Konfigurera säker åtkomst med hanterade identiteter och virtuella nätverk
Det här innehållet gäller för: v4.0 (förhandsversion) v3.1 (GA) v3.0 (GA) v2.1 (GA)
Den här guiden vägleder dig genom processen att aktivera säkra anslutningar för dokumentinformationsresursen. Du kan skydda följande anslutningar:
Kommunikation mellan ett klientprogram i ett virtuellt nätverk (
VNET
) och din dokumentinformationsresurs.Kommunikation mellan Document Intelligence Studio och din dokumentinformationsresurs. F
Kommunikation mellan dokumentinformationsresursen och ett lagringskonto (behövs när du tränar en anpassad modell).
Du konfigurerar din miljö för att skydda resurserna:
Förutsättningar
Du behöver följande för att komma igång:
Ett aktivt Azure-konto – om du inte har något kan du skapa ett kostnadsfritt konto.
En dokumentinformations- eller Azure AI-tjänstresurs i Azure Portal. Detaljerade steg finns i Skapa en Azure AI-tjänstresurs.
Ett Azure Blob Storage-konto i samma region som dokumentinformationsresursen. Skapa containrar för att lagra och organisera dina blobdata i ditt lagringskonto.
Ett virtuellt Azure-nätverk i samma region som dokumentinformationsresursen. Skapa ett virtuellt nätverk för att distribuera dina programresurser för att träna modeller och analysera dokument.
En virtuell Azure-datavetenskapsdator för Windows eller Linux/Ubuntu för att eventuellt distribuera en virtuell dator för datavetenskap i det virtuella nätverket för att testa de säkra anslutningar som upprättas.
Konfigurera resurser
Konfigurera var och en av resurserna för att säkerställa att resurserna kan kommunicera med varandra:
Konfigurera Document Intelligence Studio att använda den nyligen skapade dokumentinformationsresursen genom att öppna inställningssidan och välja resursen.
Kontrollera att konfigurationen fungerar genom att välja Läs API och analysera ett exempeldokument. Om resursen har konfigurerats korrekt slutförs begäran.
Lägg till en träningsdatauppsättning i en container i lagringskontot som du skapade.
Välj den anpassade modellpanelen för att skapa ett anpassat projekt. Se till att du väljer samma dokumentinformationsresurs och lagringskontot som du skapade i föregående steg.
Välj containern med träningsdatauppsättningen som du laddade upp i föregående steg. Kontrollera att mappsökvägen är korrekt inställd om träningsdatauppsättningen finns i en mapp.
Se till att du har de behörigheter som krävs. Studio anger den CORS-inställning som krävs för åtkomst till lagringskontot. Om du inte har behörigheterna måste du se till att CORS-inställningarna har konfigurerats på lagringskontot innan du kan fortsätta.
Kontrollera att Studio är konfigurerat för åtkomst till dina träningsdata. Om du kan se dina dokument i etiketteringsmiljön upprättas alla nödvändiga anslutningar.
Nu har du en fungerande implementering av alla komponenter som behövs för att skapa en dokumentinformationslösning med standardsäkerhetsmodellen:
Slutför sedan följande steg:
Konfigurera hanterad identitet på dokumentinformationsresursen.
Skydda lagringskontot för att begränsa trafik från endast specifika virtuella nätverk och IP-adresser.
Konfigurera den hanterade identiteten för dokumentinformation så att den kommunicerar med lagringskontot.
Inaktivera offentlig åtkomst till dokumentinformationsresursen och skapa en privat slutpunkt. Resursen är då endast tillgänglig från specifika virtuella nätverk och IP-adresser.
Lägg till en privat slutpunkt för lagringskontot i ett valt virtuellt nätverk.
Se till att du kan träna modeller och analysera dokument inifrån det virtuella nätverket.
Konfigurera hanterad identitet för dokumentinformation
Gå till dokumentinformationsresursen i Azure Portal och välj fliken Identitet. Växla den systemtilldelade hanterade identiteten till På och spara ändringarna:
Skydda lagringskontot
Börja konfigurera säker kommunikation genom att gå till fliken Nätverk på lagringskontot i Azure Portal.
