Roller kullanarak Azure Yapay Zeka Arama'e bağlan

Azure Yapay Zeka Arama Microsoft Entra ID aracılığıyla role tabanlı erişim denetimini destekler. Rol tabanlı erişim isteğe bağlıdır ancak önerilir. Alternatif olarak , varsayılan olan anahtar tabanlı kimlik doğrulaması kullanılır.

Bir güvenlik sorumlusuna birden çok rol atarsanız, izinler birleştirilir. Rol atamaları tüm araçlara ve istemci kitaplıklarına uygulanır. Desteklenen herhangi bir yaklaşımı kullanarak rol atayabilirsiniz.

Bu makalede, hizmet yönetimi, geliştirme ve salt okunur sorgu ve alma erişimi için yerleşik rollerin nasıl atanduğu açıklanmaktadır. Ayrıca özel roller oluşturma ve rol atamalarını test etme adımlarını da sağlar.

Tavsiye

• Yerleşik rollere hızlı bir genel bakış mı istiyorsunuz? Bkz. İzinlerin özeti.
• Arama sonuçlarına erişimi belge düzeyinde, diğer bir deyişle satır düzeyi güvenlik olarak denetlemek için bkz. Azure Yapay Zeka Arama'te Belge düzeyinde erişim denetimi.

Önkoşullar

• role tabanlı erişimin etkinleştirildiği Azure Yapay Zeka Arama hizmeti (herhangi bir bölge ve herhangi bir katman).

• Azure rolleri atama izni. Aşağıdaki rollerden herhangi biri çalışır:

  • Sahibi
  • Kullanıcı Erişimi Yöneticisi
  • Rol Temelli Yetki Yönetimi Yöneticisi
  • Microsoft.Authorization/roleAssignments/write izinlerine sahip özel bir rol

Yerleşik roller

Roller, denetim düzlemini veya veri düzlemini etkileyen izinlerden oluşan bir koleksiyonlardır:

• Kontrol düzlemi: Hizmet sağlama, yapılandırma ve yönetim işlemleri. Denetim düzlemi işlemleri arasında arama hizmetleri oluşturma veya silme, API anahtarlarını listeleme ve ağ ve kimlik doğrulama ayarlarını yönetme sayılabilir. Azure Resource Manager REST API'leri, Search Management REST API'leri ve eşdeğer Azure SDK istemci kitaplıkları aracılığıyla kullanılabilir.

• Veri düzlemi: Arama hizmeti uç noktasına yönelik işlemler. Veri düzlemi işlemleri iki kategoriye ayrılır: nesne yönetimi ve içerik erişimi. Search Service REST API'leri ve eşdeğer Azure SDK istemci kitaplıkları aracılığıyla kullanılabilir.

Rol açıklamaları

Aşağıdaki yerleşik roller Azure Yapay Zeka Arama'e yetkiler verir. Denetim düzlemi rolleri her zaman kullanılabilirken, veri düzlemi rolleri arama hizmetinizde rol tabanlı erişimin etkinleştirilmesini gerektirir. Daha geniş erişim için yerleşik rolleri birleştirebilir veya ihtiyacınız olan belirli izinlerle özel bir rol oluşturabilirsiniz .

Rol	Uçak	Açıklama
Sahip	Yönetim	Rol atama ve kimlik doğrulama ayarlarını değiştirme de dahil olmak üzere tam denetim düzlemi erişimi. Abonelik yöneticileri bu role varsayılan olarak sahiptir. API anahtarlarını yönetebilir. Arama nesneleri oluşturulamıyor, belge yüklenemiyor, dizinleri sorgulamıyor veya bilgi bankalarından alınamıyor.
Katkıda Bulunan	Yönetim	Sahip ile eşit düzeyde denetim düzlemi erişimi, ancak rol atama yetkisi olmadan.
Okuyucu	Yönetim	Salt-okunur kontrol düzlemi erişimi. Hizmet ölçümlerini ve nesne tanımlarını görüntüleyebilir. API anahtarlarını görüntüleyemez veya yönetemez, belgeleri yükleyemez, dizinleri sorgulayamaz veya bilgi bankalarından alamazsınız.
Arama Hizmeti Katkıda Bulunanı	Denetim ve Veriler	Tam kontrol düzlemi erişimi. Veri düzlemi erişimi nesne yönetimiyle sınırlıdır. Dizinler, dizin oluşturucular, beceri kümeleri, bilgi bankaları ve diğer arama nesneleri oluşturabilir. Belgeler yüklenemiyor, sorgu dizinleri alınamıyor veya bilgi bankalarından alınamıyor. Tam izin listesi için bkz. Microsoft.Search/searchServices/*.
Arama Dizini Veri Katılımcısı	Veri	Okuma-yazma içerik erişimi. Belgeleri yükleyebilir, dizinleri sorgulayabilir ve bilgi bankalarından alabilir. Nesne tanımları değiştirilemez veya yönetici anahtarları alınamaz.
Arama Dizini Veri Okuyucusu	Veri	Sadece okunabilir içerik erişimi. Dizinleri sorgulayabilir ve bilgi bankalarından alabilir. Belgeler yüklenemez, nesne tanımları değiştirilemez veya yönetici anahtarları alınamaz.

