Aracılığıyla paylaş

Dil kaynakları için yönetilen kimlikler

  • Makale

Azure kaynakları için yönetilen kimlikler, Microsoft Entra kimliği ve Azure yönetilen kaynakları için belirli izinler oluşturan hizmet sorumlularıdır. Yönetilen kimlikler, depolama verilerine erişim vermenin ve paylaşılan erişim imzası belirteçlerini (SAS) kaynak ve hedef kapsayıcı URL'lerinizle ekleme gereksinimini değiştirmenin daha güvenli bir yoludur.

Yönetilen kimlik akışının (RBAC) ekran görüntüsü.

  • Kendi uygulamalarınız da dahil olmak üzere Microsoft Entra kimlik doğrulamasını destekleyen herhangi bir kaynağa erişim vermek için yönetilen kimlikleri kullanabilirsiniz.

  • Azure kaynağına erişim vermek için Azure rol tabanlı erişim denetimini () kullanarak yönetilen kimliğe Azure rolü atayın.Azure RBAC

  • Azure'da yönetilen kimlikleri kullanmak için ek maliyet yoktur.

Önemli

  • Yönetilen kimlikleri kullanırken HTTP isteklerinize sas belirteci URL'si eklemeyin; istekleriniz başarısız olur. Yönetilen kimlikleri kullanmak, paylaşılan erişim imzası belirteçlerini (SAS) kaynak ve hedef kapsayıcı URL'lerinizle ekleme gereksiniminin yerini alır.

  • Dil işlemleri için yönetilen kimlikleri kullanmak için Dil kaynağınızı Doğu ABD gibi belirli bir coğrafi Azure bölgesinde oluşturmanız gerekir. Dil kaynağı bölgeniz Genel olarak ayarlandıysa, yönetilen kimlik kimlik doğrulamasını kullanamazsınız. Ancak Yine de Paylaşılan Erişim İmzası (SAS) belirteçlerini kullanabilirsiniz.

Önkoşullar

Başlamak için aşağıdaki kaynaklara ihtiyacınız vardır:

  • Etkin bir Azure hesabı. Hesabınız yoksa ücretsiz bir hesap oluşturabilirsiniz.

  • Bölgesel bir konumda oluşturulan tek hizmetli bir Azure Yapay Zeka Dili kaynağı.

  • Azure portalını kullanarak Azure rol tabanlı erişim denetimi (Azure RBAC) hakkında kısa bir bilgi.

  • Dil kaynağınızla aynı bölgede yer alan bir Azure Blob Depolama hesabı. Blob verilerinizi depolama hesabınızda depolamak ve düzenlemek için de kapsayıcılar oluşturmanız gerekir.

  • Depolama hesabınız bir güvenlik duvarının arkasındaysa aşağıdaki yapılandırmayı etkinleştirmeniz gerekir:

    1. Azure portalına gidin ve Azure hesabınızla oturum açın.

    2. Depolama hesabınızı seçin.

    3. Sol bölmedeki Güvenlik + ağ grubunda Ağ'ı seçin.

    4. Güvenlik duvarları ve sanal ağlar sekmesinde Seçili sanal ağlardan ve IP adreslerinden etkinleştirildi'yi seçin.

      Seçilen ağlar radyo düğmesinin seçili olduğunu gösteren ekran görüntüsü.

    5. Tüm onay kutularının seçimini kaldırın.

    6. Microsoft ağ yönlendirmesi'nin seçili olduğundan emin olun.

    7. Kaynak örnekleri bölümünde kaynak türü olarak Microsoft.CognitiveServices/accounts öğesini seçin ve örnek adı olarak Dil kaynağınızı seçin.

    8. Güvenilen hizmetler listesindeki Azure hizmetlerinin bu depolama hesabına erişmesine izin ver kutusunun işaretli olduğundan emin olun. Özel durumları yönetme hakkında daha fazla bilgi için bkz. Azure Depolama güvenlik duvarlarını ve sanal ağları yapılandırma.

      Azure portalında güvenilen hizmetlere izin ver onay kutusunu gösteren ekran görüntüsü.

    9. Kaydet'i seçin.

      Not

      Ağ değişikliklerinin yayılması 5 dakika kadar sürebilir.

    Ağ erişimine artık izin verilse de Dil kaynağınız Depolama hesabınızdaki verilere hala erişemiyor. Için yönetilen kimlik oluşturmanız ve Dil kaynağınıza belirli bir erişim rolü atamanız gerekir.

Yönetilen kimlik atamaları

İki tür yönetilen kimlik vardır: sistem tarafından atanan ve kullanıcı tarafından atanan. Şu anda, Belge Çevirisi sistem tarafından atanan yönetilen kimliği destekler:

  • Sistem tarafından atanan yönetilen kimlik doğrudan bir hizmet örneğinde etkinleştirilir . Varsayılan olarak etkin değildir; kaynağınıza gidip kimlik ayarını güncelleştirmeniz gerekir.

