Configure o acesso seguro com identidades gerenciadas e redes virtuais
Este conteúdo aplica-se a: v4.0 (pré-visualização) v3.1 (GA) v3.0 (GA) v2.1 (GA)
Este guia de instruções orienta você pelo processo de habilitar conexões seguras para seu recurso de Document Intelligence. Você pode proteger as seguintes conexões:
Comunicação entre um aplicativo cliente dentro de uma Rede Virtual (
VNET
) e seu Recurso de Inteligência Documental.Comunicação entre o Document Intelligence Studio e o seu recurso Document Intelligence. F
Comunicação entre seu recurso de Document Intelligence e uma conta de armazenamento (necessária ao treinar um modelo personalizado).
Você está configurando seu ambiente para proteger os recursos:
Pré-requisitos
Para começar, precisa do seguinte:
Uma conta ativa do Azure — se não tiver uma, pode criar uma conta gratuita.
Um recurso de serviços de Inteligência Documental ou IA do Azure no portal do Azure. Para obter etapas detalhadas, consulte Criar um recurso de serviços de IA do Azure.
Uma conta de armazenamento de blob do Azure na mesma região que seu recurso de Document Intelligence. Crie contêineres para armazenar e organizar seus dados de blob em sua conta de armazenamento.
Uma rede virtual do Azure na mesma região que seu recurso de Document Intelligence. Crie uma rede virtual para implantar seus recursos de aplicativo para treinar modelos e analisar documentos.
Uma VM de ciência de dados do Azure para Windows ou Linux/Ubuntu para, opcionalmente, implantar uma VM de ciência de dados na rede virtual para testar as conexões seguras que estão sendo estabelecidas.
Configurar recursos
Configure cada um dos recursos para garantir que os recursos possam se comunicar uns com os outros:
Configure o Document Intelligence Studio para usar o recurso Document Intelligence recém-criado acessando a página de configurações e selecionando o recurso.
Certifique-se e valide se a configuração funciona selecionando a API de leitura e analisando um documento de exemplo. Se o recurso foi configurado corretamente, a solicitação é concluída com êxito.
Adicione um conjunto de dados de treinamento a um contêiner na conta de armazenamento que você criou.
Selecione o bloco de modelo personalizado para criar um projeto personalizado. Certifique-se de selecionar o mesmo recurso de Document Intelligence e a conta de armazenamento criada na etapa anterior.
Selecione o contêiner com o conjunto de dados de treinamento que você carregou na etapa anterior. Certifique-se de que, se o conjunto de dados de treinamento estiver dentro de uma pasta, o caminho da pasta esteja definido adequadamente.
Verifique se você tem as permissões necessárias, o Studio define a configuração CORS necessária para acessar a conta de armazenamento. Se você não tiver as permissões, precisará certificar-se de que as configurações do CORS estão definidas na conta de armazenamento antes de continuar.
Certifique-se e valide se o Studio está configurado para acessar seus dados de treinamento. Se você puder ver seus documentos na experiência de rotulagem, todas as conexões necessárias serão estabelecidas.
Agora você tem uma implementação funcional de todos os componentes necessários para criar uma solução de Inteligência Documental com o modelo de segurança padrão:
Em seguida, conclua as seguintes etapas:
Configure a identidade gerenciada no recurso Document Intelligence.
Proteja a conta de armazenamento para restringir o tráfego apenas de redes virtuais e endereços IP específicos.
Configure a identidade gerenciada pelo Document Intelligence para se comunicar com a conta de armazenamento.
Desative o acesso público ao recurso Document Intelligence e crie um ponto de extremidade privado. O seu recurso só é acessível a partir de redes virtuais e endereços IP específicos.
Adicione um ponto de extremidade privado para a conta de armazenamento em uma rede virtual selecionada.
Certifique-se e valide que você pode treinar modelos e analisar documentos de dentro da rede virtual.
Configurar identidade gerenciada para Document Intelligence
Navegue até o recurso Document Intelligence no portal do Azure e selecione a guia Identidade. Alterne a identidade gerenciada atribuída ao sistema para Ativado e salve as alterações:
Proteger a conta de armazenamento
Comece a configurar comunicações seguras navegando até a guia Rede em sua conta de armazenamento no portal do Azure.