Önemli

• Sahip, Katkı Sağlayan ve Arama Hizmeti Katkı Sağlayıcısı, veri düzlemine tam okuma-yazma erişimi sağlayan yönetici anahtarlarını alabilir. Bu rolleri yalnızca güvenilen kullanıcılara verin.
• Varsayılan olarak, veri düzlemi rolleri arama hizmetindeki tüm dizinlere uygulanır. Arama Dizini Veri Katkıda Bulunanı veya Arama Dizini Veri Okuyucusu'na tek bir dizine kapsam eklemek için bkz. Tek bir dizine erişim verme.

İzinlerin özeti

İhtiyacınız olan izinleri hangi rolün sağladığını hızla bulmak için aşağıdaki tabloyu kullanın.

İzinler	Sahip/Katkıda Bulunan	Okuyucu	Arama Hizmeti Katılımcısı	Arama Dizini Veri Katılımcısı	Arama Dizini Veri Okuyucusu
Azure Yapay Zeka Arama hizmetleri oluşturma ve yapılandırma	✅	❌	✅	❌	❌
Azure portalında erişim hizmeti	✅	✅	✅	❌	❌
Hizmet özelliklerini, ölçümlerini ve uç noktasını görüntüleme	✅	✅	✅	❌	❌
Hizmet üzerindeki tüm nesneleri listeleme	✅	✅	✅	❌	❌
Erişim kotaları ve hizmet istatistikleri	✅	❌	✅	❌	❌
Anahtarları görüntüleme, kopyalama ve yeniden oluşturma	✅	❌	✅	❌	❌
Kimlik doğrulama seçeneklerini ayarlama	✅	❌	✅	❌	❌
Rolleri, ilkeleri ve tanımları görüntüleme	✅	✅	✅	❌	❌
Ağ güvenliğini ve özel bağlantıları yapılandırma	✅	❌	✅	❌	❌
Arama nesneleri oluşturma, çalıştırma ve yönetme 1	❌	❌	✅	❌	❌
Dizin oluşturma için verileri yükle 2	❌	❌	❌	✅	❌
Dizin sorgulama	❌	❌	❌	✅	✅
Bilgi bankasından alma	❌	❌	❌	✅	✅
Yükseltilmiş okuma ile izin filtrelerini atlama	❌	❌	❌	✅	❌

¹ Dizinleri, dizin oluşturucuları, veri kaynaklarını, beceri kümelerini, diğer adları, eş anlamlı eşlemeleri, hata ayıklama oturumlarını, bilgi bankalarını ve bilgi kaynaklarını içerir. Dizin oluşturucular çalıştırma ve sıfırlama işlemlerini de destekler.

² Sahip veya Katkıda Bulunan, diğer istemcilere belge yükleyemese de dizinler oluşturmak ve yüklemek için Verileri içeri aktarma sihirbazını çalıştırabilir. Benzer şekilde, dizin oluşturucular dizin başına rol atamalarından bağımsız olarak arama hizmetindeki herhangi bir dizine yazabilir. Her iki durumda da arama hizmeti (kullanıcı değil) Microsoft.Search/searchServices/indexes/documents/* izinlerini kullanarak veri düzlemi eylemlerini gerçekleştirir.

