Partilhar via

Identidades gerenciadas para recursos de idioma

  • Artigo

As identidades gerenciadas para recursos do Azure são entidades de serviço que criam uma identidade do Microsoft Entra e permissões específicas para recursos gerenciados do Azure. As identidades gerenciadas são uma maneira mais segura de conceder acesso aos dados de armazenamento e substituir o requisito de incluir tokens de assinatura de acesso compartilhado (SAS) com suas URLs de contêiner de origem e destino.

Captura de tela do fluxo de identidade gerenciado (RBAC).

  • Você pode usar identidades gerenciadas para conceder acesso a qualquer recurso que ofereça suporte à autenticação do Microsoft Entra, incluindo seus próprios aplicativos.

  • Para conceder acesso a um recurso do Azure, atribua uma função do Azure a uma identidade gerenciada usando o controle de acesso baseado em função do Azure (Azure RBAC).

  • Não existem custos adicionais para usar identidades geridas no Azure.

Importante

  • Ao usar identidades gerenciadas, não inclua uma URL de token SAS com suas solicitações HTTP — suas solicitações falharão. O uso de identidades gerenciadas substitui o requisito de incluir tokens de assinatura de acesso compartilhado (SAS) com suas URLs de contêiner de origem e destino.

  • Para usar identidades gerenciadas para operações de Idioma, você deve criar seu recurso de Idioma em uma região geográfica específica do Azure, como Leste dos EUA. Se a região de recursos de idioma estiver definida como Global, você não poderá usar a autenticação de identidade gerenciada. No entanto, você ainda pode usar tokens SAS (Assinatura de Acesso Compartilhado).

Pré-requisitos

Para começar, você precisa dos seguintes recursos:

  • Uma conta ativa do Azure. Se não tiver uma, poderá criar uma conta gratuita.

  • Um recurso de linguagem de IA do Azure de serviço único criado em um local regional.

  • Uma breve compreensão do controle de acesso baseado em função do Azure (Azure RBAC) usando o portal do Azure.

  • Uma conta de Armazenamento de Blob do Azure na mesma região que seu recurso de idioma. Você também precisa criar contêineres para armazenar e organizar seus dados de blob em sua conta de armazenamento.

  • Se sua conta de armazenamento estiver protegida por um firewall, você deverá habilitar a seguinte configuração:

    1. Aceda ao portal do Azure e inicie sessão com a sua conta do Azure.

    2. Selecione sua conta de armazenamento.

    3. No grupo Segurança + rede no painel esquerdo, selecione Rede.

    4. Na guia Firewalls e redes virtuais, selecione Habilitado em redes virtuais e endereços IP selecionados.

      Captura de tela que mostra o botão de opção de redes eleitas selecionado.

    5. Desmarque todas as caixas de seleção.

    6. Verifique se o roteamento de rede da Microsoft está selecionado.

    7. Na seção Instâncias de recurso, selecione Microsoft.CognitiveServices/accounts como o tipo de recurso e selecione seu recurso Language como o nome da instância.

    8. Verifique se a caixa Permitir que os serviços do Azure na lista de serviços confiáveis acessem essa conta de armazenamento está marcada. Para obter mais informações sobre como gerenciar exceções, consulte Configurar firewalls de armazenamento do Azure e redes virtuais.

      Captura de tela que mostra a caixa de seleção permitir serviços confiáveis no portal do Azure.

    9. Selecione Guardar.

      Nota

      Pode levar até 5 minutos para que as alterações de rede se propaguem.

    Embora o acesso à rede agora seja permitido, seu recurso de idioma ainda não consegue acessar os dados em sua conta de armazenamento. Você precisa criar uma identidade gerenciada e atribuir uma função de acesso específica ao seu recurso de idioma.

Atribuições de identidade gerenciadas

Existem dois tipos de identidades gerenciadas: atribuídas pelo sistema e atribuídas pelo usuário. Atualmente, a Tradução de Documentos suporta a identidade gerenciada atribuída pelo sistema:

  • Uma identidade gerenciada atribuída ao sistema é habilitada diretamente em uma instância de serviço. Ele não está habilitado por padrão; Você deve ir para o seu recurso e atualizar a configuração de identidade.

