Управляемые удостоверения для аналитики документов

Это содержимое относится к: версии 4.0 (предварительная версия) версии 3.1 (GA) версии 3.0 (GA) версии 2.1 (GA)

Управляемые удостоверения для ресурсов Azure — это субъекты-службы, которые создают удостоверение Microsoft Entra и определенные разрешения для управляемых ресурсов Azure:

• Управляемые удостоверения предоставляют доступ к любому ресурсу, поддерживающему проверку подлинности Microsoft Entra, включая собственные приложения. В отличие от ключей безопасности и маркеров проверки подлинности, управляемые удостоверения устраняют необходимость в управлении учетными данными для разработчиков.

• Вы можете предоставить доступ к ресурсу Azure и назначить роль Azure управляемому удостоверению с помощью управления доступом на основе ролей Azure (Azure RBAC). Дополнительная плата за использование управляемых удостоверений в Azure не взимается.

Внимание

• Управляемые удостоверения устраняют необходимость в управлении учетными данными, включая маркеры подписанного URL-адреса (SAS).

• Управляемые удостоверения — это более безопасный способ предоставления доступа к данным без использования учетных данных в коде.

Доступ к частной учетной записи

Доступ к частной учетной записи хранения Azure и проверка подлинности поддерживают управляемые удостоверения для ресурсов Azure. Если у вас есть учетная запись хранения Azure, защищенная виртуальная сеть (VNet) или брандмауэром, аналитика документов не может напрямую получить доступ к данным учетной записи хранения. Однако после включения управляемого удостоверения аналитика документов может получить доступ к учетной записи хранения с помощью назначенных учетных данных управляемого удостоверения.

Примечание.

• Если вы планируете проанализировать данные хранилища с помощью средства метки аналитики документов (FOTT), необходимо развернуть средство под виртуальной сетью или брандмауэром.

• AnalyzeApi получения, визитной карточки, счета, идентификатора и пользовательской формы могут извлекать данные из одного документа, публикуя запросы в виде необработанного двоичного содержимого. В этих сценариях учетные данные управляемого удостоверения не требуются.

Необходимые компоненты

Для начала работы необходимы перечисленные ниже компоненты и данные.

• Действующая учетная запись Azure. Если ее нет, можно создать учетную запись бесплатно.

• Ресурс аналитики документов или служб ИИ Azure в портал Azure. Подробные инструкции см. в статье "Создание ресурса служб искусственного интеллекта Azure".

• Учетная запись хранения BLOB-объектов Azure в том же регионе, что и ресурс аналитики документов. Кроме того, необходимо создать контейнеры для хранения и упорядочивания данных BLOB-объектов в учетной записи хранения.

  • Если ваша учетная запись хранения находится за брандмауэром, необходимо включить следующую конфигурацию:
    
    

  • На странице учетной записи хранения в меню слева выберите Безопасность и сеть → Сеть.

  • В главном окне выберите Разрешить доступ из выбранных сетей.

  • На странице выбранных сетей перейдите к категории "Исключения" и убедитесь, что Allow Azure services on the trusted services list to access this storage account флажок включен.

    

• Общее понимание механизма управления доступом на основе ролей в Azure (Azure RBAC) на портале Azure.

Назначение управляемых удостоверений

Существует два типа управляемых удостоверений: назначаемые системой и назначаемые пользователем. В настоящее время аналитика документов поддерживает только управляемое удостоверение, назначаемое системой:

• Управляемое удостоверение, назначаемое системой, включается непосредственно в экземпляре службы. Оно не включено по умолчанию. Необходимо перейти к ресурсу и изменить параметр удостоверения.

• Управляемое удостоверение, назначаемое системой, связано с ресурсом на протяжении всего его жизненного цикла. При удалении ресурса также удаляется управляемое удостоверение.

В следующих шагах мы включите управляемое удостоверение, назначаемое системой, и предоставьте ограниченному доступу к учетной записи хранения BLOB-объектов Azure.

Включение управляемого удостоверения, назначаемого системой

Внимание

Чтобы включить управляемое удостоверение, назначаемое системой, необходимы разрешения Microsoft.Authorization/roleAssignments/write, такие как Владелец или Администратор доступа пользователей. Область действия можно задать на четырех уровнях: на уровне группы управления, подписки, группы ресурсов или ресурса.

1. Войдите на портал Azure с помощью учетной записи, связанной с подпиской Azure.

2. Перейдите на страницу ресурса аналитики документов в портал Azure.

3. В области слева в списке Управление ресурсами выберите Удостоверение.

   

4. В главном окне переключите вкладку Состояние назначения системой в состояние Вкл.

Предоставление доступа к учетной записи хранения

Перед чтением больших двоичных объектов необходимо предоставить доступ к учетной записи хранения аналитики документов. Теперь, когда доступ к аналитике документов включен с помощью управляемого удостоверения, назначаемого системой, можно использовать управление доступом на основе ролей Azure (Azure RBAC), чтобы предоставить доступ к службе аналитики документов Azure. Роль чтения данных BLOB-объектов хранилища предоставляет аналитику документов (представленную управляемым удостоверением, назначаемым системой) доступ к контейнеру и данным BLOB-объектов.

1. В разделе Разрешения выберите Назначения ролей Azure.

   

2. На открывающейся странице назначений ролей Azure выберите подписку в раскрывающемся меню и нажмите кнопку +Добавить назначение ролей.

   

   Примечание.

   Если не удается назначить роль на портале Azure, так как параметр "Добавить > Добавить назначение ролей" отключен или возникает ошибка разрешений "У вас нет разрешений на добавление назначения ролей в этой области", убедитесь в том, что вы вошли как пользователь с назначенной ролью, имеющей разрешения Microsoft.Authorization/roleAssignments/write, такие как "Владелец" или "Администратор доступа пользователей", в области хранилища для ресурса хранилища.

3. Затем вы назначите роль читателя данных BLOB-объектов хранилища ресурсу службы аналитики документов. В всплывающем Add role assignment окне заполните поля следующим образом и нажмите кнопку "Сохранить".

   Поле	Значение
   Область применения	Память
   Подписка	Подписка, связанная с ресурсом хранилища.
   Ресурс	Имя ресурса хранилища.
   Роль	Читатель для данных BLOB-объектов хранилища — разрешает доступ на чтение к контейнерам больших двоичных объектов и данным службы хранилища Azure

   

4. После получения сообщения подтверждения назначения добавленной роли обновите страницу, чтобы увидеть добавление назначения ролей.

   

5. Если изменения отображаются не сразу, подождите и попробуйте обновить страницу еще раз. При добавлении или удалении назначений ролей может потребоваться до 30 минут, чтобы изменения вступили в силу.

   

Вот и все! Вы выполнили действия, чтобы включить управляемое удостоверение, назначаемое системой. С управляемым удостоверением и Azure RBAC вы предоставили определенные права доступа к ресурсу хранилища, не управляя учетными данными, такими как маркеры SAS.

Другие назначения ролей для Document Intelligence Studio

Если вы собираетесь использовать Document Intelligence Studio, а учетная запись хранения настроена с ограничением сети, например брандмауэром или виртуальной сетью, другой ролью, участником данных BLOB-объектов хранилища, необходимо назначить службе аналитики документов. Для записи больших двоичных объектов в учетную запись хранения в Студии аналитики документов требуется эта роль при выполнении автоматических меток, "Человек в цикле" или "Общий доступ к проекту" или "Операции обновления проекта".

Следующие шаги

Настройка безопасного доступа с помощью управляемых удостоверений и частных конечных точек