Faça conexões do indexador com o Armazenamento do Azure como um serviço confiável

Na Pesquisa de IA do Azure, os indexadores que acessam os blobs do Azure podem usar a exceção de serviço confiável para acessar blobs com segurança. Esse mecanismo oferece aos clientes que não conseguem conceder acesso ao indexador usando regras de firewall de IP uma alternativa simples, segura e gratuita para acessar dados em contas de armazenamento.

Observação

Se o Armazenamento do Azure estiver atrás de um firewall e na mesma região do Azure AI Search, você não poderá criar uma regra de entrada que admita solicitações do serviço de pesquisa. A solução para esse cenário é a pesquisa para se conectar como um serviço confiável, conforme descrito neste artigo.

Pré-requisitos

• Um serviço de pesquisa com uma identidade gerenciada atribuída pelo sistema (confira identidade do serviço de verificação).

• Uma conta de armazenamento com a opção de rede Permitir que serviços confiáveis da Microsoft acessem essa conta de armazenamento (confira verificar configurações de rede).

• Uma atribuição de função do Azure no Armazenamento do Azure que concede permissões à identidade gerenciada do serviço de pesquisa atribuída pelo sistema (confira verificar permissões).

Observação

No Azure AI Search, uma conexão de serviço confiável é limitada a blobs e ao ADLS Gen2 no Armazenamento do Microsoft Azure. Não tem suporte para as conexões do indexador do Armazenamento de Tabelas do Azure e do Armazenamento de Arquivos do Azure.

Uma conexão de serviço confiável deve usar uma identidade gerenciada pelo sistema. No momento, não há suporte para uma identidade gerenciada atribuída pelo usuário para esse cenário.

Verificar a identidade do serviço

1. Entre no portal do Azure e localize o serviço de pesquisa.

2. Na página Identidade, verifique se uma identidade atribuída ao sistema está habilitada. Lembre-se que as identidades gerenciadas atribuídas pelo usuário, atualmente em versão prévia, não funcionarão para uma conexão de serviço confiável.

   

Verificar as configurações de rede

1. Entre no portal do Azure e encontre sua conta de armazenamento.

2. No painel de navegação à esquerda, em Segurança + rede, selecione Rede.

3. Na guia Firewalls e redes virtuais, permita o acesso de Redes selecionadas.

4. Role para baixo até a seção Exceções.

   

5. Verifique se a caixa de seleção Permitir que os serviços do Azure na lista de serviços confiáveis acessem esta conta de armazenamento foi selecionada.

   Supondo que tenha acesso baseado em função à conta de armazenamento, seu serviço de pesquisa pode acessar dados mesmo quando as conexões com o Armazenamento do Azure estiverem protegidas por regras de firewall de IP.

Verificar permissões

Uma identidade gerenciada pelo sistema é uma entidade de serviço do Microsoft Entra. A atribuição precisa do leitor de dados de blob de armazenamento no mínimo.

1. No painel de navegação à esquerda, em Controle de Acesso, exiba todas as atribuições de função e verifique se o Leitor de Dados de Blob de Armazenamento está atribuído à identidade do sistema do serviço de pesquisa.

2. Adicione um Colaborador de dados do Blob de Armazenamento se o acesso à gravação for necessário.

   Os recursos que exigem acesso de gravação incluem cache de enriquecimento, sessões de depuraçãoe repositório de conhecimento.

Configurar e testar a conexão

A maneira mais fácil de testar a conexão é executando o Assistente de importação de dados.

1. Inicie o Assistente de importação de dados, selecionando o Armazenamento de Blobs do Azure ou o Azure Data Lake Storage Gen2.

2. Escolha uma conexão com a conta de armazenamento e, em seguida, selecione Atribuído pelo sistema. Selecione Avançar para invocar uma conexão. Se o esquema de índice for detectado, a conexão foi bem-sucedida.

   

Confira também

• Conexão a outros recursos do Azure usando uma identidade gerenciada
• Indexador de blobs do Azure
• Indexador do ADLS Gen2
• Autenticação com o Microsoft Entra ID
• Sobre identidades gerenciadas (Microsoft Entra ID)