Dela via


Konfigurera säker åtkomst med hanterade identiteter och virtuella nätverk

Det här innehållet gäller för: Bockmarkering v4.0 (förhandsversion)Bockmarkering v3.1 (GA) Bockmarkering v3.0 (GA) Bockmarkering v2.1 (GA)

Den här guiden vägleder dig genom processen att aktivera säkra anslutningar för dokumentinformationsresursen. Du kan skydda följande anslutningar:

  • Kommunikation mellan ett klientprogram i ett virtuellt nätverk (VNET) och din dokumentinformationsresurs.

  • Kommunikation mellan Document Intelligence Studio och din dokumentinformationsresurs. F

  • Kommunikation mellan dokumentinformationsresursen och ett lagringskonto (behövs när du tränar en anpassad modell).

Du konfigurerar din miljö för att skydda resurserna:

Skärmbild av säker konfiguration med hanterad identitet och virtuella nätverk.

Förutsättningar

Du behöver följande för att komma igång:

Konfigurera resurser

Konfigurera var och en av resurserna för att säkerställa att resurserna kan kommunicera med varandra:

  • Konfigurera Document Intelligence Studio att använda den nyligen skapade dokumentinformationsresursen genom att öppna inställningssidan och välja resursen.

  • Kontrollera att konfigurationen fungerar genom att välja Läs API och analysera ett exempeldokument. Om resursen har konfigurerats korrekt slutförs begäran.

  • Lägg till en träningsdatauppsättning i en container i lagringskontot som du skapade.

  • Välj den anpassade modellpanelen för att skapa ett anpassat projekt. Se till att du väljer samma dokumentinformationsresurs och lagringskontot som du skapade i föregående steg.

  • Välj containern med träningsdatauppsättningen som du laddade upp i föregående steg. Kontrollera att mappsökvägen är korrekt inställd om träningsdatauppsättningen finns i en mapp.

  • Se till att du har de behörigheter som krävs. Studio anger den CORS-inställning som krävs för åtkomst till lagringskontot. Om du inte har behörigheterna måste du se till att CORS-inställningarna har konfigurerats på lagringskontot innan du kan fortsätta.

  • Kontrollera att Studio är konfigurerat för åtkomst till dina träningsdata. Om du kan se dina dokument i etiketteringsmiljön upprättas alla nödvändiga anslutningar.

Nu har du en fungerande implementering av alla komponenter som behövs för att skapa en dokumentinformationslösning med standardsäkerhetsmodellen:

Skärmbild av standardsäkerhetskonfiguration.

Slutför sedan följande steg:

  • Konfigurera hanterad identitet på dokumentinformationsresursen.

  • Skydda lagringskontot för att begränsa trafik från endast specifika virtuella nätverk och IP-adresser.

  • Konfigurera den hanterade identiteten för dokumentinformation så att den kommunicerar med lagringskontot.

  • Inaktivera offentlig åtkomst till dokumentinformationsresursen och skapa en privat slutpunkt. Resursen är då endast tillgänglig från specifika virtuella nätverk och IP-adresser.

  • Lägg till en privat slutpunkt för lagringskontot i ett valt virtuellt nätverk.

  • Se till att du kan träna modeller och analysera dokument inifrån det virtuella nätverket.

Konfigurera hanterad identitet för dokumentinformation

Gå till dokumentinformationsresursen i Azure Portal och välj fliken Identitet. Växla den systemtilldelade hanterade identiteten till och spara ändringarna:

Skärmbild av konfigurerad hanterad identitet.

Skydda lagringskontot

Börja konfigurera säker kommunikation genom att gå till fliken Nätverk på lagringskontot i Azure Portal.

  1. Under Brandväggar och virtuella nätverk väljer du Aktiverad från valda virtuella nätverk och IP-adresser i listan offentlig nätverksåtkomst .

  2. Se till att Tillåt att Azure-tjänster i listan över betrodda tjänster får åtkomst till det här lagringskontot har valts från listan Undantag.

  3. Spara dina ändringar.

Skärmbild av konfigurera lagringsbrandväggen.

Kommentar

Ditt lagringskonto kommer inte att vara tillgängligt från det offentliga Internet.

Om du uppdaterar sidan för anpassad modelletiketter i Studio visas ett felmeddelande.

Aktivera åtkomst till lagring från Dokumentinformation

För att säkerställa att dokumentinformationsresursen kan komma åt träningsdatauppsättningen måste du lägga till en rolltilldelning för din hanterade identitet.

