Управляемые удостоверения для аналитики документов
Это содержимое относится к:
v4.0 (предварительная версия)3.1 (GA)v3.0 (GA)v2.1 (GA)
Управляемые удостоверения для ресурсов Azure — это субъекты-службы, которые создают удостоверение Microsoft Entra и определенные разрешения для управляемых ресурсов Azure:
Управляемые удостоверения можно использовать для предоставления доступа к любому ресурсу, поддерживающему проверку подлинности Microsoft Entra, включая собственные приложения. В отличие от ключей безопасности и маркеров проверки подлинности, управляемые удостоверения устраняют необходимость в управлении учетными данными для разработчиков.
Чтобы предоставить доступ к ресурсу Azure, назначьте роль Azure управляемому удостоверению с помощью механизма управления доступом на основе ролей Azure (Azure RBAC).
Дополнительная плата за использование управляемых удостоверений в Azure не взимается.
Важно!
Управляемые удостоверения устраняют необходимость в управлении учетными данными, включая маркеры подписанного URL-адреса (SAS).
Управляемые удостоверения — это более безопасный способ предоставления доступа к данным без использования учетных данных в коде.
Доступ к частной учетной записи
Доступ к частной учетной записи хранения Azure и проверка подлинности поддерживают управляемые удостоверения для ресурсов Azure. Если у вас есть учетная запись хранения Azure, защищенная виртуальная сеть (виртуальной сетью) или брандмауэром, аналитика документов не может напрямую получить доступ к данным учетной записи хранения. Однако после включения управляемого удостоверения аналитика документов может получить доступ к учетной записи хранения с помощью назначенных учетных данных управляемого удостоверения.
Примечание.
Если вы планируете проанализировать данные хранилища с помощью средства метки аналитики документов (FOTT), необходимо развернуть средство под виртуальной сетью или брандмауэром.
API анализа квитанций, визитных карточек, счетов, удостоверений личности и настраиваемых форм могут извлекать данные из определенного документа, отправляя запросы в виде необработанного двоичного содержимого. В этих сценариях учетные данные управляемого удостоверения не требуются.
Необходимые компоненты
Для начала работы необходимы перечисленные ниже компоненты и данные.
Действующая учетная запись Azure. Если ее нет, можно создать учетную запись бесплатно.
Ресурс аналитики документов или служб ИИ Azure в портал Azure. Подробные инструкции см. в разделе"Создание ресурса с несколькими службами".
Учетная запись хранения BLOB-объектов Azure в том же регионе, что и ресурс аналитики документов. Кроме того, необходимо создать контейнеры для хранения и упорядочивания данных BLOB-объектов в учетной записи хранения.
Если ваша учетная запись хранения находится за брандмауэром, необходимо включить следующую конфигурацию:
На странице учетной записи хранения в меню слева выберите Безопасность и сеть → Сеть.
В главном окне выберите Разрешить доступ из выбранных сетей.
На странице "Выбранные сети" перейдите к категории Исключения и убедитесь, что установлен флажок Разрешить службам Azure из списка надежных служб доступ к этой учетной записи хранения.
Общее понимание механизма управления доступом на основе ролей в Azure (Azure RBAC) на портале Azure.
Назначение управляемых удостоверений
Существует два типа управляемых удостоверений: назначаемые системой и назначаемые пользователем. В настоящее время аналитика документов поддерживает только управляемое удостоверение, назначаемое системой:
Управляемое удостоверение, назначаемое системой, включается непосредственно в экземпляре службы. Оно не включено по умолчанию. Необходимо перейти к ресурсу и изменить параметр удостоверения.
Управляемое удостоверение, назначаемое системой, связано с ресурсом на протяжении всего его жизненного цикла. При удалении ресурса также удаляется управляемое удостоверение.
В следующих шагах мы включите управляемое удостоверение, назначаемое системой, и предоставьте ограниченному доступу к учетной записи хранения BLOB-объектов Azure.
Включение управляемого удостоверения, назначаемого системой
Важно!
Чтобы включить управляемое удостоверение, назначаемое системой, необходимы разрешения Microsoft.Authorization/roleAssignments/write, такие как Владелец или Администратор доступа пользователей. Область действия можно задать на четырех уровнях: на уровне группы управления, подписки, группы ресурсов или ресурса.
Войдите на портал Azure с помощью учетной записи, связанной с подпиской Azure.
Перейдите на страницу ресурса аналитики документов в портал Azure.
В области слева в списке Управление ресурсами выберите Удостоверение.
В главном окне переключите вкладку Состояние назначения системой в состояние Вкл.
Предоставление доступа к учетной записи хранения
Перед чтением больших двоичных объектов необходимо предоставить доступ к учетной записи хранения аналитики документов. Теперь, когда вы включили аналитику документов с управляемым удостоверением, назначаемого системой, вы можете использовать управление доступом на основе ролей Azure (Azure RBAC), чтобы предоставить доступ аналитики документов к хранилищу Azure. Роль чтения данных больших двоичных объектов служба хранилища предоставляет аналитику документов (представленную управляемым удостоверением, назначаемым системой) доступ к контейнеру и данным большого двоичного объекта.
В разделе Разрешения выберите Назначения ролей Azure.
На открывающейся странице назначений ролей Azure выберите подписку в раскрывающемся меню и нажмите кнопку +Добавить назначение ролей.
Примечание.
Если не удается назначить роль на портале Azure, так как параметр "Добавить > Добавить назначение ролей" отключен или возникает ошибка разрешений "У вас нет разрешений на добавление назначения ролей в этой области", убедитесь в том, что вы вошли как пользователь с назначенной ролью, имеющей разрешения Microsoft.Authorization/roleAssignments/write, такие как "Владелец" или "Администратор доступа пользователей", в области хранилища для ресурса хранилища.
Затем вы назначите роль чтения данных blob-объектов служба хранилища ресурсу службы аналитики документов. Во всплывающем окне Добавление назначения ролей заполните поля, как указано ниже, и нажмите кнопку Сохранить.
Поле Значение Область применения Память Подписка Подписка, связанная с ресурсом хранилища. Ресурс Имя ресурса хранилища. Роль Читатель для данных BLOB-объектов хранилища — разрешает доступ на чтение к контейнерам больших двоичных объектов и данным службы хранилища Azure 
После получения сообщения с подтверждением добавления назначения ролей обновите страницу, чтобы увидеть добавленное назначение ролей.
Если изменения отображаются не сразу, подождите и попробуйте обновить страницу еще раз. При добавлении или удалении назначений ролей может потребоваться до 30 минут, чтобы изменения вступили в силу.
Вот и все! Вы выполнили действия по включению управляемого удостоверения, назначаемого системой. С управляемым удостоверением и Azure RBAC вы предоставили определенные права доступа к ресурсу хранилища, не управляя учетными данными, такими как маркеры SAS.
Дополнительное назначение ролей для Document Intelligence Studio
Если вы собираетесь использовать Document Intelligence Studio, а учетная запись хранения настроена с ограничением сети, например брандмауэром или виртуальной сетью, дополнительной ролью, служба хранилища участником данных BLOB-объектов, необходимо назначить службе аналитики документов. Для записи больших двоичных объектов в учетную запись хранения в Студии аналитики документов требуется эта роль при выполнении автоматического обновления, обновления OCR, человека в цикле или операциях общего доступа к проекту.