Configurar o Video Indexer para trabalhar com contas de armazenamento protegidas pelo firewall
Ao criar uma conta do Video Indexer, você deve associá-la a uma conta de Armazenamento do Azure. As contas de armazenamento para VI devem ser uma conta de armazenamento Standard de uso geral v2. O Video Indexer pode acessar a conta de armazenamento usando a autenticação do sistema ou a autenticação de Identidade Gerenciada. O Video Indexer valida se o usuário que adiciona a associação tem acesso à conta de armazenamento com o RBAC (Controle de Acesso Baseado em Função) do Azure Resource Manager.
Se você quiser usar um firewall para proteger sua conta de armazenamento e habilitar o armazenamento confiável, a autenticação de Identidades Gerenciadas que permite o acesso do Video Indexer por meio do firewall é a opção preferencial. Ele permite que o Video Indexer acesse a conta de armazenamento que foi configurada sem a necessidade de acesso público para acesso confiável ao armazenamento.
Importante
É importante entender as implicações se você bloquear suas contas de armazenamento sem acesso público, especialmente em relação ao portal do Video Indexer. O IP de origem do dispositivo cliente é fundamental nesse cenário. Se a conta de armazenamento estiver bloqueada e não tiver uma exceção para o IP de origem, o acesso à URL SAS do arquivo de origem de vídeo será negado. Isso se aplica ao download e ao streaming de conteúdo de vídeo.
Para garantir um acesso contínuo, recomendamos que você trabalhe em estreita colaboração com o administrador de rede/armazenamento para atender a esses requisitos. Utilize sua rede corporativa, uma VPN ou Link Privado do Azure para fornecer a conectividade necessária enquanto mantém a postura de segurança de suas contas de armazenamento.
Por exemplo, o Link Privado do Azure fornece uma maneira segura de acessar os serviços do Azure de forma privada de sua rede virtual. Ele simplifica a arquitetura de rede e protege a conexão entre os pontos de extremidade no Azure ao eliminar a exposição de dados para a Internet pública.
Quaisquer alterações nas configurações de rede devem ser cuidadosamente planejadas e testadas para evitar interromper o acesso a serviços e recursos essenciais.
Siga estas etapas para habilitar a Identidade Gerenciada para Armazenamento e bloquear sua conta de armazenamento. Supõe-se que você já criou uma conta do Video Indexer e associou a conta de armazenamento.
Atribuir a identidade gerenciada e a função
Siga todas as etapas para criar uma conta do Azure AI Video Indexer, mas também use as etapas abaixo:
- Quando você seleciona Atribuir função, as seguintes funções são atribuídas:
Azure Media Services : ContributoreAzure Storage : Storage Blob Data Owner. Você pode verificar ou definir manualmente as atribuições navegando até o menu Identidade da sua conta do Video Indexer e selecionando Atribuições de Função do Azure. - Navegue até sua Conta de armazenamento. Selecione Rede no menu e selecione Habilitado em redes virtuais e endereços IP selecionados na seção Acesso à rede pública.
- Em Exceções, verifique se a opção Permitir que os serviços do Azure na lista de serviços confiáveis acessem essa conta de armazenamento esteja selecionada.
Carregar da conta de armazenamento bloqueada
Ao carregar um arquivo no Video Indexer, você pode fornecer um link para um vídeo usando um localizador SAS. Se a conta de armazenamento que hospeda o vídeo não estiver acessível publicamente, use a abordagem de Identidade Gerenciada e Serviço Confiável. Como não há como saber se uma URL SAS está apontando para uma conta de armazenamento bloqueada, defina explicitamente o parâmetro useManagedIdentityToDownloadVideo de consulta como true na chamada de API upload-video.
Você também precisa definir a função Azure Storage : Storage Blob Data Owner nessa conta de armazenamento como fez com a conta de armazenamento.