Yönetilen kimlikler ve sanal ağlar ile güvenli erişimi yapılandırma

  • Makale

Bu içerik şunlar için geçerlidir:checkmark v4.0 (önizleme)checkmarkv3.1 (GA)checkmarkv3.0 (GA)checkmarkv2.1 (GA)

Bu nasıl yapılır kılavuzu, Belge Yönetim Bilgileri kaynağınız için güvenli bağlantıları etkinleştirme işleminde size yol gösterir. Aşağıdaki bağlantıların güvenliğini sağlayabilirsiniz:

  • bir Sanal Ağ (VNET) içindeki bir istemci uygulaması ile Belge Yönetim Bilgileri Kaynağınız arasındaki iletişim.

  • Document Intelligence Studio ile Belge Yönetim Bilgileri kaynağınız arasındaki iletişim.

  • Belge Yönetim Bilgileri kaynağınız ile depolama hesabı arasındaki iletişim (özel model eğitirken gereklidir).

Ortamınızı kaynakların güvenliğini sağlamak için ayarlıyorsunuz:

Screenshot of secure configuration with managed identity and virtual networks.

Önkoşullar

Başlamak için gerekli olanlar:

Kaynakları yapılandırma

Kaynakların birbiriyle iletişim kuradığından emin olmak için her bir kaynağı yapılandırın:

  • Document Intelligence Studio'yu ayarlar sayfasına erişip kaynağı seçerek yeni oluşturulan Belge Yönetim Bilgileri kaynağını kullanacak şekilde yapılandırın.

  • Okuma API'sini seçip örnek belgeyi analiz ederek yapılandırmanın çalıştığını doğrulayın. Kaynak doğru yapılandırıldıysa istek başarıyla tamamlanmıştır.

  • Oluşturduğunuz Depolama hesabındaki bir kapsayıcıya eğitim veri kümesi ekleyin.

  • Özel bir proje oluşturmak için özel model kutucuğunu seçin. Önceki adımda oluşturduğunuz belge yönetim bilgileri kaynağını ve depolama hesabını seçtiğinizden emin olun.

  • Önceki adımda karşıya yüklediğiniz eğitim veri kümesini içeren kapsayıcıyı seçin. Eğitim veri kümesi bir klasörün içindeyse klasör yolunun uygun şekilde ayarlandığından emin olun.

  • Gerekli izinlere sahipseniz, Studio depolama hesabına erişmek için gereken CORS ayarını ayarlar. İzinleriniz yoksa, devam etmeden önce CORS ayarlarının Depolama hesabında yapılandırıldığından emin olmanız gerekir.

  • Studio'yu eğitim verilerinize erişecek şekilde yapılandırıldığını doğrulayın. Belgelerinizi etiketleme deneyiminde görebiliyorsanız tüm gerekli bağlantılar kurulur.

Artık varsayılan güvenlik modeline sahip bir Belge Yönetim Bilgileri çözümü oluşturmak için gereken tüm bileşenlerin çalışan bir uygulamasına sahipsiniz:

Screenshot of default security configuration.

Ardından aşağıdaki adımları tamamlayın:

  • Belge Yönetim Bilgileri kaynağında yönetilen kimliği ayarlama.

  • Yalnızca belirli sanal ağlardan ve IP adreslerinden gelen trafiği kısıtlamak için depolama hesabının güvenliğini sağlayın.

  • Depolama hesabıyla iletişim kurmak için Belge Yönetim Bilgileri yönetilen kimliğini yapılandırın.

  • Belge Yönetim Bilgileri kaynağına genel erişimi devre dışı bırakın ve yalnızca belirli sanal ağlardan ve IP adreslerinden erişilebilir hale getirmek için özel bir uç nokta oluşturun.

  • Seçili sanal ağdaki depolama hesabı için özel bir uç nokta ekleyin.

  • Sanal ağın içinden modelleri eğitebildiğinizi ve belgeleri çözümleyebileceğinizi doğrulayın.

Belge Yönetim Bilgileri için yönetilen kimliği ayarlama

Azure portalında Belge Yönetim Bilgileri kaynağına gidin ve Kimlik sekmesini seçin. Sistem tarafından atanan yönetilen kimliği Açık olarak değiştirin ve değişiklikleri kaydedin:

Screenshot of configure managed identity.

Trafiği sınırlamak için Depolama hesabının güvenliğini sağlama

Azure portalında Depolama hesabınızdaki sekmesine giderek güvenli iletişimleri yapılandırmaya başlayın.

  1. Güvenlik duvarları ve sanal ağlar'ın altında, Genel ağ erişim listesinden Seçili sanal ağlar ve IP adresleri arasından Etkin'i seçin.

  2. Özel Durumlar listesinden Güvenilen hizmetler listesindeki Azure hizmetlerinin bu depolama hesabına erişmesine izin ver seçeneğinin belirlendiğinden emin olun.

  3. Değişikliklerinizi kaydedin.

Screenshot of configure storage firewall.

Not

Depolama hesabınıza genel İnternet'ten erişilemez.

Studio'da özel model etiketleme sayfasının yenilenmesi hata iletisiyle sonuçlanır.