  1. Om du stannar kvar i lagringskontofönstret i Azure Portal går du till fliken Åtkomstkontroll (IAM) i det vänstra navigeringsfältet.

  2. Välj knappen Lägg till rolltilldelning.

    Skärmbild av fönstret Lägg till rolltilldelning.

  3. På fliken Roll söker du efter och väljer behörigheten Storage Blob Data Contributor och väljer Nästa.

    Skärmbild av välj en rollflik.

  4. På fliken Medlemmar väljer du alternativet Hanterad identitet och väljer + Välj medlemmar

  5. Välj följande alternativ i dialogrutan Välj hanterade identiteter :

    • Prenumeration. Välj din prenumeration.

    • Hanterad identitet. Välj Formigenkänning.

    • Välj. Välj den dokumentinformationsresurs som du har aktiverat med en hanterad identitet.

    Skärmbild av dialogrutan hanterade identiteter.

  6. Stäng dialogrutan.

  7. Välj slutligen Granska + tilldela för att spara ändringarna.

Toppen! Du har konfigurerat dokumentinformationsresursen så att den använder en hanterad identitet för att ansluta till ett lagringskonto.

Dricks

När du provar Document Intelligence Studio ser du att READ API och andra fördefinierade modeller inte kräver lagringsåtkomst för att bearbeta dokument. För att träna en anpassad modell krävs dock ytterligare konfiguration eftersom Studio inte kan kommunicera direkt med ett lagringskonto. Du kan aktivera lagringsåtkomst genom att välja Lägg till klientens IP-adressfliken Nätverk i lagringskontot för att konfigurera datorn för åtkomst till lagringskontot via IP-tillåtna listor.

Konfigurera privata slutpunkter för åtkomst från VNETs

Kommentar

  • Resurserna är endast tillgängliga från det virtuella nätverket.

  • Vissa funktioner för dokumentinformation i Studio, till exempel automatisk etikett, kräver att Document Intelligence Studio har åtkomst till ditt lagringskonto.

  • Lägg till vår Studio IP-adress, 20.3.165.95, i listan över tillåtna brandväggar för både dokumentinformation och lagringskontoresurser. Det här är Document Intelligence Studios dedikerade IP-adress och kan tillåtas på ett säkert sätt.

När du ansluter till resurser från ett virtuellt nätverk säkerställer tillägg av privata slutpunkter att både lagringskontot och dokumentinformationsresursen är tillgängliga från det virtuella nätverket.

Konfigurera sedan det virtuella nätverket så att endast resurser i det virtuella nätverket eller trafikroutern via nätverket har åtkomst till dokumentinformationsresursen och lagringskontot.

Aktivera brandväggar och virtuella nätverk

  1. I Azure Portal navigerar du till din dokumentinformationsresurs.

  2. Välj fliken Nätverk i det vänstra navigeringsfältet.

  3. Aktivera alternativet Valda nätverk och privata slutpunkterfliken Brandväggar och virtuella nätverk och välj Spara.

Kommentar

Om du försöker komma åt någon av funktionerna i Document Intelligence Studio visas ett meddelande om nekad åtkomst. Om du vill aktivera åtkomst från Studio på datorn markerar du kryssrutan Lägg till klientens IP-adress och Spara för att återställa åtkomsten.

Skärmbild som visar hur du inaktiverar offentlig åtkomst till dokumentinformation.

Konfigurera din privata slutpunkt

  1. Gå till fliken Privata slutpunktsanslutningar och välj + Privat slutpunkt. Du navigerar till dialogrutan Skapa en privat slutpunkt .

  2. Välj följande alternativ på sidan Skapa privat slutpunkt :

    • Prenumeration. Välj din faktureringsprenumeration.

    • Resursgrupp. Välj lämplig resursgrupp.

    • Namn. Ange ett namn för din privata slutpunkt.

    • Region. Välj samma region som ditt virtuella nätverk.

    • Välj Nästa: Resurs.

    Skärmbild som visar hur du konfigurerar en privat slutpunkt.

Konfigurera ditt virtuella nätverk

  1. På fliken Resurs accepterar du standardvärdena och väljer Nästa: Virtuellt nätverk.

  2. På fliken Virtuellt nätverk kontrollerar du att du väljer det virtuella nätverk som du skapade.

  3. Om du har flera undernät väljer du det undernät där du vill att den privata slutpunkten ska ansluta. Acceptera standardvärdet för dynamisk allokering av IP-adress.

