Delen via

Beveiligde toegang configureren met beheerde identiteiten en virtuele netwerken

  • Artikel

Deze inhoud is van toepassing op: vinkje v4.0 (preview) vinkje v3.1 (GA) v3.0 (GA)vinkjevinkje v2.1 (GA)

Deze handleiding helpt u bij het doorlopen van het proces voor het inschakelen van beveiligde verbindingen voor uw Document Intelligence-resource. U kunt de volgende verbindingen beveiligen:

  • Communicatie tussen een clienttoepassing binnen een virtueel netwerk (VNET) en uw Document Intelligence-resource.

  • Communicatie tussen Document Intelligence Studio en uw Document Intelligence-resource.

  • Communicatie tussen uw Document Intelligence-resource en een opslagaccount (nodig bij het trainen van een aangepast model).

U stelt uw omgeving in om de resources te beveiligen:

Schermopname van beveiligde configuratie met beheerde identiteit en virtuele netwerken.

Vereisten

Om aan de slag te gaan, hebt u het volgende nodig:

  • Een actief Azure-account: als u er nog geen hebt, kunt u een gratis account maken.

  • Een Document Intelligence - of Azure AI-servicesresource in Azure Portal. Zie Een multiserviceresource maken voor gedetailleerde stappen.

  • Een Azure Blob Storage-account in dezelfde regio als uw Document Intelligence-resource. Maak containers voor het opslaan en ordenen van uw blobgegevens in uw opslagaccount.

  • Een virtueel Azure-netwerk in dezelfde regio als uw Document Intelligence-resource. Maak een virtueel netwerk om uw toepassingsbronnen te implementeren om modellen te trainen en documenten te analyseren.

  • Een Azure Data Science VM voor Windows of Linux/Ubuntu om optioneel een data science-VM in het virtuele netwerk te implementeren om de beveiligde verbindingen te testen die tot stand worden gebracht.

Resources configureren

Configureer elk van de resources om ervoor te zorgen dat de resources met elkaar kunnen communiceren:

  • Configureer Document Intelligence Studio om de zojuist gemaakte Document Intelligence-resource te gebruiken door de pagina Instellingen te openen en de resource te selecteren.

  • Zorg ervoor dat de configuratie werkt door de Lees-API te selecteren en een voorbeelddocument te analyseren. Als de resource correct is geconfigureerd, wordt de aanvraag voltooid.

  • Voeg een trainingsgegevensset toe aan een container in het opslagaccount dat u hebt gemaakt.

  • Selecteer de tegel aangepast model om een aangepast project te maken. Zorg ervoor dat u dezelfde Document Intelligence-resource en het opslagaccount selecteert dat u in de vorige stap hebt gemaakt.

  • Selecteer de container met de trainingsgegevensset die u in de vorige stap hebt geüpload. Zorg ervoor dat als de trainingsgegevensset zich in een map bevindt, het mappad op de juiste manier is ingesteld.

  • Zorg ervoor dat u over de vereiste machtigingen beschikt. De Studio stelt de CORS-instelling in die is vereist voor toegang tot het opslagaccount. Als u niet over de machtigingen beschikt, moet u ervoor zorgen dat de CORS-instellingen zijn geconfigureerd voor het opslagaccount voordat u verder kunt gaan.

  • Controleer en valideer of de Studio is geconfigureerd voor toegang tot uw trainingsgegevens. Als u uw documenten in de labelervaring kunt zien, worden alle vereiste verbindingen tot stand gebracht.

U hebt nu een werkende implementatie van alle onderdelen die nodig zijn om een Document Intelligence-oplossing te bouwen met het standaardbeveiligingsmodel:

Schermopname van de standaardbeveiligingsconfiguratie.

Voer vervolgens de volgende stappen uit:

  • Beheerde identiteit configureren voor de Document Intelligence-resource.

  • Beveilig het opslagaccount om verkeer van alleen specifieke virtuele netwerken en IP-adressen te beperken.

  • Configureer de beheerde identiteit van Document Intelligence om te communiceren met het opslagaccount.

  • Schakel openbare toegang tot de Document Intelligence-resource uit en maak een privé-eindpunt. Uw resource is vervolgens alleen toegankelijk vanuit specifieke virtuele netwerken en IP-adressen.

  • Voeg een privé-eindpunt toe voor het opslagaccount in een geselecteerd virtueel netwerk.

  • Zorg ervoor dat u modellen kunt trainen en documenten kunt analyseren vanuit het virtuele netwerk.

Beheerde identiteit instellen voor Document Intelligence

Navigeer naar de Document Intelligence-resource in Azure Portal en selecteer het tabblad Identiteit . Schakel de door het systeem toegewezen beheerde identiteit in op Aan en sla de wijzigingen op:

Schermopname van het configureren van een beheerde identiteit.

Het opslagaccount beveiligen

Begin met het configureren van beveiligde communicatie door te navigeren naar het tabblad Netwerken in uw Opslagaccount in Azure Portal.

  1. Kies onder Firewalls en virtuele netwerken ingeschakeld in geselecteerde virtuele netwerken en IP-adressen in de lijst met openbare netwerktoegang.