  • Sistem tarafından atanan yönetilen kimlik, yaşam döngüsü boyunca kaynağınıza bağlıdır. Kaynağınızı silerseniz yönetilen kimlik de silinir.

Aşağıdaki adımlarda sistem tarafından atanan yönetilen kimliği etkinleştirir ve Dil kaynağınıza Azure Blob Depolama hesabınıza sınırlı erişim veririz.

Sistem tarafından atanan yönetilen kimliği etkinleştirme

Blob oluşturabilmesi, okuyabilmesi veya silebilmesi için önce depolama hesabınıza Dil kaynağı erişimi vermelisiniz. Dil kaynağını sistem tarafından atanan yönetilen kimlikle etkinleştirdikten sonra, Azure depolama kapsayıcılarınıza Dil özelliklerine erişim vermek için Azure rol tabanlı erişim denetimini ()Azure RBAC kullanabilirsiniz.

  1. Azure portalına gidin ve Azure hesabınızla oturum açın.

  2. Dil kaynağınızı seçin.

  3. Sol bölmedeki Kaynak Yönetimi grubunda Kimlik'i seçin. Kaynağınız genel bölgede oluşturulduysa Kimlik sekmesi görünmez. Kimlik doğrulaması için Paylaşılan Erişim İmzası (SAS) belirteçlerini kullanmaya devam edebilirsiniz.

  4. Sistem tarafından atanan sekmesinde Durum iki durumlu düğmesini açın.

    Azure portalında kaynak yönetimi kimlik sekmesini gösteren ekran görüntüsü.

    Önemli

    Kullanıcı tarafından atanan yönetilen kimlikler, toplu işlem depolama hesabı senaryosunun gereksinimlerini karşılamıyor. Sistem tarafından atanan yönetilen kimliği etkinleştirdiğinizden emin olun.

  5. Kaydet'i seçin.

Dil kaynağınız için depolama hesabı erişimi verme

Önemli

Sistem tarafından atanan yönetilen kimlik rolü atamak için, depolama kaynağının depolama kapsamında Sahip veya Kullanıcı Erişimi Yöneticisi gibi Microsoft.Authorization/roleAssignments/write izinlerine sahip olmanız gerekir.

  1. Azure portalına gidin ve Azure hesabınızla oturum açın.

  2. Dil kaynağınızı seçin.

  3. Sol bölmedeki Kaynak Yönetimi grubunda Kimlik'i seçin.

  4. İzinler'in altında Azure rol atamaları'ı seçin:

    Azure portalında sistem tarafından atanan yönetilen kimliği etkinleştirmeyi gösteren ekran görüntüsü.

  5. Açılan Azure rol atamaları sayfasında, açılan menüden aboneliğinizi seçin ve ardından + Rol ataması ekle'yi seçin.

    Azure portalında Azure rol atamaları sayfasını gösteren ekran görüntüsü.

  6. Ardından, Dil hizmeti kaynağınıza bir Depolama Blobu Veri Katkıda Bulunanı rolü atayın. Depolama Blob Verileri Katkıda Bulunanı rolü, Dil (sistem tarafından atanan yönetilen kimlikle temsil edilir) blob kapsayıcısına ve verilerine okuma, yazma ve silme erişimi verir. Rol ataması ekle açılır penceresinde, alanları aşağıdaki gibi doldurun ve Kaydet'i seçin:

    Alan Değer
    Scope Depolama.
    Abonelik Depolama kaynağınızla ilişkili abonelik.
    Kaynak Depolama kaynağınızın adı.
    Rol Depolama Blob Verileri Katkıda Bulunanı.

    Azure portalındaki rol atamaları sayfasını gösteren ekran görüntüsü.

  7. Rol ataması eklendi onay iletisi görüntülendikten sonra eklenen rol atamasını görmek için sayfayı yenileyin.

    Eklenen rol ataması onay açılır iletisini gösteren ekran görüntüsü.

  8. Yeni rol atamasını hemen görmüyorsanız bekleyin ve sayfayı yenilemeyi yeniden deneyin. Rol atamalarını atadığınızda veya kaldırdığınızda değişikliklerin geçerlilik kazanması 30 dakika kadar sürebilir.

HTTP istekleri

  • Yerel bir belge Dil hizmeti işlem isteği, BIR POST isteği aracılığıyla Dil hizmeti uç noktanıza gönderilir.

  • Yönetilen kimlik ve Azure RBACile artık SAS URL'lerini eklemeniz gerekmez.

  • Başarılı olursa POST yöntemi bir 202 Accepted yanıt kodu döndürür ve hizmet bir istek oluşturur.

  • İşlenen belgeler hedef kapsayıcınızda görünür.

Sonraki adımlar

Yerel belge desteğini kullanmaya başlama