り当てマネージド ID は、信頼されたサービス接続では機能しないことに注意してください。

ネットワーク設定を確認する

Azure portal にサインインして、目的のストレージアカウントを見つけます。
ナビゲーションウィンドウの [セキュリティとネットワーク] で [ネットワーク] を選択します。
[ファイアウォールと仮想ネットワーク] タブで、「選択したネットワーク」からのアクセスを許可します。
[例外] セクションまで下にスクロールします。
[信頼された Azure サービスによるストレージアカウントへのアクセスを許可する] が選択されていることを確認します。

ストレージアカウントへのロールベースのアクセス権がお使いの検索サービスに与えられているとき、Azure Storage への接続が IP ファイアウォール規則によって保護されている場合でも、データにアクセスできます。

アクセス許可を確認する

システムマネージド ID は、Microsoft Entra サービスプリンシパルです。割り当てには、少なくともストレージ BLOB データ閲覧者が必要です。

Access Control の左側のナビゲーションウィンドウで、すべてのロールの割り当てを表示し、[Storage Blob Data Reader] が検索サービスシステム ID に割り当てられていることを確認します。
書き込みアクセスが必要な場合は、Storage Blob データ共同作成者を追加します。

書き込みアクセスを必要とする機能には、エンリッチメントキャッシュ、デバッグセッション、ナレッジストアなどがあります。

接続を設定してテストする

接続をテストする最も簡単な方法は、[データのインポートウィザード] を実行することです。

[データのインポートウィザード] を開始し、Azure Blob Storage または Azure Data Lake Storage Gen2 を選択します。
ストレージアカウントへの接続を選択し、[システム割り当て] を選択します。 [次へ] を選択して接続を呼び出します。インデックススキーマが検出されると、接続は成功です。