Em Firewalls e redes virtuais, escolha Habilitado em redes virtuais e endereços IP selecionados na lista Acesso à rede pública.
Certifique-se de que Permitir que os serviços do Azure na lista de serviços confiáveis acessem essa conta de armazenamento esteja selecionado na lista Exceções .
Salve suas alterações.
Nota
A sua conta de armazenamento não estará acessível a partir da Internet pública.
Atualizar a página de rotulagem de modelo personalizado no Studio resultará em uma mensagem de erro.
Habilitar o acesso ao armazenamento a partir do Document Intelligence
Para garantir que o recurso Document Intelligence possa acessar o conjunto de dados de treinamento, você precisa adicionar uma atribuição de função para sua identidade gerenciada.
Permanecendo na janela da conta de armazenamento no portal do Azure, navegue até a guia Controle de Acesso (IAM) na barra de navegação esquerda.
Selecione o botão Adicionar atribuição de função.
Na guia Função, procure e selecione a permissão Colaborador de Dados de Blob de Armazenamento e selecione Avançar.
Na guia Membros, selecione a opção Identidade gerenciada e escolha + Selecionar membros
Na janela de diálogo Selecionar identidades gerenciadas, selecione as seguintes opções:
Subscrição. Selecione a sua subscrição.
Identidade gerenciada. Selecione Reconhecimento de formulário.
Selecione. Escolha o recurso de Document Intelligence que você habilitou com uma identidade gerenciada.
Feche a janela de diálogo.
Por fim, selecione Rever + atribuir para guardar as alterações.
Excelente! Você configurou seu recurso de Document Intelligence para usar uma identidade gerenciada para se conectar a uma conta de armazenamento.
Gorjeta
Ao experimentar o Document Intelligence Studio, você verá que a API READ e outros modelos pré-criados não exigem acesso ao armazenamento para processar documentos. No entanto, o treinamento de um modelo personalizado requer configuração adicional porque o Studio não pode se comunicar diretamente com uma conta de armazenamento. Você pode habilitar o acesso ao armazenamento selecionando Adicionar o endereço IP do cliente na guia Rede da conta de armazenamento para configurar sua máquina para acessar a conta de armazenamento por meio da lista de permissões de IP.
Configurar pontos de extremidade privados para acesso a partir de VNET
s
Nota
Os recursos só são acessíveis a partir da rede virtual.
Alguns recursos do Document Intelligence no Studio, como a etiqueta automática, exigem que o Document Intelligence Studio tenha acesso à sua conta de armazenamento.
Adicione nosso endereço IP do Studio, 20.3.165.95, à lista de permissões do firewall para recursos de Inteligência Documental e Conta de Armazenamento. Este é o endereço IP dedicado do Document Intelligence Studio e pode ser permitido com segurança.
Quando você se conecta a recursos de uma rede virtual, a adição de pontos de extremidade privados garante que a conta de armazenamento e o recurso Document Intelligence estejam acessíveis a partir da rede virtual.
Em seguida, configure a rede virtual para garantir que apenas os recursos dentro da rede virtual ou do roteador de tráfego através da rede tenham acesso ao recurso Document Intelligence e à conta de armazenamento.
Habilite seus firewalls e redes virtuais
No portal do Azure, navegue até seu recurso de Document Intelligence.
Selecione a guia Rede na barra de navegação esquerda.
Habilite a opção Rede selecionada e pontos de extremidade privados na guia Firewalls e redes virtuais e selecione salvar.
Nota
Se você tentar acessar qualquer um dos recursos do Document Intelligence Studio, verá uma mensagem de acesso negado. Para habilitar o acesso do Studio em sua máquina, marque a caixa de seleção Adicionar o endereço IP do cliente e Salvar para restaurar o acesso.
Configure seu ponto de extremidade privado
Navegue até a guia Conexões de ponto de extremidade privado e selecione o ponto de extremidade + Privado. Você é navegado até a página de diálogo Criar um ponto de extremidade privado.
Na página de diálogo Criar ponto de extremidade privado, selecione as seguintes opções:
Subscrição. Selecione a sua subscrição de faturação.
