Настройка индексатора видео для работы с учетными записями хранения за брандмауэром

Внимание

Из-за объявления об Службы мультимедиа Azure выхода на пенсию Индексатор видео Azure объявляет корректировки функций Индексатора видео Azure. Ознакомьтесь с изменениями, связанными с выходом на пенсию службы мультимедиа Azure (AMS), чтобы понять, что это означает для учетной записи Индексатора видео Azure. Ознакомьтесь с руководством по обновлению и миграции AMS: VI.

При создании учетной записи индексатора видео необходимо связать ее с учетной записью служба хранилища Azure. Индексатор видео может получить доступ к учетной записи хранения с помощью проверки подлинности системы или проверки подлинности управляемого удостоверения. Индексатор видео проверяет, что пользователь, добавляющий связь, имеет доступ к учетной записи хранения с помощью контроль доступа роли Azure Resource Manager (RBAC).

Если вы хотите использовать брандмауэр для защиты учетной записи хранения и включения доверенного хранилища, проверка подлинности управляемых удостоверений, которая позволяет индексатору видео через брандмауэр, является предпочтительным вариантом. Он позволяет Индексатору видео получить доступ к учетной записи хранения, настроенной без общедоступного доступа к доверенному хранилищу.

Внимание

При блокировке учетных записей хранения без общедоступного доступа помните, что клиентское устройство, которое вы используете для скачивания файла источника видео с помощью портала Индексатора видео, будет исходным IP-адресом, который будет отображаться и разрешать или запрещать в зависимости от конфигурации сети учетной записи хранения. Например, если я обращаюсь к порталу Индексатора видео из домашней сети, и я хочу скачать файл источника видео url-адреса sas в учетную запись хранения, мое устройство инициирует запрос, и в результате учетная запись хранения увидит мой домашний IP-адрес в качестве исходного IP-адреса. Если вы не добавили исключение для этого IP-адреса, вы не сможете получить доступ к URL-адресу SAS исходного видео. Обратитесь к администратору сети или хранилища в стратегии сети, т. е. используйте корпоративную сеть, VPN или Приватный канал.

Выполните следующие действия, чтобы включить управляемое удостоверение для служба хранилища, а затем заблокировать учетную запись хранения. Предполагается, что вы уже создали учетную запись индексатора видео и связыли учетную запись служба хранилища.

Назначение управляемого удостоверения и роли

Выполните все действия по созданию учетной записи индексатора видео в Azure AI, но и выполните следующие действия.

1. При выборе назначения роли назначаются следующие роли: Azure Media Services : Contributor и Azure Storage : Storage Blob Data Owner. Вы можете проверить или вручную задать назначения, перейдя в меню удостоверений учетной записи Индексатора видео и выбрав назначения ролей Azure.
2. Перейдите к учетной записи служба хранилища. Выберите "Сеть" в меню и выберите "Включено" из выбранных виртуальных сетей и IP-адресов в разделе доступа к общедоступной сети.
3. В разделе "Исключения" убедитесь, что службы Azure в списке доверенных служб для доступа к этой учетной записи хранения выбраны.

Отправка из заблокированной учетной записи хранения

При отправке файла в Индексатор видео можно указать ссылку на видео с помощью указателя SAS. Если учетная запись хранения, в которой размещено видео, не является общедоступной, используйте подход к управляемому удостоверению и доверенной службе. Так как нет способа узнать, указывает ли URL-адрес SAS на заблокированную учетную запись хранения, явно задайте параметр useManagedIdentityToDownloadVideotrue запроса в вызове API отправки видео.

Кроме того, необходимо задать роль Azure Storage : Storage Blob Data Owner в этой учетной записи хранения, как и в учетной записи хранения.