Yönetilen kimlikler ve sanal ağlar ile güvenli erişimi yapılandırma
Bu içerik şunlar için geçerlidir: v4.0 (önizleme)v3.1 (GA)v3.0 (GA)v2.1 (GA)
Bu nasıl yapılır kılavuzu, Belge Yönetim Bilgileri kaynağınız için güvenli bağlantıları etkinleştirme işleminde size yol gösterir. Aşağıdaki bağlantıların güvenliğini sağlayabilirsiniz:
bir Sanal Ağ (
VNET
) içindeki bir istemci uygulaması ile Belge Yönetim Bilgileri Kaynağınız arasındaki iletişim.Document Intelligence Studio ile Belge Yönetim Bilgileri kaynağınız arasındaki iletişim.
Belge Yönetim Bilgileri kaynağınız ile depolama hesabı arasındaki iletişim (özel model eğitirken gereklidir).
Ortamınızı kaynakların güvenliğini sağlamak için ayarlıyorsunuz:
Önkoşullar
Başlamak için gerekli olanlar:
Etkin bir Azure hesabınız yoksa ücretsiz bir hesap oluşturabilirsiniz.
Azure portalında Bir Belge Zekası veya Azure AI hizmetleri kaynağı. Ayrıntılı adımlar için bkz. Çok hizmetli kaynak oluşturma.
Belge Yönetim Bilgileri kaynağınızla aynı bölgede yer alan bir Azure blob depolama hesabı . Blob verilerinizi depolama hesabınızda depolamak ve düzenlemek için kapsayıcılar oluşturun.
Belge Yönetim Bilgileri kaynağınızla aynı bölgede yer alan bir Azure sanal ağı. Modelleri eğitmek ve belgeleri analiz etmek için uygulama kaynaklarınızı dağıtmak için bir sanal ağ oluşturun.
Kurulan güvenli bağlantıları test etmek üzere isteğe bağlı olarak sanal ağda bir veri bilimi VM'sini dağıtmak için Windows veya Linux/Ubuntu için Azure veri bilimi VM'si.
Kaynakları yapılandırma
Kaynakların birbiriyle iletişim kuradığından emin olmak için her bir kaynağı yapılandırın:
Document Intelligence Studio'yu ayarlar sayfasına erişip kaynağı seçerek yeni oluşturulan Belge Yönetim Bilgileri kaynağını kullanacak şekilde yapılandırın.
Okuma API'sini seçip örnek belgeyi analiz ederek yapılandırmanın çalıştığını doğrulayın. Kaynak doğru yapılandırıldıysa istek başarıyla tamamlanmıştır.
Oluşturduğunuz Depolama hesabındaki bir kapsayıcıya eğitim veri kümesi ekleyin.
Özel bir proje oluşturmak için özel model kutucuğunu seçin. Önceki adımda oluşturduğunuz belge yönetim bilgileri kaynağını ve depolama hesabını seçtiğinizden emin olun.
Önceki adımda karşıya yüklediğiniz eğitim veri kümesini içeren kapsayıcıyı seçin. Eğitim veri kümesi bir klasörün içindeyse klasör yolunun uygun şekilde ayarlandığından emin olun.
Gerekli izinlere sahipseniz, Studio depolama hesabına erişmek için gereken CORS ayarını ayarlar. İzinleriniz yoksa, devam etmeden önce CORS ayarlarının Depolama hesabında yapılandırıldığından emin olmanız gerekir.
Studio'yu eğitim verilerinize erişecek şekilde yapılandırıldığını doğrulayın. Belgelerinizi etiketleme deneyiminde görebiliyorsanız tüm gerekli bağlantılar kurulur.
Artık varsayılan güvenlik modeline sahip bir Belge Yönetim Bilgileri çözümü oluşturmak için gereken tüm bileşenlerin çalışan bir uygulamasına sahipsiniz:
Ardından aşağıdaki adımları tamamlayın:
Belge Yönetim Bilgileri kaynağında yönetilen kimliği ayarlama.
Yalnızca belirli sanal ağlardan ve IP adreslerinden gelen trafiği kısıtlamak için depolama hesabının güvenliğini sağlayın.
Depolama hesabıyla iletişim kurmak için Belge Yönetim Bilgileri yönetilen kimliğini yapılandırın.
Belge Yönetim Bilgileri kaynağına genel erişimi devre dışı bırakın ve yalnızca belirli sanal ağlardan ve IP adreslerinden erişilebilir hale getirmek için özel bir uç nokta oluşturun.
Seçili sanal ağdaki depolama hesabı için özel bir uç nokta ekleyin.
Sanal ağın içinden modelleri eğitebildiğinizi ve belgeleri çözümleyebileceğinizi doğrulayın.
Belge Yönetim Bilgileri için yönetilen kimliği ayarlama
Azure portalında Belge Yönetim Bilgileri kaynağına gidin ve Kimlik sekmesini seçin. Sistem tarafından atanan yönetilen kimliği Açık olarak değiştirin ve değişiklikleri kaydedin:
Trafiği sınırlamak için Depolama hesabının güvenliğini sağlama
Azure portalında Depolama hesabınızdaki Ağ sekmesine giderek güvenli iletişimleri yapılandırmaya başlayın.
