Aracılığıyla paylaş

Yönetilen kimlik kullanarak Azure Depolama'ya bağlanma (Azure AI Search)

  • Makale

Bu makalede, bağlantı dizesi kimlik bilgilerini sağlamak yerine yönetilen kimlik kullanarak Azure Depolama hesabına yönelik bir arama hizmeti bağlantısının nasıl yapılandırılması açıklanır.

Sistem tarafından atanan yönetilen kimliği veya kullanıcı tarafından atanan yönetilen kimliği kullanabilirsiniz. Yönetilen kimlikler Microsoft Entra oturum açma bilgileridir ve Azure Depolama'ya erişim için rol atamaları gerektirir.

Önkoşullar

  • Yönetilen kimlikle Azure AI Search, Temel katman veya üzeri.

Not

Depolama ağ korumalıysa ve arama hizmetinizle aynı bölgedeyse, sistem tarafından atanan bir yönetilen kimlik ve şu ağ seçeneklerinden birini kullanmanız gerekir: güvenilir hizmet olarak bağlanma veya kaynak örneği kuralını kullanarak bağlanma.

Azure Depolama'da rol ataması oluşturma

  1. Azure portalında oturum açın ve depolama hesabınızı bulun.

  2. Erişim denetimi (IAM) öğesini seçin.

  3. Ekle'yi ve ardından Rol ataması'ı seçin.

  4. İş işlevi rolleri listesinden arama hizmetiniz için gereken rolleri seçin:

    Görev Rol ataması
    Dizin oluşturucu kullanarak blob dizin oluşturma Depolama Blobu Veri Okuyucusu Ekleme
    Dizin oluşturucu kullanarak ADLS 2. Nesil dizin oluşturma Depolama Blobu Veri Okuyucusu Ekleme
    Dizin oluşturucu kullanarak tablo dizin oluşturma Okuyucu ve Veri Erişimi Ekleme
    Dizin oluşturucu kullanarak dosya dizini oluşturma Okuyucu ve Veri Erişimi Ekleme
    Bilgi deposuna yazma Nesne ve dosya projeksiyonları için Depolama Blobu DataContributor ve tablo projeksiyonları için Okuyucu ve Veri Erişimi ekleyin.
    Zenginleştirme önbelleğine yazma Depolama Blobu Veri Katkıda Bulunanı Ekleme
    Hata ayıklama oturum durumunu kaydetme Depolama Blobu Veri Katkıda Bulunanı Ekleme

  5. İleri'yi seçin.

  6. Yönetilen kimlik'i ve ardından Üyeler'i seçin.

  7. Sistem tarafından atanan yönetilen kimliklere veya kullanıcı tarafından atanan yönetilen kimliklere göre filtreleyin. Arama hizmetiniz için daha önce oluşturduğunuz yönetilen kimliği görmeniz gerekir. Aramanız yoksa bkz . Aramayı yönetilen kimlik kullanacak şekilde yapılandırma. Zaten bir tane ayarladıysanız ancak kullanılamıyorsa birkaç dakika bekleyin.

  8. Kimliği seçin ve rol atamasını kaydedin.

bağlantı dizesi yönetilen kimlik belirtme

Rol atamanız olduktan sonra, bu rol altında çalışan bir Azure Depolama bağlantısı ayarlayabilirsiniz.

Dizin oluşturucular, dış veri kaynağına bağlantılar için bir veri kaynağı nesnesi kullanır. Bu bölümde, bir veri kaynağı bağlantı dizesi sistem tarafından atanan yönetilen kimliğin veya kullanıcı tarafından atanan yönetilen kimliğin nasıl belirtileceğini açıklanmaktadır. Daha fazla bağlantı dizesi örneği yönetilen kimlik makalesinde bulabilirsiniz.

İpucu

Azure portalında, sistem veya kullanıcı tarafından atanan yönetilen kimliği belirterek Azure Depolama'ya bir veri kaynağı bağlantısı oluşturabilir ve ardından bağlantı dizesi nasıl formüle edileceğini görmek için JSON tanımını görüntüleyebilirsiniz.

