Поделиться через

Настройка безопасного доступа с помощью управляемых удостоверений и виртуальных сетей

  • Статья

Это содержимое относится к:флажокv4.0 (предварительная версия)флажок3.1 (GA)v3.0 (GA)флажокфлажокv2.1 (GA)

В этом руководстве описывается процесс включения безопасных подключений для ресурса Аналитики документов. Вы можете защитить следующие соединения:

  • Взаимодействие между клиентским приложением в виртуальная сеть (VNET) и ресурсом аналитики документов.

  • Обмен данными между Document Intelligence Studio и ресурсом аналитики документов.

  • Взаимодействие между ресурсом аналитики документов и учетной записью хранения (необходимо при обучении пользовательской модели).

Вы настраиваете среду для защиты ресурсов:

Снимок экрана: безопасная конфигурация с управляемыми удостоверениями и виртуальными сетями.

Необходимые компоненты

Для начала работы необходимы перечисленные ниже компоненты и данные.

  • Действующая учетная запись Azure. Если ее нет, можно создать учетную запись бесплатно.

  • Ресурс аналитики документов или служб ИИ Azure в портал Azure. Подробные инструкции см. в разделе"Создание ресурса с несколькими службами".

  • Учетная запись хранения BLOB-объектов Azure в том же регионе, что и ресурс аналитики документов. Создайте контейнеры для хранения и упорядочивания данных BLOB-объектов в учетной записи хранения.

  • Виртуальная сеть Azure в том же регионе, что и ресурс аналитики документов. Создайте виртуальную сеть для развертывания ресурсов приложения для обучения моделей и анализа документов.

  • Виртуальная машина для обработки и анализа данных Azure для Windows или Linux или Ubuntu при необходимости развертывает виртуальную машину для обработки и анализа данных в виртуальной сети для проверки установленных безопасных подключений.

Настройка ресурсов

Настройте каждый из ресурсов, чтобы убедиться, что ресурсы могут взаимодействовать друг с другом:

  • Настройте Document Intelligence Studio для использования только что созданного ресурса Аналитики документов, открыв страницу параметров и выбрав ресурс.

  • Убедитесь, что конфигурация работает, выбрав API чтения и проанализировав пример документа. Если ресурс настроен правильно, запрос успешно завершается.

  • Добавьте обучающий набор данных в контейнер в созданную Учетную запись хранения.

  • Выберите элемент "Пользовательская модель", чтобы создать пользовательский проект. Убедитесь, что вы выбрали тот же ресурс аналитики документов и учетную запись хранения, созданную на предыдущем шаге.

  • Выберите контейнер с набором данных для обучения, отправленным на предыдущем шаге. Убедитесь, что если обучающий набор данных находится в папке, путь к папке задается соответствующим образом.

  • Убедитесь, что у вас есть необходимые разрешения, студия задает параметр CORS, необходимый для доступа к учетной записи хранения. Если у вас нет разрешений, необходимо убедиться, что параметры CORS настроены в учетной записи хранения, прежде чем продолжить.

  • Убедитесь, что Студия настроена для доступа к данным обучения. Если документы отображаются в интерфейсе маркировки, устанавливаются все необходимые подключения.

Теперь у вас есть рабочая реализация всех компонентов, необходимых для создания решения аналитики документов с помощью модели безопасности по умолчанию:

Снимок экрана, на котором показана конфигурация безопасности по умолчанию.

Затем выполните следующие действия.

  • Настройте управляемое удостоверение в ресурсе Аналитики документов.

  • Защитите учетную запись хранения, чтобы ограничить трафик только из определенных виртуальных сетей и IP-адресов.

  • Настройте управляемое удостоверение Аналитики документов для взаимодействия с учетной записью хранения.

  • Отключите общедоступный доступ к ресурсу Аналитики документов и создайте частную конечную точку. Затем ресурс доступен только из определенных виртуальных сетей и IP-адресов.

  • Добавьте частную конечную точку для учетной записи хранения в выбранной виртуальной сети.

  • Убедитесь, что вы можете обучать модели и анализировать документы из виртуальной сети.

Настройка управляемого удостоверения для аналитики документов

Перейдите к ресурсу аналитики документов в портал Azure и выберите вкладку "Удостоверение". Переключите управляемое удостоверение, назначенное системой, включено и сохраните изменения:

Снимок экрана, на котором показана настройка управляемого удостоверения.

Защита учетной записи хранения

Начните настройку безопасного взаимодействия, перейдя на вкладку Сеть в Учетной записи хранения на портале Azure.

  1. В разделе Брандмауэры и виртуальные сети выберите Включено из выбранных виртуальных сетей и IP-адресов в списке Доступа к общедоступной сети.