Güvenlik duvarları ve sanal ağlar'ın altında, Genel ağ erişim listesinden Seçili sanal ağlar ve IP adresleri arasından Etkin'i seçin.
Özel Durumlar listesinden Güvenilen hizmetler listesindeki Azure hizmetlerinin bu depolama hesabına erişmesine izin ver seçeneğinin belirlendiğinden emin olun.
Değişikliklerinizi kaydedin.
Not
Depolama hesabınıza genel İnternet'ten erişilemez.
Studio'da özel model etiketleme sayfasının yenilenmesi hata iletisiyle sonuçlanır.
Belge Yönetim Bilgileri'nden depolamaya erişimi etkinleştirme
Belge Yönetim Bilgileri kaynağının eğitim veri kümesine erişebildiğinden emin olmak için yönetilen kimliğiniz için bir rol ataması eklemeniz gerekir.
Azure portalında depolama hesabı penceresinde kalarak sol gezinti çubuğundaki Erişim Denetimi (IAM) sekmesine gidin.
Rol ataması ekle düğmesini seçin.
Rol sekmesinde Depolama Blob Veri Okuyucusu iznini arayıp seçin ve İleri'yi seçin.
Üyeler sekmesinde Yönetilen kimlik seçeneğini belirleyin ve + Üyeleri seçin'i seçin
Yönetilen kimlikleri seçin iletişim penceresinde aşağıdaki seçenekleri belirleyin:
Abonelik. Aboneliğinizi seçin.
Yönetilen Kimlik. Form Tanıyıcı'ya tıklayın.
Öğesini seçin. Yönetilen kimlikle etkinleştirdiğiniz Belge Yönetim Bilgileri kaynağını seçin.
İletişim kutusunu kapatın .
Son olarak, değişikliklerinizi kaydetmek için Gözden geçir ve ata'yı seçin.
Harika! Belge Yönetim Bilgileri kaynağınızı bir depolama hesabına bağlanmak için yönetilen kimlik kullanacak şekilde yapılandırmışsınız.
İpucu
Document Intelligence Studio'yu denediğinizde READ API'sini ve önceden oluşturulmuş diğer modellerin belgeleri işlemek için depolama erişimi gerektirmediğini görürsünüz. Ancak, Studio bir depolama hesabıyla doğrudan iletişim kuramadığından özel modeli eğiterek ek yapılandırma gerekir. Makinenizi IP izin listesi aracılığıyla depolama hesabına erişecek şekilde yapılandırmak için depolama hesabının Ağ sekmesinden İstemci IP adresinizi ekle'yi seçerek depolama erişimini etkinleştirebilirsiniz.
Sanal ağlardan erişim için özel uç noktaları yapılandırma
Not
Kaynaklara yalnızca sanal ağdan erişilebilir.
Studio'daki otomatik etiket gibi bazı Belge Yönetim Bilgileri özellikleri, Document Intelligence Studio'nın depolama hesabınıza erişmesini gerektirir.
Studio IP adresimiz 20.3.165.95'i hem Belge Zekası hem de Depolama Hesabı kaynakları için güvenlik duvarı izin listesine ekleyin. Bu, Document Intelligence Studio'nun ayrılmış IP adresidir ve güvenli bir şekilde izin verilebiliyor.
Sanal ağdan kaynaklara bağlandığınızda, özel uç noktaların eklenmesi hem depolama hesabının hem de Belge Yönetim Bilgileri kaynağının sanal ağdan erişilebilir olmasını sağlar.
Ardından, yalnızca ağ üzerinden sanal ağ veya trafik yönlendiricisi içindeki kaynakların Belge Yönetim Bilgileri kaynağına ve depolama hesabına erişimi olduğundan emin olmak için sanal ağı yapılandırın.
Güvenlik duvarlarınızı ve sanal ağlarınızı etkinleştirme
Azure portalında Belge Zekası kaynağınıza gidin.
Sol gezinti çubuğundan Ağ sekmesini seçin.
Güvenlik duvarları ve sanal ağlar sekmesinden Seçili Ağ ve Özel Uç Noktalar seçeneğini etkinleştirin ve kaydet'i seçin.
Not
Document Intelligence Studio özelliklerinden herhangi birine erişmeyi denerseniz erişim reddedildi iletisini görürsünüz. Makinenizdeki Studio'dan erişimi etkinleştirmek için İstemci IP adresinizi ekleyin onay kutusunu ve Erişimi geri yüklemek için kaydet'i seçin.
Özel uç noktanızı yapılandırma
Özel uç nokta bağlantıları sekmesine gidin ve + Özel uç noktayı seçin. Özel uç nokta oluştur iletişim kutusuna gidersiniz.
Özel uç nokta oluştur iletişim kutusunda aşağıdaki seçenekleri belirleyin:
Abonelik. Faturalama aboneliğinizi seçin.