Sistem tarafından atanan yönetilen kimlik

Sistem tarafından atanmış yönetilen kimliğin zaten yapılandırılmış olması ve Azure Depolama'da bir rol ataması olması gerekir.

Sistem tarafından atanan yönetilen kimlik kullanılarak yapılan bağlantılar için veri kaynağı tanımında yapılan tek değişiklik özelliğin credentials biçimidir.

Hesap anahtarı veya parolası olmayan bir ResourceId belirtin. depolama ResourceId hesabının abonelik kimliğini, depolama hesabının kaynak grubunu ve depolama hesabı adını içermelidir.

POST https://[service name].search.windows.net/datasources?api-version=2023-11-01

{
    "name" : "blob-datasource",
    "type" : "azureblob",
    "credentials" : { 
        "connectionString" : "ResourceId=/subscriptions/00000000-0000-0000-0000-00000000/resourceGroups/MY-DEMO-RESOURCE-GROUP/providers/Microsoft.Storage/storageAccounts/MY-DEMO-STORAGE-ACCOUNT/;" 
    },
    "container" : { 
        "name" : "my-container", "query" : "<optional-virtual-directory-name>" 
    }
}

Kullanıcı tarafından atanan yönetilen kimlik

Kullanıcı tarafından atanan yönetilen kimliğin zaten yapılandırılmış ve arama hizmetinizle ilişkilendirilmiş olması ve kimliğin Azure Depolama'da bir rol ataması olması gerekir.

Kullanıcı tarafından atanan yönetilen kimlikler aracılığıyla yapılan bağlantılar, sistem tarafından atanan yönetilen kimlikle aynı kimlik bilgilerini ve kullanıcı tarafından atanan yönetilen kimliklerin koleksiyonunu içeren ek bir kimlik özelliğini kullanır. Veri kaynağı oluşturulurken yalnızca bir kullanıcı tarafından atanan yönetilen kimlik sağlanmalıdır. Kullanıcı tarafından atanan yönetilen kimliğe ayarlayın userAssignedIdentity .

Hesap anahtarı veya parolası olmayan bir ResourceId belirtin. depolama ResourceId hesabının abonelik kimliğini, depolama hesabının kaynak grubunu ve depolama hesabı adını içermelidir.

Aşağıdaki örnekte gösterilen söz dizimini kullanarak bir identity sağlayın.

POST https://[service name].search.windows.net/datasources?api-version=2023-11-01

{
    "name" : "blob-datasource",
    "type" : "azureblob",
    "credentials" : { 
        "connectionString" : "ResourceId=/subscriptions/00000000-0000-0000-0000-00000000/resourceGroups/MY-DEMO-RESOURCE-GROUP/providers/Microsoft.Storage/storageAccounts/MY-DEMO-STORAGE-ACCOUNT/;" 
    },
    "container" : { 
        "name" : "my-container", "query" : "<optional-virtual-directory-name>" 
    },
    "identity" : { 
        "@odata.type": "#Microsoft.Azure.Search.DataUserAssignedIdentity",
        "userAssignedIdentity" : "/subscriptions/00000000-0000-0000-0000-00000000/resourcegroups/MY-DEMO-RESOURCE-GROUP/providers/Microsoft.ManagedIdentity/userAssignedIdentities/MY-DEMO-USER-MANAGED-IDENTITY" 
    }
}

Uzak hizmet üzerindeki bağlantı bilgileri ve izinler, dizin oluşturucu yürütmesi sırasında çalışma zamanında doğrulanır. Dizin oluşturucu başarılı olursa, bağlantı söz dizimi ve rol atamaları geçerli olur. Daha fazla bilgi için bkz . Dizin oluşturucuları, becerileri veya belgeleri çalıştırma veya sıfırlama.

Depolama hesaplarında ağ güvenli verilerine erişme

Azure depolama hesapları güvenlik duvarları ve sanal ağlar kullanılarak daha da güvenli hale getirilebilir. Güvenlik duvarı veya sanal ağ kullanılarak güvenliği sağlanan bir depolama hesabından içerik dizini oluşturmak istiyorsanız bkz . Azure Depolama'ya güvenilir hizmet olarak dizin oluşturucu bağlantıları oluşturma.

Ayrıca bkz.