Создание подключений индексатора к служба хранилища Azure в качестве доверенной службы

В службе поиска ИИ Azure индексаторы, обращаюющиеся к BLOB-объектам Azure, могут использовать исключение доверенной службы для безопасного доступа к BLOB-объектам. Этот механизм предлагает клиентам, которые не могут предоставить доступ к индексатору с использованием правил брандмауэра IP, простую, безопасную и бесплатную альтернативу для доступа к данным в учетных записях хранения.

Примечание.

Если служба хранилища Azure находится за брандмауэром и в том же регионе, что и поиск Azure AI, вы не сможете создать правило для входящего трафика, которое признает запросы из службы поиска. Решением для этого сценария является поиск в качестве доверенной службы, как описано в этой статье.

Необходимые компоненты

• Служба поиска с управляемым удостоверением, назначаемого системой (см. проверка удостоверение службы).

• Учетная запись хранения с доверенным службы Майкрософт для доступа к этому параметру сети учетной записи хранения (см. проверка параметры сети).

• Назначение ролей Azure в служба хранилища Azure, которое предоставляет разрешения на управляемое удостоверение, назначаемое системой поиска (см. проверка разрешения).

Примечание.

В Службе поиска ИИ Azure подключение к доверенной службе ограничено большими двоичными объектами и ADLS 2-го поколения в служба хранилища Azure. Он не поддерживается для подключений индексатора к таблицам Azure служба хранилища и Файлы Azure.

Подключение доверенной службы должно использовать системное управляемое удостоверение. Управляемое удостоверение, назначаемое пользователем, в настоящее время не поддерживается для этого сценария.

Проверка удостоверения службы

1. Войдите в портал Azure и найдите службу поиска.

2. На странице удостоверений убедитесь, что назначаемое системой удостоверение включено. Помните, что назначаемые пользователем управляемые удостоверения, в настоящее время в предварительной версии, не будут работать для надежного подключения к службе.

   

Проверка параметров сети

1. Войдите в портал Azure и найдите учетную запись хранения.

2. В области навигации слева в разделе "Безопасность и сеть" выберите "Сеть".

3. На вкладке "Брандмауэры и виртуальные сети " разрешите доступ из выбранных сетей.

4. Прокрутите вниз до раздела "Исключения".

   

5. Убедитесь, что проверка box выбран для разрешения служб Azure в списке доверенных служб для доступа к этой учетной записи хранения.

   Если служба поиска имеет доступ на основе ролей к учетной записи хранения, он может получить доступ к данным, даже если подключения к служба хранилища Azure защищены правилами брандмауэра IP.

Проверка разрешений

Управляемое удостоверение системы — это субъект-служба Microsoft Entra. Назначение должно служба хранилища чтения данных BLOB-объектов как минимум.

1. В области навигации слева в контроль доступа просмотрите все назначения ролей и убедитесь, что служба хранилища средство чтения данных BLOB-объектов назначено системе службы поиска.

2. Добавьте служба хранилища участника данных BLOB-объектов, если требуется доступ на запись.

   Функции, требующие доступа на запись, включают кэширование обогащения, сеансы отладки и хранилище знаний.

Настройка и проверка подключения

Самый простой способ проверить подключение — запустить мастер импорта данных.

1. Запустите мастер импорта данных, выбрав Хранилище BLOB-объектов Azure или Azure Data Lake Storage 2-го поколения.

2. Выберите подключение к учетной записи хранения и выберите назначенную системой систему. Нажмите кнопку "Далее ", чтобы вызвать подключение. Если обнаружена схема индекса, подключение выполнено успешно.

   

См. также

• Подключение в другие ресурсы Azure с помощью управляемого удостоверения
• Индексатор BLOB-объектов Azure
• Индексатор ADLS 2-го поколения
• Проверка подлинности в Microsoft Entra ID
• Сведения об управляемых удостоверениях (идентификатор Microsoft Entra)