  4. Välj Nästa: DNS

  5. Acceptera standardvärdet Ja för att integrera med privat DNS-zon.

    Skärmbild som visar hur du konfigurerar en privat slutpunkt.

  6. Acceptera de återstående standardvärdena och välj Nästa: Taggar.

  7. Välj Nästa: Granska + skapa.

Bra gjort! Dokumentinformationsresursen är nu endast tillgänglig från det virtuella nätverket och eventuella IP-adresser i LISTAN över TILLÅTNA IP-adresser.

Konfigurera privata slutpunkter för lagring

Gå till ditt lagringskonto på Azure Portal.

  1. Välj fliken Nätverk på den vänstra navigeringsmenyn.

  2. Välj fliken Privata slutpunktsanslutningar.

  3. Välj Lägg till + Privat slutpunkt.

  4. Ange ett namn och välj samma region som det virtuella nätverket.

  5. Välj Nästa: Resurs.

    Skärmbild som visar hur du skapar en privat slutpunkt.

  6. På resursfliken väljer du blob i listan Målunderresurs .

  7. välj Nästa: Virtuellt nätverk.

    Skärmbild som visar hur du konfigurerar en privat slutpunkt för en blob.

  8. Välj det virtuella nätverket och undernätet. Kontrollera att Aktivera nätverksprinciper för alla privata slutpunkter i det här undernätet är markerat och att dynamiskt allokera IP-adressen är aktiverad.

  9. Välj Nästa: DNS.

  10. Kontrollera att Ja är aktiverat för Integrera med privat DNS-zon.

  11. Välj Nästa: Taggar.

  12. Välj Nästa: Granska + skapa.

Bra jobbat! Nu har du alla anslutningar mellan dokumentinformationsresursen och lagringen konfigurerade för att använda hanterade identiteter.

Kommentar

Resurserna är endast tillgängliga från det virtuella nätverket och tillåtna IP-adresser.

Studio-åtkomst och analysbegäranden till dokumentinformationsresursen misslyckas om inte begäran kommer från det virtuella nätverket eller dirigeras via det virtuella nätverket.

Verifiera distributionen

För att verifiera distributionen kan du distribuera en virtuell dator (VM) till det virtuella nätverket och ansluta till resurserna.

  1. Konfigurera en Datavetenskap virtuell dator i det virtuella nätverket.

  2. Fjärranslutning till den virtuella datorn från skrivbordet och starta en webbläsarsession som har åtkomst till Document Intelligence Studio.

  3. Analysera begäranden och träningsåtgärderna bör nu fungera.

Det var allt! Nu kan du konfigurera säker åtkomst för dokumentinformationsresursen med hanterade identiteter och privata slutpunkter.

Vanliga felmeddelanden

  • Det gick inte att komma åt Blob-containern:

    Skärmbild av felmeddelandet när CORS-konfiguration krävs.

    Lösning:

    1. Konfigurera CORS.

    2. Kontrollera att klientdatorn kan komma åt dokumentinformationsresursen och lagringskontot, antingen är de i samma VNETeller så tillåts klientens IP-adress i nätverksbrandväggar > och inställningssidan för virtuella nätverk för både Dokumentinformationsresurs och lagringskonto.

  • AuthorizationFailure:

    Skärmbild av auktoriseringsfel.

    Lösning: Kontrollera att klientdatorn kan komma åt resursen och lagringskontot för Dokumentinformation, antingen finns de i samma VNET, eller så tillåts klientens IP-adress i nätverksbrandväggar > och virtuella nätverk på inställningssidan för både Document Intelligence-resursen och lagringskontot.

  • ContentSourceNotAccessible:

    Skärmbild av ett fel som inte är tillgängligt för innehållskällan.

    Lösning: Se till att du beviljar den hanterade identiteten för Dokumentinformation rollen Som Storage Blob Data-deltagare och aktiverad åtkomst till betrodda tjänster eller regler för resursinstanser på nätverksfliken.

  • AccessDenied:

    Skärmbild av ett felmeddelande om nekad åtkomst.

    Lösning: Kontrollera att klientdatorn kan komma åt resursen och lagringskontot för Dokumentinformation, antingen finns de i samma VNET, eller så tillåts klientens IP-adress i nätverksbrandväggar > och virtuella nätverk på inställningssidan för både Document Intelligence-resursen och lagringskontot.

Nästa steg