  2. Убедитесь, что параметр Разрешить службам Azure из списка надежных служб доступ к этой учетной записи хранения выбран из списка Исключения.

  3. Сохраните свои изменения.

Снимок экрана, на котором показана настройка брандмауэра хранилища.

Примечание.

Ваша учетная запись хранения не будет доступна из общедоступного Интернета.

Обновление страницы меток пользовательской модели в Студии приведет к ошибке.

Включение доступа к хранилищу из аналитики документов

Чтобы убедиться, что ресурс аналитики документов может получить доступ к набору обучающих данных, необходимо добавить назначение ролей для управляемого удостоверения.

  1. Оставаясь в окне учетной записи хранения в портал Azure, перейдите на вкладку Контроль доступа (IAM) на панели навигации слева.

  2. Нажмите кнопку Добавить назначение ролей.

    Снимок экрана, на котором показано добавление окна назначения роли.

  3. На вкладке "Роль" найдите и выберите разрешение средства чтения данных BLOB-объектов хранилища и нажмите кнопку "Далее".

    Снимок экрана, на котором показан выбор вкладки роли.

  4. На вкладке Участники выберите Управляемое удостоверение и нажмите +Выбрать участников

  5. В диалоговом окне Выбор управляемых удостоверений выберите следующие параметры:

    • Подписка. Выберите свою подписку.

    • Управляемое удостоверение. Выберите Распознаватель документов.

    • Выбрать. Выберите ресурс аналитики документов, который вы включили с помощью управляемого удостоверения.

    Снимок экрана, на котором показано диалоговое окно управляемых удостоверений.

  6. Закройте диалоговое окно.

  7. Наконец, нажмите кнопку Проверить и назначить, чтобы сохранить изменения.

Отлично! Вы настроили ресурс аналитики документов для использования управляемого удостоверения для подключения к учетной записи хранения.

Совет

При попытке Document Intelligence Studio вы увидите API READ и другие предварительно созданные модели, не требуя доступа к хранилищу для обработки документов. В то же время, для обучения пользовательской модели требуется дополнительная настройка, так как Студия не может напрямую взаимодействовать с учетной записью хранения. Вы можете включить доступ к хранилищу, выбрав Добавить IP-адрес клиента на вкладке Сеть учетной записи хранения, чтобы настроить компьютер для доступа к учетной записи хранения с помощью списка разрешенных IP-адресов.

Настройка частных конечных точек для доступа из VNETs

Примечание.

  • Ресурсы доступны только из виртуальной сети.

  • Для некоторых функций аналитики документов в Студии, таких как автоматическая метка, требуется доступ к учетной записи хранения.

  • Добавьте IP-адрес Студии 20.3.165.95 в список разрешений брандмауэра для ресурсов аналитики документов и учетной записи хранения. Это выделенный IP-адрес Студии Document Intelligence Studio и его можно безопасно разрешить.

При подключении к ресурсам из виртуальной сети добавление частных конечных точек гарантирует доступность учетной записи хранения и ресурса Аналитики документов из виртуальной сети.

Затем настройте виртуальную сеть, чтобы обеспечить доступ только к ресурсу аналитики документов и учетной записи хранения только в виртуальной сети или маршрутизаторе трафика через сеть.

Включение брандмауэров и виртуальных сетей

  1. В портал Azure перейдите к ресурсу аналитики документов.

  2. На панели навигации слева выберите Сети.

  3. Включите Выбранные сети и частные конечные точки на вкладке Брандмауэры и виртуальные сети и нажмите кнопку "Сохранить".

Примечание.

Если вы попытаетесь получить доступ к любой из функций Document Intelligence Studio, появится сообщение об отказе в доступе. Чтобы включить доступ из Студии на компьютере, установите флажок "Добавить IP-адрес клиента" и "Сохранить для восстановления доступа".

Снимок экрана: отключение общедоступного доступа к Аналитике документов.

Настройте частную конечную точку

  1. Перейдите на вкладку Подключения к частной конечной точке и выберите + Частная конечная точка. Перейдите на страницу диалогового окна создания частной конечной точки .

  2. На странице диалогового окна Создание частной конечной точки выберите следующие параметры:

    • Подписка. Выберите подписку на выставление счетов.

    • Группа ресурсов. Выберите подходящую группу ресурсов в регионе.

    • Имя. Введите имя для частной конечной точки.

    • Регион. Она должна находиться в том же регионе, что и виртуальная сеть.

    • По завершении выберите Далее: Ресурс.

    Снимок экрана, на котором показано, как установить частную конечную точку.

Настройка виртуальной сети

  1. На вкладке Ресурс примите значения по умолчанию и нажмите кнопку Далее: виртуальная сеть.