  2. Zorg ervoor dat Azure-services in de lijst met vertrouwde services toegang hebben tot dit opslagaccount is geselecteerd in de lijst Uitzonderingen .

  3. Sla uw wijzigingen op.

Schermopname van het configureren van de opslagfirewall.

Notitie

Uw opslagaccount is niet toegankelijk vanaf het openbare internet.

Als u de pagina voor het labelen van aangepaste modellen in Studio vernieuwt, wordt er een foutbericht weergegeven.

Toegang tot opslag inschakelen vanuit Document Intelligence

Om ervoor te zorgen dat de Document Intelligence-resource toegang heeft tot de trainingsgegevensset, moet u een roltoewijzing toevoegen voor uw beheerde identiteit.

  1. Ga in het venster van het opslagaccount in Azure Portal naar het tabblad Toegangsbeheer (IAM) in de linkernavigatiebalk.

  2. Selecteer de knop Roltoewijzing toevoegen.

    Schermopname van het venster Roltoewijzing toevoegen.

  3. Zoek en selecteer op het tabblad Rol de machtiging Opslagblobgegevenslezer en selecteer Volgende.

    Schermopname van het kiezen van een roltabblad.

  4. Selecteer op het tabblad Leden de optie Beheerde identiteit en kies + Leden selecteren

  5. Selecteer in het dialoogvenster Beheerde identiteiten selecteren de volgende opties:

    • Abonnement. Selecteer uw abonnement.

    • Beheerde identiteit. Selecteer Form Recognizer.

    • Selecteren. Kies de Document Intelligence-resource die u hebt ingeschakeld met een beheerde identiteit.

    Schermopname van het dialoogvenster Beheerde identiteiten.

  6. Sluit het dialoogvenster.

  7. Selecteer ten slotte Controleren en toewijzen om uw wijzigingen op te slaan.

Mooi! U hebt uw Document Intelligence-resource geconfigureerd om een beheerde identiteit te gebruiken om verbinding te maken met een opslagaccount.

Tip

Wanneer u Document Intelligence Studio probeert, ziet u dat de READ-API en andere vooraf gedefinieerde modellen geen opslagtoegang nodig hebben om documenten te verwerken. Het trainen van een aangepast model vereist echter aanvullende configuratie omdat Studio niet rechtstreeks kan communiceren met een opslagaccount. U kunt opslagtoegang inschakelen door uw client-IP-adres toevoegen te selecteren op het tabblad Netwerken van het opslagaccount om uw computer te configureren voor toegang tot het opslagaccount via IP-acceptatielijst.

Privé-eindpunten configureren voor toegang vanaf VNETs

Notitie

  • De resources zijn alleen toegankelijk vanuit het virtuele netwerk.

  • Voor sommige Document Intelligence-functies in De Studio, zoals automatisch label, is vereist dat Document Intelligence Studio toegang heeft tot uw opslagaccount.

  • Voeg ons IP-adres van Studio, 20.3.165.95, toe aan de acceptatielijst voor zowel Document Intelligence als Opslagaccountbronnen. Dit is het toegewezen IP-adres van Document Intelligence Studio en kan veilig worden toegestaan.

Wanneer u verbinding maakt met resources vanuit een virtueel netwerk, zorgt het toevoegen van privé-eindpunten ervoor dat zowel het opslagaccount als de Document Intelligence-resource toegankelijk zijn vanuit het virtuele netwerk.

Configureer vervolgens het virtuele netwerk om ervoor te zorgen dat alleen resources binnen het virtuele netwerk of de verkeersrouter via het netwerk toegang hebben tot de Document Intelligence-resource en het opslagaccount.

Uw firewalls en virtuele netwerken inschakelen

  1. Navigeer in Azure Portal naar uw Document Intelligence-resource.

  2. Selecteer het tabblad Netwerken in de linkernavigatiebalk.

  3. Schakel de optie Geselecteerde netwerken en privé-eindpunten in op het tabblad Firewalls en virtuele netwerken en selecteer Opslaan.

Notitie

Als u toegang probeert te krijgen tot een van de functies van Document Intelligence Studio, ziet u een bericht dat de toegang is geweigerd. Als u toegang wilt inschakelen vanuit Studio op uw computer, schakelt u het selectievakje IP-adres van uw client toevoegen in en slaat u de toegang op om de toegang te herstellen.

Schermopname van het uitschakelen van openbare toegang tot Document Intelligence.

Uw privé-eindpunt configureren

  1. Navigeer naar het tabblad Privé-eindpuntverbindingen en selecteer het + Privé-eindpunt. U gaat naar de dialoogvensterpagina Een privé-eindpunt maken.

  2. Selecteer op de pagina Privé-eindpunt maken de volgende opties:

    • Abonnement. Selecteer uw factureringsabonnement.

    • Resourcegroep. Selecteer de juiste resourcegroep.

    • Name. Voer een naam in voor uw privé-eindpunt.

    • Regio. Selecteer dezelfde regio als uw virtuele netwerk.

    • Selecteer Volgende: Resource.