Under Brandväggar och virtuella nätverk väljer du Aktiverad från valda virtuella nätverk och IP-adresser i listan offentlig nätverksåtkomst .
Se till att Tillåt att Azure-tjänster i listan över betrodda tjänster får åtkomst till det här lagringskontot har valts från listan Undantag.
Spara dina ändringar.
Kommentar
Ditt lagringskonto kommer inte att vara tillgängligt från det offentliga Internet.
Om du uppdaterar sidan för anpassad modelletiketter i Studio visas ett felmeddelande.
Aktivera åtkomst till lagring från Dokumentinformation
För att säkerställa att dokumentinformationsresursen kan komma åt träningsdatauppsättningen måste du lägga till en rolltilldelning för din hanterade identitet.
Om du stannar kvar i lagringskontofönstret i Azure Portal går du till fliken Åtkomstkontroll (IAM) i det vänstra navigeringsfältet.
Välj knappen Lägg till rolltilldelning.
På fliken Roll söker du efter och väljer behörigheten Storage Blob Data Contributor och väljer Nästa.
På fliken Medlemmar väljer du alternativet Hanterad identitet och väljer + Välj medlemmar
Välj följande alternativ i dialogrutan Välj hanterade identiteter :
Prenumeration. Välj din prenumeration.
Hanterad identitet. Välj Formigenkänning.
Välj. Välj den dokumentinformationsresurs som du har aktiverat med en hanterad identitet.
Stäng dialogrutan.
Välj slutligen Granska + tilldela för att spara ändringarna.
Toppen! Du har konfigurerat dokumentinformationsresursen så att den använder en hanterad identitet för att ansluta till ett lagringskonto.
Dricks
När du provar Document Intelligence Studio ser du att READ API och andra fördefinierade modeller inte kräver lagringsåtkomst för att bearbeta dokument. För att träna en anpassad modell krävs dock ytterligare konfiguration eftersom Studio inte kan kommunicera direkt med ett lagringskonto. Du kan aktivera lagringsåtkomst genom att välja Lägg till klientens IP-adress på fliken Nätverk i lagringskontot för att konfigurera datorn för åtkomst till lagringskontot via IP-tillåtna listor.
Konfigurera privata slutpunkter för åtkomst från VNET
s
Kommentar
Resurserna är endast tillgängliga från det virtuella nätverket.
Vissa funktioner för dokumentinformation i Studio, till exempel automatisk etikett, kräver att Document Intelligence Studio har åtkomst till ditt lagringskonto.
Lägg till vår Studio IP-adress, 20.3.165.95, i listan över tillåtna brandväggar för både dokumentinformation och lagringskontoresurser. Det här är Document Intelligence Studios dedikerade IP-adress och kan tillåtas på ett säkert sätt.
När du ansluter till resurser från ett virtuellt nätverk säkerställer tillägg av privata slutpunkter att både lagringskontot och dokumentinformationsresursen är tillgängliga från det virtuella nätverket.
Konfigurera sedan det virtuella nätverket så att endast resurser i det virtuella nätverket eller trafikroutern via nätverket har åtkomst till dokumentinformationsresursen och lagringskontot.
Aktivera brandväggar och virtuella nätverk
I Azure Portal navigerar du till din dokumentinformationsresurs.
Välj fliken Nätverk i det vänstra navigeringsfältet.
Aktivera alternativet Valda nätverk och privata slutpunkter på fliken Brandväggar och virtuella nätverk och välj Spara.
Kommentar
Om du försöker komma åt någon av funktionerna i Document Intelligence Studio visas ett meddelande om nekad åtkomst. Om du vill aktivera åtkomst från Studio på datorn markerar du kryssrutan Lägg till klientens IP-adress och Spara för att återställa åtkomsten.
Konfigurera din privata slutpunkt
Gå till fliken Privata slutpunktsanslutningar och välj + Privat slutpunkt. Du navigerar till dialogrutan Skapa en privat slutpunkt .
Välj följande alternativ på sidan Skapa privat slutpunkt :
Prenumeration. Välj din faktureringsprenumeration.
Resursgrupp. Välj lämplig resursgrupp.
Namn. Ange ett namn för din privata slutpunkt.