  2. На вкладке виртуальная сеть выберите созданную виртуальную сеть.

  3. Если у вас несколько подсетей, выберите подсеть, в которой требуется подключиться к частной конечной точке. Примите значение по умолчанию для Динамического выделения IP-адреса.

  4. Выберите Далее: DNS

  5. Примите значение по умолчанию Да для параметра Интеграция с частной зоной DNS.

    Снимок экрана, на котором показано, как настроить частную конечную точку.

  6. Подтвердите остальные значения по умолчанию и выберите Далее: теги.

  7. По завершении выберите Next: Отзыв и создание.

Отличная работа! Теперь ресурс аналитики документов доступен только из виртуальной сети и любых IP-адресов в списке разрешений IP-адресов.

Настройка частных конечных точек для хранилища

Войдите в свою Учетную запись хранения на портале Azure.

  1. Выберите вкладку Сеть в меню навигации слева.

  2. Выберите вкладку Подключения к частной конечной точке.

  3. Нажмите Добавить частную конечную точку.

  4. Укажите имя и выберите тот же регион, что и виртуальная сеть.

  5. По завершении выберите Далее: Ресурс.

    Снимок экрана, на котором показано, как создать частную конечную точку.

  6. На вкладке ресурсов выберите BLOB-объект из списка Целевые подресурсы.

  7. выберите Далее: Виртуальная сеть.

    Снимок экрана, на котором показано, как настроить частную конечную точку для BLOB-объекта.

  8. Выберите Виртуальную сеть и Подсеть. Убедитесь, что выбран параметр Включить политики сети для всех частных конечных точек в этой подсети и включен Динамически выделенный IP-адрес.

  9. Выберите Далее: DNS.

  10. Убедитесь, что параметр Да включен для Интеграции с частной зоной DNS.

  11. Нажмите кнопку "Далее": теги.

  12. По завершении выберите Next: Отзыв и создание.

Отлично! Теперь у вас есть все подключения между ресурсом аналитики документов и хранилищем, настроенным для использования управляемых удостоверений.

Примечание.

Ресурсы доступны только из виртуальной сети и разрешенные IP-адреса.

Доступ к студии и анализ запросов к ресурсу Аналитики документов завершится ошибкой, если запрос не поступает из виртуальной сети или направляется через виртуальную сеть.

Проверка развертывания

Чтобы проверить развертывание, можно развернуть виртуальную машину в виртуальной сети и подключиться к ресурсам.

  1. Настройте виртуальную машину для обработки и анализа данных в виртуальной сети.

  2. Удаленно подключитесь к виртуальной машине с рабочего стола и запустите сеанс браузера, который обращается к Document Intelligence Studio.

  3. Анализ запросов и операций обучения теперь должны успешно работать.

Вот и все! Теперь вы можете настроить безопасный доступ для ресурса Аналитики документов с управляемыми удостоверениями и частными конечными точками.

Распространенные сообщения об ошибках

  • Не удалось получить доступ к контейнеру BLOB-объектов:

    Снимок экрана, на котором показано сообщение об ошибке, когда требуется конфигурация CORS.

    Решение.

    1. Настройка CORS.

    2. Убедитесь, что клиентский компьютер может получить доступ к ресурсу аналитики документов и учетной записи хранения, либо они находятся в одном и том же VNET, либо IP-адрес клиента разрешен на странице параметров сетевых > брандмауэров и виртуальных сетей ресурса аналитики документов и учетной записи хранения.

  • AuthorizationFailure:

    Снимок экрана, на котором показана ошибка, связанная со сбоем авторизации.

    Решение. Убедитесь, что клиентский компьютер может получить доступ к ресурсу аналитики документов и учетной записи хранения, либо они находятся в одном и том же VNET, либо IP-адрес клиента разрешен на странице параметров сетевых > брандмауэров и виртуальных сетей ресурса аналитики документов и учетной записи хранения.

  • ContentSourceNotAccessible:

    Снимок экрана, на котором показана ошибка, связанная с недоступным источником содержимого.

    Решение. Убедитесь, что вы предоставляете управляемое удостоверение Document Intelligence роль средства чтения данных BLOB-объектов хранилища и включен доступ к доверенным службам или правила экземпляра ресурсов на вкладке "Сеть".

  • AccessDenied:

    Снимок экрана: ошибка отказа в доступе.

    Решение. Убедитесь, что клиентский компьютер может получить доступ к ресурсу аналитики документов и учетной записи хранения, либо они находятся в одном и том же VNET, либо IP-адрес клиента разрешен на странице параметров сетевых > брандмауэров и виртуальных сетей ресурса аналитики документов и учетной записи хранения.

Следующие шаги

Доступ к службе хранилища Azure из веб-приложения с помощью управляемых удостоверений