Fazer conexões de indexador com o Armazenamento do Azure como um serviço confiável

No Azure AI Search, os indexadores que acessam blobs do Azure podem usar a exceção de serviço confiável para acessar blobs com segurança. Esse mecanismo oferece aos clientes que não conseguem conceder acesso ao indexador usando regras de firewall IP uma alternativa simples, segura e gratuita para acessar dados em contas de armazenamento.

Nota

Se o Armazenamento do Azure estiver atrás de um firewall e na mesma região do Azure AI Search, você não poderá criar uma regra de entrada que admita solicitações do seu serviço de pesquisa. A solução para esse cenário é a pesquisa para se conectar como um serviço confiável, conforme descrito neste artigo.

Pré-requisitos

• Um serviço de pesquisa com uma identidade gerenciada atribuída pelo sistema (consulte verificar identidade do serviço).

• Uma conta de armazenamento com a opção Permitir que serviços confiáveis da Microsoft acessem essa rede de conta de armazenamento (consulte verificar configurações de rede).

• Uma atribuição de função do Azure no Armazenamento do Azure que concede permissões à identidade gerenciada atribuída pelo sistema do serviço de pesquisa (consulte verificar permissões).

Nota

No Azure AI Search, uma conexão de serviço confiável é limitada a blobs e ADLS Gen2 no Armazenamento do Azure. Não há suporte para conexões de indexador com o Armazenamento de Tabela do Azure e Arquivos do Azure.

Uma conexão de serviço confiável deve usar uma identidade gerenciada pelo sistema. Uma identidade gerenciada atribuída pelo usuário não é suportada atualmente para esse cenário.

Verificar identidade do serviço

1. Entre no portal do Azure e encontre seu serviço de pesquisa.

2. Na página Identidade, verifique se uma identidade atribuída ao sistema está habilitada. Lembre-se de que as identidades gerenciadas atribuídas pelo usuário, atualmente em visualização, não funcionarão para uma conexão de serviço confiável.

   

Verificar configurações de rede

1. Entre no portal do Azure e encontre sua conta de armazenamento.

2. No painel de navegação esquerdo, em Segurança + rede, selecione Rede.

3. Na guia Firewalls e redes virtuais, permita o acesso a partir de Redes selecionadas.

4. Role para baixo até a seção Exceções .

   

5. Verifique se a caixa de seleção está marcada para Permitir que os serviços do Azure na lista de serviços confiáveis acessem essa conta de armazenamento.

   Supondo que seu serviço de pesquisa tenha acesso baseado em função à conta de armazenamento, ele pode acessar dados mesmo quando as conexões com o Armazenamento do Azure são protegidas por regras de firewall IP.

Verificar permissões

Uma identidade gerenciada pelo sistema é uma entidade de serviço do Microsoft Entra. A atribuição precisa do Storage Blob Data Reader no mínimo.

1. No painel de navegação esquerdo, em Controle de Acesso, exiba todas as atribuições de função e verifique se o Leitor de Dados de Blob de Armazenamento está atribuído à identidade do sistema de serviço de pesquisa.

2. Adicione o Colaborador de Dados de Blob de Armazenamento se o acesso de gravação for necessário.

   Os recursos que exigem acesso de gravação incluem cache de enriquecimento, sessões de depuração e armazenamento de conhecimento.

Configurar e testar a ligação

A maneira mais fácil de testar a conexão é executando o assistente Importar dados.

1. Inicie o assistente Importar dados, selecionando o Armazenamento de Blobs do Azure ou o Azure Data Lake Storage Gen2.

2. Escolha uma ligação à sua conta de armazenamento e, em seguida, selecione Sistema atribuído. Selecione Avançar para invocar uma conexão. Se o esquema de índice for detetado, a conexão será bem-sucedida.

   

Consulte também

• Conectar-se a outros recursos do Azure usando uma identidade gerenciada
• Indexador de blob do Azure
• Indexador ADLS Gen2
• Autenticar com o Microsoft Entra ID
• Sobre identidades gerenciadas (Microsoft Entra ID)