Yerleşik roller atayın

Bu bölümde, rolleri aşağıdakiler için atarsınız:

• Hizmet yönetimi
• Gelişme
• Salt okunur erişim

Hizmet yönetimi için rol atama

Aşağıdaki roller bir arama hizmeti oluşturmanıza, yapılandırmanıza ve yönetmenize olanak tanır. Bu roller hiyerarşiktir, bu nedenle ihtiyacınız olan erişim düzeyine göre birini seçin.

Rol	Kimlik
Sahip	8e3af657-a8ff-443c-a75c-2fe8c4bcb635
Katkıda Bulunan	b24988ac-6180-42a0-ab88-20f7382dd24c
Okuyucu	acdd72a7-3385-48ef-bd42-f606fba81ae7

Azure portal

1. Azure portalında arama hizmetinize gidin.

2. Sol bölmeden Erişim denetimi (IAM) öğesini seçin.

3. + Ekle>Rol ataması ekle’yi seçin.

   

4. Bir rol seçin: Sahip, Katkıda Bulunan veya Okuyucu.

5. Members sekmesinde Microsoft Entra kullanıcı veya grup kimliğini seçin. Başka bir Azure hizmeti için izinleri ayarıyorsanız sistem tarafından atanan veya kullanıcı tarafından atanan yönetilen kimliği seçin.

6. Gözden geçirme + atama sekmesinde Gözden geçir + ata’yı seçerek rolü atayın.

PowerShell

PowerShell kullanarak rolleri atadığınızda, Azure kullanıcı veya grup adını ve atamanın kapsamını sağlayarak New-AzRoleAssignment çağrısı yapın.

Bu örnek, arama hizmeti kapsamında bir rol ataması oluşturur:

New-AzRoleAssignment -SignInName <email> `
    -RoleDefinitionName "Reader" `
    -Scope  "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Search/searchServices/<search-service>"

Referans:New-AzRoleAssignment

Geliştirme için rol atama

Aşağıdaki roller arama nesneleri oluşturmanıza, belgeleri yüklemenize, dizinleri sorgulamanıza ve bilgi bankalarından almanıza olanak tanır. Geliştirme görevlerinin tamamını kapsayacak şekilde üç rolü de atayın.

Rol	Kimlik
Arama Hizmeti Katkıda Bulunanı	7ca78c08-252a-4471-8644-bb5ff32d4ba0
Arama Dizini Veri Katılımcısı	8ebe5a00-799e-43f5-93ac-243d3dce84a7
Arama Dizini Veri Okuyucusu	1407120a-92aa-4202-b7e9-c0e197c71c8f

Azure portal

1. Azure portalında arama hizmetinize gidin.

2. Sol bölmeden Erişim denetimi (IAM) öğesini seçin.

3. + Ekle>Rol ataması ekle’yi seçin.

   

4. Arama Hizmeti Katkıda Bulunan seçin.

5. Members sekmesinde Microsoft Entra kullanıcı veya grup kimliğini seçin. Başka bir Azure hizmeti için izinleri ayarıyorsanız sistem tarafından atanan veya kullanıcı tarafından atanan yönetilen kimliği seçin.

6. Gözden geçirme + atama sekmesinde Gözden geçir + ata’yı seçerek rolü atayın.

7. Arama Dizini Veri Katkıda Bulunanı ve Arama Dizini Veri Okuyucusu atamak için bu adımları yineleyin.

PowerShell

PowerShell kullanarak rolleri e atadığınızda, Azure kullanıcı veya grup adını ve atamanın kapsamını sağlayarak çağrısı yapın.

Bu örnek, arama hizmeti kapsamında bir rol ataması oluşturur:

New-AzRoleAssignment -SignInName <email> `
    -RoleDefinitionName "Search Index Data Contributor" `
    -Scope  "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Search/searchServices/<search-service>"

Bu örnek, kapsamı belirli bir dizine göre belirlenmiş bir rol ataması oluşturur:

New-AzRoleAssignment -SignInName <email> `
    -RoleDefinitionName "Search Index Data Contributor" `
    -Scope  "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Search/searchServices/<search-service>/indexes/<index-name>"

Referans:New-AzRoleAssignment

Salt okunur erişim için rol atama

Dizinlere ve bilgi bankalarına yalnızca okuma erişimi gerektiren uygulamalar ve işlemler için aşağıdaki rolü kullanın. Desteklenen işlemler arasında arama, arama, otomatik tamamlama ve dizinler için öneriler ve bilgi bankaları için alma yer alır.