Grupo de recursos. Selecione o grupo de recursos apropriado.
Nome. Introduza um nome para o seu ponto de extremidade privado.
Região. Selecione a mesma região da sua rede virtual.
Selecione Next: Resource.
Configure sua rede virtual
Na guia Recurso, aceite os valores padrão e selecione Avançar: Rede Virtual.
No separador Rede Virtual, certifique-se de que seleciona a rede virtual que criou.
Se você tiver várias sub-redes, selecione a sub-rede onde deseja que o ponto de extremidade privado se conecte. Aceite o valor padrão para alocar dinamicamente o endereço IP.
Selecione Next: DNS
Aceite o valor padrão Sim para integrar com a zona DNS privada.
Aceite os padrões restantes e selecione Avançar: Tags.
Selecione Seguinte: Rever + criar.
Parabéns! Seu recurso de Document Intelligence agora só pode ser acessado a partir da rede virtual e de quaisquer endereços IP na lista de permissões de IP.
Configurar pontos de extremidade privados para armazenamento
Navegue até sua conta de armazenamento no portal do Azure.
Selecione a guia Rede no menu de navegação à esquerda.
Selecione o separador Ligações de ponto final privado.
Escolha adicionar + Ponto de extremidade privado.
Forneça um nome e escolha a mesma região da rede virtual.
Selecione Next: Resource.
Na guia recurso, selecione blob na lista Subrecurso de destino.
selecione Next: Virtual Network.
Selecione a rede virtual e a sub-rede. Verifique se a opção Habilitar diretivas de rede para todos os pontos de extremidade privados nesta sub-rede está selecionada e se a opção Alocar endereço IP dinamicamente está habilitada.
Selecione Next: DNS.
Certifique-se de que Sim está ativado para Integrar com zona DNS privada.
Selecione Next: Tags.
Selecione Seguinte: Rever + criar.
Bom trabalho! Agora você tem todas as conexões entre o recurso de Inteligência Documental e o armazenamento configurado para usar identidades gerenciadas.
Nota
Os recursos só são acessíveis a partir da rede virtual e IPs permitidos.
O acesso do Studio e as solicitações de análise ao seu recurso de Inteligência Documental falharão, a menos que a solicitação tenha origem na rede virtual ou seja roteada pela rede virtual.
Valide sua implantação
Para validar sua implantação, você pode implantar uma máquina virtual (VM) na rede virtual e conectar-se aos recursos.
Configure uma VM de Ciência de Dados na rede virtual.
Conecte-se remotamente à VM a partir de sua área de trabalho e inicie uma sessão do navegador que acesse o Document Intelligence Studio.
Analise as solicitações e as operações de treinamento agora devem funcionar com sucesso.
Está feito! Agora você pode configurar o acesso seguro para seu recurso de Document Intelligence com identidades gerenciadas e pontos de extremidade privados.
Mensagens de erro comuns
Falha ao acessar o contêiner de Blob:
Resolução:
Verifique se o computador cliente pode acessar o recurso e a conta de armazenamento do Document Intelligence, eles estão no mesmo
VNET
ou se o endereço IP do cliente é permitido na página de configuração de firewalls de rede > e redes virtuais do recurso e da conta de armazenamento do Document Intelligence.
AuthorizationFailure:
Resolução: verifique se o computador cliente pode acessar o recurso e a conta de armazenamento do Document Intelligence, estejam no mesmo
VNET
ou se o endereço IP do cliente seja permitido na página de configuração de firewalls de rede > e redes virtuais do recurso e da conta de armazenamento do Document Intelligence.ContentSourceNotAccessible:
Resolução: certifique-se de conceder à sua identidade gerenciada pelo Document Intelligence a função de Colaborador de Dados de Blob de Armazenamento e habilitar o acesso a serviços confiáveis ou as regras de instância de recurso na guia rede.
Acesso negado:
Resolução: verifique se o computador cliente pode acessar o recurso e a conta de armazenamento do Document Intelligence, estejam no mesmo
VNET
ou se o endereço IP do cliente seja permitido na página de configuração de firewalls de rede > e redes virtuais do recurso e da conta de armazenamento do Document Intelligence.