  • A identidade gerenciada atribuída ao sistema está vinculada ao seu recurso durante todo o seu ciclo de vida. Se você excluir seu recurso, a identidade gerenciada também será excluída.

Nas etapas a seguir, habilitamos uma identidade gerenciada atribuída pelo sistema e concedemos ao seu recurso de idioma acesso limitado à sua conta de Armazenamento de Blob do Azure.

Habilitar uma identidade gerenciada atribuída ao sistema

Você deve conceder ao recurso Language acesso à sua conta de armazenamento antes que ele possa criar, ler ou excluir blobs. Depois de habilitar o recurso Language com uma identidade gerenciada atribuída ao sistema, você pode usar o controle de acesso baseado em função do Azure (Azure RBAC), para conceder aos recursos de idioma acesso aos contêineres de armazenamento do Azure.

  1. Aceda ao portal do Azure e inicie sessão com a sua conta do Azure.

  2. Selecione o seu recurso Idioma.

  3. No grupo Gerenciamento de Recursos no painel esquerdo, selecione Identidade. Se o recurso tiver sido criado na região global, a guia Identidade não estará visível. Você ainda pode usar tokens SAS (Assinatura de Acesso Compartilhado) para autenticação.

  4. Na guia Sistema atribuído, ative a alternância Status.

    Captura de ecrã que mostra o separador de identidade de gestão de recursos no portal do Azure.

    Importante

    As identidades gerenciadas atribuídas pelo usuário não atendem aos requisitos para o cenário de conta de armazenamento de processamento em lote. Certifique-se de que ativa a identidade gerida atribuída pelo sistema.

  5. Selecione Guardar.

Conceder acesso à conta de armazenamento para seu recurso de idioma

Importante

Para atribuir uma função de identidade gerenciada atribuída ao sistema, você precisa de permissões Microsoft.Authorization/roleAssignments/write, como Proprietário ou Administrador de Acesso de Usuário no escopo de armazenamento do recurso de armazenamento.

  1. Aceda ao portal do Azure e inicie sessão com a sua conta do Azure.

  2. Selecione o seu recurso Idioma.

  3. No grupo Gerenciamento de Recursos no painel esquerdo, selecione Identidade.

  4. Em Permissões , selecione Atribuições de função do Azure:

    Captura de tela que mostra a habilitação da identidade gerenciada atribuída pelo sistema no portal do Azure.

  5. Na página Atribuições de função do Azure que foi aberta, escolha sua assinatura no menu suspenso e selecione + Adicionar atribuição de função.

    Captura de tela que mostra a página de atribuições de função do Azure no portal do Azure.

  6. Em seguida, atribua uma função de Colaborador de Dados de Blob de Armazenamento ao seu recurso de serviço de idioma. A função de Colaborador de Dados de Blob de Armazenamento dá a Idioma (representado pela identidade gerenciada atribuída ao sistema) acesso de leitura, gravação e exclusão ao contêiner de blob e aos dados. Na janela pop-up Adicionar atribuição de função, preencha os campos da seguinte forma e selecione Guardar:

    Campo Valor
    Scope Armazenamento.
    Subscrição A subscrição associada ao seu recurso de armazenamento.
    Recurso O nome do recurso de armazenamento.
    Função Contribuidor de dados de Blob de armazenamento.

    Captura de tela que mostra a página de atribuições de função no portal do Azure.

  7. Depois que a mensagem de confirmação Atribuição de função adicionada for exibida, atualize a página para ver a atribuição de função adicionada.

    Captura de tela que mostra a mensagem pop-up de confirmação de atribuição de função adicionada.

  8. Se você não vir a nova atribuição de função imediatamente, aguarde e tente atualizar a página novamente. Quando você atribui ou remove atribuições de função, pode levar até 30 minutos para que as alterações entrem em vigor.

Pedidos HTTP

  • Uma solicitação de operação de serviço de idioma de documento nativo é enviada ao ponto de extremidade do serviço de idioma por meio de uma solicitação POST.

  • Com a identidade gerenciada e Azure RBACo , você não precisa mais incluir URLs SAS.

  • Se bem-sucedido, o método POST retorna um código de 202 Accepted resposta e o serviço cria uma solicitação.

  • Os documentos processados aparecem no contêiner de destino.

Próximos passos

Introdução ao suporte nativo a documentos