Rol	Kimlik
Arama Dizini Veri Okuyucusu	1407120a-92aa-4202-b7e9-c0e197c71c8f

Azure portal

1. Azure portalında arama hizmetinize gidin.

2. Sol bölmeden Erişim denetimi (IAM) öğesini seçin.

3. + Ekle>Rol ataması ekle’yi seçin.

   

4. Arama Dizini Veri Okuyucusu rolünü seçin.

5. Members sekmesinde Microsoft Entra kullanıcı veya grup kimliğini seçin. Başka bir Azure hizmeti için izinleri ayarıyorsanız sistem tarafından atanan veya kullanıcı tarafından atanan yönetilen kimliği seçin.

6. Gözden geçirme + atama sekmesinde Gözden geçir + ata’yı seçerek rolü atayın.

PowerShell

PowerShell kullanarak roller atadığınızda, Azure kullanıcı veya grup adını ve atamanın kapsamını sağlayarak `New-AzRoleAssignment` çağrısı yapın.

1. Abonelik kimliğinizi, arama hizmeti kaynak grubunuzu ve arama hizmeti adınızı alın.

2. Azure hizmetinizin Azure OpenAI gibi nesne tanımlayıcısını alın.

    Get-AzADServicePrincipal -SearchString <your-azure-openai-resource-name>
   

   Çıktı, rol ataması için ihtiyacınız olan nesne kimliğini içeren bir Id özellik içerir.

3. Rol tanımını alın ve istediğiniz rolün bu olduğundan emin olmak için izinleri gözden geçirin.

   Get-AzRoleDefinition -Name "Search Index Data Reader"
   

4. Yer tutucular için geçerli değerleri değiştirerek rol atamasını oluşturun.

   New-AzRoleAssignment -ObjectId <your-azure-openai-object-id> -RoleDefinitionName "Search Index Data Reader" -Scope /subscriptions/<your-subscription-id>/resourcegroups/<your-resource-group>/providers/Microsoft.Search/searchServices/<your-search-service-name>
   

   Başarılı bir rol ataması, RoleAssignmentId dahil olmak üzere rol ataması ayrıntılarını döndürür.

5. Aşağıda, kapsamı belirli bir dizine göre belirlenmiş bir rol ataması örneği verilmişti:

   New-AzRoleAssignment -ObjectId <your-azure-openai-object-id> `
       -RoleDefinitionName "Search Index Data Reader" `
       -Scope /subscriptions/<your-subscription-id>/resourcegroups/<your-resource-group>/providers/Microsoft.Search/searchServices/<your-search-service-name>/indexes/<your-index-name>
   

   Referans:New-AzRoleAssignment

Rol atamalarını test et

Rol atamalarını test etmek için bir istemci kullanın. Rollerin kümülatif olduğunu unutmayın. Kaynak (arama hizmeti) düzeyinde abonelik veya kaynak grubu düzeyinde kapsamı belirlenmiş devralınan rolleri silemez veya reddedemezsiniz.

Devam etmeden önce uygulamanızı anahtarsız bağlantılar için yapılandırın ve rol atamaları oluşturun.

Azure portal

1. Azure portalında arama hizmetinize gidin.

2. Dizinle ilgili izinleri test etmek için sol bölmeden Arama yönetimi>Dizinleri'ni seçin:

   • Arama Hizmeti Katkıda Bulunanlar, arama nesneleri oluşturabilir, değiştirebilir ve silebilir, ancak belge yükleyemezler veya sorgu çalıştıramazlar. İzinleri doğrulamak için bir arama dizini oluşturun.

   • Arama Dizini Veri Katkısında Bulunanlar belgeleri yükleyebilir. Azure portalında Veri içeri aktarma sihirbazı dışında hiçbir belge yükleme seçeneği yoktur, ancak belge yükleme izinlerini onaylamak için bir dizin oluşturucuyu sıfırlayıp çalıştırarak yapabilirsiniz.

   • Arama Dizini Veri Okuyucuları dizinleri sorgulayabilir. İzinleri doğrulamak için Arama gezgini'ni kullanın. Sorgu gönderebilmeniz ve sonuçları görüntüleyebilmeniz gerekir, ancak dizin tanımlarını görüntüleyemiyor veya dizin oluşturamıyor olmanız gerekir.

REST API

Bu yaklaşımda REST İstemci uzantısı ile Visual Studio Code varsayılır.