    Schermopname die laat zien hoe u een privé-eindpunt instelt

Uw virtuele netwerk configureren

  1. Accepteer op het tabblad Resource de standaardwaarden en selecteer Volgende: Virtueel netwerk.

  2. Zorg ervoor dat u op het tabblad Virtueel netwerk het virtuele netwerk selecteert dat u hebt gemaakt.

  3. Als u meerdere subnetten hebt, selecteert u het subnet waar u het privé-eindpunt verbinding wilt laten maken. Accepteer de standaardwaarde om dynamisch IP-adres toe te wijzen.

  4. Volgende selecteren: DNS

  5. Accepteer de standaardwaarde Ja om te integreren met een privé-DNS-zone.

    Schermopname die laat zien hoe u een privé-eindpunt configureert

  6. Accepteer de overige standaardwaarden en selecteer Volgende: Tags.

  7. Selecteer Volgende: Beoordelen en maken.

Klaar! Uw Document Intelligence-resource is nu alleen toegankelijk vanuit het virtuele netwerk en alle IP-adressen in de IP-acceptatielijst.

Privé-eindpunten configureren voor opslag

Navigeer naar uw opslagaccount in Azure Portal.

  1. Selecteer het tabblad Netwerken in het linkernavigatiemenu.

  2. Selecteer het tabblad Verbindingen met privé-eindpunt.

  3. Kies toevoegen + privé-eindpunt.

  4. Geef een naam op en kies dezelfde regio als het virtuele netwerk.

  5. Selecteer Volgende: Resource.

    Schermopname die laat zien hoe u een privé-eindpunt maakt

  6. Selecteer op het tabblad Resource de blob in de lijst doelsubresources.

  7. selecteer Volgende: Virtueel netwerk.

    Schermopname die laat zien hoe u een privé-eindpunt voor een blob configureert.

  8. Selecteer het virtuele netwerk en het subnet. Zorg ervoor dat netwerkbeleid voor alle privé-eindpunten in dit subnet is geselecteerd en dat het IP-adres dynamisch toewijzen is ingeschakeld.

  9. Selecteer Volgende: DNS.

  10. Zorg ervoor dat Ja is ingeschakeld voor integratie met een privé-DNS-zone.

  11. Selecteer Volgende: Tags.

  12. Selecteer Volgende: Beoordelen en maken.

Goed gedaan. U hebt nu alle verbindingen tussen de Document Intelligence-resource en opslag die zijn geconfigureerd voor het gebruik van beheerde identiteiten.

Notitie

De resources zijn alleen toegankelijk vanuit het virtuele netwerk en toegestane IP-adressen.

Aanvragen voor toegang en analyse van Studio naar uw Document Intelligence-resource mislukken, tenzij de aanvraag afkomstig is van het virtuele netwerk of wordt gerouteerd via het virtuele netwerk.

Uw implementatie valideren

Als u uw implementatie wilt valideren, kunt u een virtuele machine (VM) implementeren in het virtuele netwerk en verbinding maken met de resources.

  1. Configureer een Datawetenschap VM in het virtuele netwerk.

  2. Maak op afstand verbinding met de VIRTUELE machine vanaf uw bureaublad en start een browsersessie die toegang heeft tot Document Intelligence Studio.

  3. Analyseer aanvragen en de trainingsbewerkingen moeten nu goed werken.

Dat is het! U kunt nu beveiligde toegang configureren voor uw Document Intelligence-resource met beheerde identiteiten en privé-eindpunten.

Veelvoorkomende foutberichten

  • Kan geen toegang krijgen tot blobcontainer:

    Schermopname van foutbericht wanneer CORS-configuratie is vereist

    Oplossing:

    1. CORS configureren.

    2. Zorg ervoor dat de clientcomputer toegang heeft tot de Document Intelligence-resource en het opslagaccount, of dat het IP-adres van de VNETclient is toegestaan op de pagina Netwerkfirewalls > en virtuele netwerken van zowel de document intelligence-resource als het opslagaccount.

  • AuthorizationFailure:

    Schermopname van fout bij autorisatiefout.

    Oplossing: Zorg ervoor dat de clientcomputer toegang heeft tot de Document Intelligence-resource en het opslagaccount, of dat het IP-adres van de VNETclient is toegestaan op de pagina Netwerkfirewalls > en virtuele netwerken van zowel Document Intelligence-resource als opslagaccount.

  • ContentSourceNotAccessible:

    Schermopname van een fout met de inhoudsbron die niet toegankelijk is.

    Oplossing: Zorg ervoor dat u de beheerde identiteit van Document Intelligence de rol van Opslagblobgegevenslezer verleent en vertrouwde services toegang of regels voor resource-exemplaren inschakelt op het tabblad Netwerken.

  • AccessDenied:

    Schermopname van een fout met geweigerde toegang.

    Oplossing: Zorg ervoor dat de clientcomputer toegang heeft tot de Document Intelligence-resource en het opslagaccount, of dat het IP-adres van de VNETclient is toegestaan op de pagina Netwerkfirewalls > en virtuele netwerken van zowel Document Intelligence-resource als opslagaccount.

Volgende stappen

Toegang tot Azure Storage vanuit een web-app met behulp van beheerde identiteiten