Belge Yönetim Bilgileri'nden depolamaya erişimi etkinleştirme

Belge Yönetim Bilgileri kaynağının eğitim veri kümesine erişebildiğinden emin olmak için yönetilen kimliğiniz için bir rol ataması eklemeniz gerekir.

  1. Azure portalında depolama hesabı penceresinde kalarak sol gezinti çubuğundaki Erişim Denetimi (IAM) sekmesine gidin.

  2. Rol ataması ekle düğmesini seçin.

    Screenshot of add role assignment window.

  3. Rol sekmesinde Depolama Blob Veri Okuyucusu iznini arayıp seçin ve İleri'yi seçin.

    Screenshot of choose a role tab.

  4. Üyeler sekmesinde Yönetilen kimlik seçeneğini belirleyin ve + Üyeleri seçin'i seçin

  5. Yönetilen kimlikleri seçin iletişim penceresinde aşağıdaki seçenekleri belirleyin:

    • Abonelik. Aboneliğinizi seçin.

    • Yönetilen Kimlik. Form Tanıyıcı'ya tıklayın.

    • Öğesini seçin. Yönetilen kimlikle etkinleştirdiğiniz Belge Yönetim Bilgileri kaynağını seçin.

    Screenshot of managed identities dialog window.

  6. İletişim kutusunu kapatın .

  7. Son olarak, değişikliklerinizi kaydetmek için Gözden geçir ve ata'yı seçin.

Harika! Belge Yönetim Bilgileri kaynağınızı bir depolama hesabına bağlanmak için yönetilen kimlik kullanacak şekilde yapılandırmışsınız.

İpucu

Document Intelligence Studio'yu denediğinizde READ API'sini ve önceden oluşturulmuş diğer modellerin belgeleri işlemek için depolama erişimi gerektirmediğini görürsünüz. Ancak, Studio bir depolama hesabıyla doğrudan iletişim kuramadığından özel modeli eğiterek ek yapılandırma gerekir. Makinenizi IP izin listesi aracılığıyla depolama hesabına erişecek şekilde yapılandırmak için depolama hesabının Ağ sekmesinden İstemci IP adresinizi ekle'yi seçerek depolama erişimini etkinleştirebilirsiniz.

Sanal ağlardan erişim için özel uç noktaları yapılandırma

Not

  • Kaynaklara yalnızca sanal ağdan erişilebilir.

  • Studio'daki otomatik etiket gibi bazı Belge Yönetim Bilgileri özellikleri, Document Intelligence Studio'nın depolama hesabınıza erişmesini gerektirir.

  • Studio IP adresimiz 20.3.165.95'i hem Belge Zekası hem de Depolama Hesabı kaynakları için güvenlik duvarı izin listesine ekleyin. Bu, Document Intelligence Studio'nun ayrılmış IP adresidir ve güvenli bir şekilde izin verilebiliyor.

Sanal ağdan kaynaklara bağlandığınızda, özel uç noktaların eklenmesi hem depolama hesabının hem de Belge Yönetim Bilgileri kaynağının sanal ağdan erişilebilir olmasını sağlar.

Ardından, yalnızca ağ üzerinden sanal ağ veya trafik yönlendiricisi içindeki kaynakların Belge Yönetim Bilgileri kaynağına ve depolama hesabına erişimi olduğundan emin olmak için sanal ağı yapılandırın.

Güvenlik duvarlarınızı ve sanal ağlarınızı etkinleştirme

  1. Azure portalında Belge Zekası kaynağınıza gidin.

  2. Sol gezinti çubuğundan sekmesini seçin.

  3. Güvenlik duvarları ve sanal ağlar sekmesinden Seçili Ağ ve Özel Uç Noktalar seçeneğini etkinleştirin ve kaydet'i seçin.

Not

Document Intelligence Studio özelliklerinden herhangi birine erişmeyi denerseniz erişim reddedildi iletisini görürsünüz. Makinenizdeki Studio'dan erişimi etkinleştirmek için İstemci IP adresinizi ekleyin onay kutusunu ve Erişimi geri yüklemek için kaydet'i seçin.

Screenshot showing how to disable public access to Document Intelligence.

Özel uç noktanızı yapılandırma

  1. Özel uç nokta bağlantıları sekmesine gidin ve + Özel uç noktayı seçin. Özel uç nokta oluştur iletişim kutusuna gidersiniz.

  2. Özel uç nokta oluştur iletişim kutusunda aşağıdaki seçenekleri belirleyin:

    • Abonelik. Faturalama aboneliğinizi seçin.

    • Kaynak grubu. Uygun kaynak grubunu seçin.

    • Adı. Özel uç noktanız için bir ad girin.

    • Bölge. Sanal ağınızla aynı bölgeyi seçin.

    • İleri: Kaynak'ı seçin.

    Screenshot showing how to set-up a private endpoint

Sanal ağınızı yapılandırma

  1. Kaynak sekmesinde varsayılan değerleri kabul edin ve İleri: Sanal Ağ'ı seçin.

  2. Sanal Ağ sekmesinde, oluşturduğunuz sanal ağı seçtiğinizden emin olun.

  3. Birden çok alt ağınız varsa, özel uç noktanın bağlanmasını istediğiniz alt ağı seçin. Ip adresini dinamik olarak ayırma için varsayılan değeri kabul edin.

