新しい Azure AI Search サービスの構成には、セキュリティ、アクセス、パフォーマンスを最適化するためのいくつかのタスクが含まれます。 この記事では、 Azure portal でサービスを設定するのに役立つ 1 日のチェックリストを提供します。
検索サービスを作成した後は、次のことをお勧めします。
ロールベースのアクセスを構成する
ポータルへのアクセスは、 ロールの割り当てに基づいています。 既定では、新しい検索サービスには少なくとも 1 人のサービス管理者または所有者がいます。 サービス管理者、共同管理者、所有者は、より多くの管理者を作成し、他のロールを割り当てるアクセス許可を持っています。 また、既定の検索サービスのすべてのポータル ページと操作にアクセスできます。
ヒント
既定では、管理者または所有者はサービスを作成または削除できます。 誤って削除されないようにするには、 リソースをロックすることを検討してください。
各検索サービスには API キー が付属しており、既定ではキーベースの認証が使用されます。 ただし、セキュリティを強化するために、Microsoft Entra ID とロールベースのアクセス制御 (RBAC) を使用することをお勧めします。 RBAC を使用すると、プレーン テキストで API キーを格納して渡す必要がなくなります。
キーベースの認証からキーレス認証に切り替える場合、サービス管理者はオブジェクトとデータへのフル アクセスのためにデータ プレーン ロールを自分自身に割り当てる必要があります。 これらのロールには、Search Service 共同作成者、検索インデックス データ共同作成者、および検索インデックス データ閲覧者が含まれます。
ロールベースのアクセスを構成するには:
検索サービスでロールを有効にします。 API キーとロールの両方を使用することをお勧めします。
API キーを無効にしたときに失われた機能を置き換えるためにデータ プレーン ロールを割り当てます。 所有者は検索インデックス データ閲覧者のみを必要としますが、開発者はより 多くのロールを必要とします。
ロールの割り当てが有効になるまでに数分かかる場合があります。 それまでは、データ プレーン操作に使用されるポータル ページに次のメッセージが表示されます。
ソリューション開発者とアプリにさらにロールを割り当てます。
マネージド ID の構成
自動インデックス作成、適用された AI、または統合ベクター化にインデクサーを使用する場合は、 マネージド ID を使用するように検索サービスを構成する必要があります。 その後、検索サービスがデータと操作にアクセスすることを承認する他の Azure サービスにロールを割り当てることができます。
統合ベクター化の場合、検索サービス ID には次のロールが必要です。
- Azure Storage のストレージ BLOB データ閲覧者
- Azure AI サービス マルチサービス アカウントの Cognitive Services データ ユーザー
ロールの割り当てが有効になるまでに数分かかる場合があります。
ネットワーク セキュリティに進む前に、すべての接続ポイントをテストしてロールの割り当てを検証することを検討してください。 データのインポート ウィザードまたはデータのインポートおよびベクター化ウィザードを実行して、アクセス許可をテストします。
ネットワーク セキュリティの構成
既定では、検索サービスは、パブリック インターネット接続経由で認証済みおよび承認された要求を受け入れます。 ネットワーク セキュリティを強化するには、次の 2 つのオプションがあります。
- IP アドレスによるネットワーク アクセスを制限するようにファイアウォール規則を構成します。
- Azure 仮想ネットワークからのトラフィックのみを許可するようにプライベート エンドポイントを構成します。 パブリック エンドポイントをオフにすると、インポート ウィザードは実行されません。
Azure AI Search での着信呼び出しと送信呼び出しの詳細については、 Azure AI Search のセキュリティに関するページを参照してください。
容量の確認と課金の理解
既定では、検索サービスは 1 つのレプリカと 1 つのパーティションで作成されます。 レプリカとパーティションを追加することで容量を追加できますが、ボリュームに必要になるまで待つことをお勧めします。 多くのお客様は、最小限の構成で運用ワークロードを実行します。
セマンティック ランカーを使用すると、サービスの実行コストが増加します。 この機能を使用しない場合は、サービス レベルで セマンティック ランカーを無効にすることができます 。
課金に影響するその他の機能については、「 Azure AI Search の課金方法」を参照してください。
診断ログを有効にする
診断ログを有効化して、ユーザー アクティビティを追跡します。 この手順をスキップしても、 アクティビティ ログ と プラットフォーム メトリックが 自動的に取得されます。 ただし、インデックスとクエリの使用状況情報が必要な場合は、診断ログを有効にして、ログに記録される操作の宛先を選択する必要があります。 Azure portal でシステム クエリを実行できるように、永続ストレージには Log Analytics ワークスペースをお勧めします。
内部的には、Microsoft がお客様のサービスとプラットフォームに関するテレメトリ データを収集します。 データ保有の詳細については、「メトリックの保有期間」を参照してください。
データの場所とプライバシーの詳細については、「 データ所在地」を参照してください。
セマンティック ランカーを有効にする
セマンティック ランカーは、1 か月あたり最初の 1,000 件の要求に対して無料です。 新しい検索サービスでは、既定で有効になっています。
ポータルでセマンティック ランカーを有効にするには、左側のウィンドウで [Settings>Semantic ranker ] を選択し、 Free プランを選択します。 詳細については、「セマンティック ランク付けを有効にする」を参照してください。
開発者への接続情報の提供
Azure AI Search に接続するには、開発者は次のものが必要です。
- [概要] ページのエンドポイントまたは URL。
- キー ページの API キーまたはロールの割り当て。 検索サービス共同作成者、検索インデックスデータ共同作成者、および検索インデックスデータ閲覧者をお勧めします。
データのインポート ウィザード、データのインポートとベクター化ウィザード、および検索エクスプローラーにはポータル アクセスをお勧めします。 ウィザードを実行するには、共同作成者以上である必要があります。
関連コンテンツ
サービス管理のプログラムによるサポートについては、次の API とモジュールを参照してください。
.NET、Python、Java、JavaScript 用の Azure SDK で管理クライアント ライブラリを使用することもできます。
プレビュー管理機能を除き、すべてのモダリティと言語に機能パリティがあります。 一般的な規則としては、プレビュー管理機能は、最初に Management REST API を通じてリリースされます。