Region. Välj samma region som ditt virtuella nätverk.
Välj Nästa: Resurs.
Konfigurera ditt virtuella nätverk
På fliken Resurs accepterar du standardvärdena och väljer Nästa: Virtuellt nätverk.
På fliken Virtuellt nätverk kontrollerar du att du väljer det virtuella nätverk som du skapade.
Om du har flera undernät väljer du det undernät där du vill att den privata slutpunkten ska ansluta. Acceptera standardvärdet för dynamisk allokering av IP-adress.
Välj Nästa: DNS
Acceptera standardvärdet Ja för att integrera med privat DNS-zon.
Acceptera de återstående standardvärdena och välj Nästa: Taggar.
Välj Nästa: Granska + skapa.
Bra gjort! Dokumentinformationsresursen är nu endast tillgänglig från det virtuella nätverket och eventuella IP-adresser i LISTAN över TILLÅTNA IP-adresser.
Konfigurera privata slutpunkter för lagring
Gå till ditt lagringskonto på Azure Portal.
Välj fliken Nätverk på den vänstra navigeringsmenyn.
Välj fliken Privata slutpunktsanslutningar.
Välj Lägg till + Privat slutpunkt.
Ange ett namn och välj samma region som det virtuella nätverket.
Välj Nästa: Resurs.
På resursfliken väljer du blob i listan Målunderresurs .
välj Nästa: Virtuellt nätverk.
Välj det virtuella nätverket och undernätet. Kontrollera att Aktivera nätverksprinciper för alla privata slutpunkter i det här undernätet är markerat och att dynamiskt allokera IP-adressen är aktiverad.
Välj Nästa: DNS.
Kontrollera att Ja är aktiverat för Integrera med privat DNS-zon.
Välj Nästa: Taggar.
Välj Nästa: Granska + skapa.
Bra jobbat! Nu har du alla anslutningar mellan dokumentinformationsresursen och lagringen konfigurerade för att använda hanterade identiteter.
Kommentar
Resurserna är endast tillgängliga från det virtuella nätverket och tillåtna IP-adresser.
Studio-åtkomst och analysbegäranden till dokumentinformationsresursen misslyckas om inte begäran kommer från det virtuella nätverket eller dirigeras via det virtuella nätverket.
Verifiera distributionen
För att verifiera distributionen kan du distribuera en virtuell dator (VM) till det virtuella nätverket och ansluta till resurserna.
Konfigurera en Datavetenskap virtuell dator i det virtuella nätverket.
Fjärranslutning till den virtuella datorn från skrivbordet och starta en webbläsarsession som har åtkomst till Document Intelligence Studio.
Analysera begäranden och träningsåtgärderna bör nu fungera.
Det var allt! Nu kan du konfigurera säker åtkomst för dokumentinformationsresursen med hanterade identiteter och privata slutpunkter.
Vanliga felmeddelanden
Det gick inte att komma åt Blob-containern:
Lösning:
Kontrollera att klientdatorn kan komma åt dokumentinformationsresursen och lagringskontot, antingen är de i samma
VNET
eller så tillåts klientens IP-adress i nätverksbrandväggar > och inställningssidan för virtuella nätverk för både Dokumentinformationsresurs och lagringskonto.
AuthorizationFailure:
Lösning: Kontrollera att klientdatorn kan komma åt resursen och lagringskontot för Dokumentinformation, antingen finns de i samma
VNET
, eller så tillåts klientens IP-adress i nätverksbrandväggar > och virtuella nätverk på inställningssidan för både Document Intelligence-resursen och lagringskontot.ContentSourceNotAccessible:
Lösning: Se till att du beviljar den hanterade identiteten för Dokumentinformation rollen Som Storage Blob Data-deltagare och aktiverad åtkomst till betrodda tjänster eller regler för resursinstanser på nätverksfliken.
AccessDenied:
Lösning: Kontrollera att klientdatorn kan komma åt resursen och lagringskontot för Dokumentinformation, antingen finns de i samma
VNET
, eller så tillåts klientens IP-adress i nätverksbrandväggar > och virtuella nätverk på inställningssidan för både Document Intelligence-resursen och lagringskontot.