Kaynak grubu. Uygun kaynak grubunu seçin.
Adı. Özel uç noktanız için bir ad girin.
Bölge. Sanal ağınızla aynı bölgeyi seçin.
İleri: Kaynak'ı seçin.
Sanal ağınızı yapılandırma
Kaynak sekmesinde varsayılan değerleri kabul edin ve İleri: Sanal Ağ'ı seçin.
Sanal Ağ sekmesinde, oluşturduğunuz sanal ağı seçtiğinizden emin olun.
Birden çok alt ağınız varsa, özel uç noktanın bağlanmasını istediğiniz alt ağı seçin. Ip adresini dinamik olarak ayırma için varsayılan değeri kabul edin.
İleri: DNS'yi seçin
Özel DNS bölgesiyle tümleştirmek için varsayılan Evet değerini kabul edin.
Kalan varsayılanları kabul edin ve İleri: Etiketler'i seçin.
Sonraki: Gözden geçirme ve oluşturma’yı seçin.
Tebrikler! Belge Yönetim Bilgileri kaynağınıza artık yalnızca sanal ağdan ve IP izin verilenler listesindeki tüm IP adreslerinden erişilebilir.
Depolama için özel uç noktaları yapılandırma
Azure portalında depolama hesabınıza gidin.
Sol gezinti menüsünden Ağ sekmesini seçin.
Özel uç nokta bağlantıları sekmesini seçin.
Ekle + Özel uç nokta'yı seçin.
Bir ad girin ve sanal ağ ile aynı bölgeyi seçin.
İleri: Kaynak'ı seçin.
Kaynak sekmesinde Hedef alt kaynak listesinden blob'ı seçin.
İleri: Sanal Ağ'ı seçin.
Sanal ağı ve Alt Ağı seçin. Bu alt ağdaki tüm özel uç noktalar için ağ ilkelerini etkinleştir'in seçili olduğundan ve Dinamik olarak ayrılan IP adresinin etkinleştirildiğinden emin olun.
İleri: DNS'yi seçin.
Evet'in Özel DNS bölgesiyle tümleştirme için etkinleştirildiğinden emin olun.
İleri: Etiketler'i seçin.
Sonraki: Gözden geçirme ve oluşturma’yı seçin.
Tebrikler! Artık Belge Yönetim Bilgileri kaynağıyla depolama alanı arasındaki tüm bağlantılar yönetilen kimlikleri kullanacak şekilde yapılandırılmıştır.
Not
Kaynaklara yalnızca sanal ağdan ve izin verilen IP'lerden erişilebilir.
İstek sanal ağdan gelmediği veya sanal ağ üzerinden yönlendirilmediği sürece, Belge Yönetim Bilgileri kaynağınıza studio erişimi ve analiz istekleri başarısız olur.
Dağıtımınızı doğrulama
Dağıtımınızı doğrulamak için sanal ağa bir sanal makine (VM) dağıtabilir ve kaynaklara bağlanabilirsiniz.
Sanal ağda bir Veri Bilimi VM yapılandırın.
Document Intelligence Studio'ya erişmek üzere bir tarayıcı oturumu başlatmak için masaüstünüzden VM'ye uzaktan bağlanın.
İstekleri analiz edin ve eğitim işlemleri artık başarıyla çalışmalıdır.
İşte hepsi bu! Artık yönetilen kimlikler ve özel uç noktalar ile Belge Yönetim Bilgileri kaynağınız için güvenli erişim yapılandırabilirsiniz.
Genel hata iletileri
Blob kapsayıcısına erişemedi:
Çözüm:
CORS'yi yapılandırın.
İstemci bilgisayarın belge yönetim bilgileri kaynağına ve depolama hesabına erişebildiğinden emin olun; bunlar aynı sanal ağda yer alır veya hem Belge Yönetim Bilgileri kaynağının hem de depolama hesabının Ağ > Güvenlik Duvarları ve sanal ağlar ayar sayfasında istemci IP adresine izin verilir.
AuthorizationFailure:
Çözüm: İstemci bilgisayarın Belge Yönetim Bilgileri kaynağına ve depolama hesabına erişebildiğinden emin olun; bunlar aynı sanal ağda yer alır veya hem Belge Yönetim Bilgileri kaynağının hem de depolama hesabının Ağ > Güvenlik Duvarları ve sanal ağlar ayar sayfasında istemci IP adresine izin verilir.
ContentSourceNotAccessible:
Çözüm: Belge Yönetim Bilgileri yönetilen kimliğinize Depolama Blob Veri Okuyucusu rolünü ve ağ sekmesinde Güvenilen hizmetler erişimi veya Kaynak örneği kurallarını etkinleştirdiğinizden emin olun.
AccessDenied:
Çözüm: Document Intelligence Studio'ya erişen bilgisayar ile Belge Zekası hizmeti arasında bağlantı olup olmadığını denetleyin. Örneğin, istemci IP adresini Belge Yönetim Bilgileri hizmetinin ağ sekmesine eklemeniz gerekebilir.