  4. İleri: DNS'yi seçin

  5. Özel DNS bölgesiyle tümleştirmek için varsayılan Evet değerini kabul edin.

    Screenshot showing how to configure private endpoint

  6. Kalan varsayılanları kabul edin ve İleri: Etiketler'i seçin.

  7. Sonraki: Gözden geçirme ve oluşturma’yı seçin.

Tebrikler! Belge Yönetim Bilgileri kaynağınıza artık yalnızca sanal ağdan ve IP izin verilenler listesindeki tüm IP adreslerinden erişilebilir.

Depolama için özel uç noktaları yapılandırma

Azure portalında depolama hesabınıza gidin.

  1. Sol gezinti menüsünden Ağ sekmesini seçin.

  2. Özel uç nokta bağlantıları sekmesini seçin.

  3. Ekle + Özel uç nokta'yı seçin.

  4. Bir ad girin ve sanal ağ ile aynı bölgeyi seçin.

  5. İleri: Kaynak'ı seçin.

    Screenshot showing how to create a private endpoint

  6. Kaynak sekmesinde Hedef alt kaynak listesinden blob'ı seçin.

  7. İleri: Sanal Ağ'ı seçin.

    Screenshot showing how to configure a private endpoint for a blob.

  8. Sanal ağı ve Alt Ağı seçin. Bu alt ağdaki tüm özel uç noktalar için ağ ilkelerini etkinleştir'in seçili olduğundan ve Dinamik olarak ayrılan IP adresinin etkinleştirildiğinden emin olun.

  9. İleri: DNS'yi seçin.

  10. Evet'in Özel DNS bölgesiyle tümleştirme için etkinleştirildiğinden emin olun.

  11. İleri: Etiketler'i seçin.

  12. Sonraki: Gözden geçirme ve oluşturma’yı seçin.

Tebrikler! Artık Belge Yönetim Bilgileri kaynağıyla depolama alanı arasındaki tüm bağlantılar yönetilen kimlikleri kullanacak şekilde yapılandırılmıştır.

Not

Kaynaklara yalnızca sanal ağdan ve izin verilen IP'lerden erişilebilir.

İstek sanal ağdan gelmediği veya sanal ağ üzerinden yönlendirilmediği sürece, Belge Yönetim Bilgileri kaynağınıza studio erişimi ve analiz istekleri başarısız olur.

Dağıtımınızı doğrulama

Dağıtımınızı doğrulamak için sanal ağa bir sanal makine (VM) dağıtabilir ve kaynaklara bağlanabilirsiniz.

  1. Sanal ağda bir Veri Bilimi VM yapılandırın.

  2. Document Intelligence Studio'ya erişmek üzere bir tarayıcı oturumu başlatmak için masaüstünüzden VM'ye uzaktan bağlanın.

  3. İstekleri analiz edin ve eğitim işlemleri artık başarıyla çalışmalıdır.

İşte hepsi bu! Artık yönetilen kimlikler ve özel uç noktalar ile Belge Yönetim Bilgileri kaynağınız için güvenli erişim yapılandırabilirsiniz.

Genel hata iletileri

  • Blob kapsayıcısına erişemedi:

    Screenshot of error message when CORS config is required

    Çözüm:

    1. CORS'yi yapılandırın.

    2. İstemci bilgisayarın belge yönetim bilgileri kaynağına ve depolama hesabına erişebildiğinden emin olun; bunlar aynı sanal ağda yer alır veya hem Belge Yönetim Bilgileri kaynağının hem de depolama hesabının Ağ > Güvenlik Duvarları ve sanal ağlar ayar sayfasında istemci IP adresine izin verilir.

  • AuthorizationFailure:

    Screenshot of authorization failure error.

    Çözüm: İstemci bilgisayarın Belge Yönetim Bilgileri kaynağına ve depolama hesabına erişebildiğinden emin olun; bunlar aynı sanal ağda yer alır veya hem Belge Yönetim Bilgileri kaynağının hem de depolama hesabının Ağ > Güvenlik Duvarları ve sanal ağlar ayar sayfasında istemci IP adresine izin verilir.

  • ContentSourceNotAccessible:

    Screenshot of content source not accessible error.

    Çözüm: Belge Yönetim Bilgileri yönetilen kimliğinize Depolama Blob Veri Okuyucusu rolünü ve ağ sekmesinde Güvenilen hizmetler erişimi veya Kaynak örneği kurallarını etkinleştirdiğinizden emin olun.

  • AccessDenied:

    Screenshot of an access denied error.

    Çözüm: Document Intelligence Studio'ya erişen bilgisayar ile Belge Zekası hizmeti arasında bağlantı olup olmadığını denetleyin. Örneğin, istemci IP adresini Belge Yönetim Bilgileri hizmetinin ağ sekmesine eklemeniz gerekebilir.

Sonraki adımlar

Yönetilen kimlikleri kullanarak web uygulamasından Azure Depolama erişme