1. Azure CLI için bir komut kabuğu açın ve Azure aboneliğinizde oturum açın.

   az login
   

2. Kiracı kimliğinizi ve abonelik kimliğinizi alın. Kimliği gelecekteki bir adımda değişken olarak kullanın.

   az account show
   

3. Azure Yapay Zeka Arama veri düzlemi için bir erişim belirteci alın.

   az account get-access-token --scope https://search.azure.com/.default --query accessToken --output tsv
   

4. Bu değişkenleri Visual Studio Code'da yeni bir metin dosyasına yapıştırın.

   @baseUrl = PASTE-YOUR-SEARCH-SERVICE-URL-HERE
   @index-name = PASTE-YOUR-INDEX-NAME-HERE
   @token = PASTE-YOUR-TOKEN-HERE
   

5. Belirttiğiniz değişkenleri kullanan bir istek gönderin. Arama Dizini Veri Okuyucusu rolü için desteklenen herhangi bir API sürümünü kullanarak sorgu gönderebilirsiniz.

   POST https://{{baseUrl}}/indexes/{{index-name}}/docs/search?api-version=2025-09-01 HTTP/1.1
     Content-type: application/json
     Authorization: Bearer {{token}}
   
       {
            "queryType": "simple",
            "search": "motel",
            "filter": "",
            "select": "HotelName,Description,Category,Tags",
            "count": true
        }
   

   Başvuru:Belgelerde Ara

   Başarılı bir sorgu, eşleşen belgelere sahip arama sonuçlarını döndürür. Dizin boşsa veya eşleşmesi yoksa boş value bir dizi içerir.

   Tavsiye

   Belirli bir ortam için belirteç alma hakkında daha fazla bilgi için bkz. REST API'leri ile Azure Yapay Zeka Arama hizmeti yönetme ve Microsoft kimlik platformu kimlik doğrulama kitaplıkları.

.NET

1. Gerekli paketleri yükleyin:

   dotnet add package Azure.Search.Documents
   dotnet add package Azure.Identity
   

2. Azure.Identity for .NET ile belirteç kimlik doğrulaması yapın. Microsoft çoğu senaryo için DefaultAzureCredential() önerir.

3. İşte DefaultAzureCredential() kullanılarak yapılan bir istemci bağlantısı örneği:

   // Create a SearchIndexClient to send create/delete index commands
   // Requires Search Service Contributor role
   SearchIndexClient adminClient = new SearchIndexClient(serviceEndpoint, new DefaultAzureCredential());
   
   // Create a SearchClient to load and query documents
   // Requires Search Index Data Contributor (load) or Search Index Data Reader (query)
   SearchClient srchclient = new SearchClient(serviceEndpoint, indexName, new DefaultAzureCredential());
   

   Reference:SearchClient, SearchIndexClient, DefaultAzureCredential

4. Burada, istemci gizli kimlik bilgilerini kullanmanın bir başka örneği:

   var tokenCredential =  new ClientSecretCredential(aadTenantId, aadClientId, aadSecret);
   SearchClient srchclient = new SearchClient(serviceEndpoint, indexName, tokenCredential);
   

5. Aşağıda bir sorgu çalıştırma örneği verilmişti:

   SearchResults<SearchDocument> response = srchclient.Search<SearchDocument>("motel");
   foreach (SearchResult<SearchDocument> result in response.GetResults())
   {
       Console.WriteLine(result.Document["HotelName"]);
   }
   

   Başarılı bir sorgu arama sonuçlarını döndürür. Eşleşen belge yoksa sonuç koleksiyonu boştur.

Python

1. Gerekli paketleri yükleyin:

   pip install azure-search-documents azure-identity
   

2. Azure.Identity for Python kullanarak belirteç kimlik doğrulaması yapın.

3. Python istemcisi sunucu tarafı yürüten bir uygulamaysa DefaultAzureCredential kullanın. Uygulama bir tarayıcıda çalışıyorsa etkileşimli kimlik doğrulamasını etkinleştirin.

4. Bir örnek aşağıda verilmiştir:

   from azure.search.documents import SearchClient
   from azure.identity import DefaultAzureCredential
   
   credential = DefaultAzureCredential()
   endpoint = "https://<mysearch>.search.windows.net"
   index_name = "myindex"
   client = SearchClient(endpoint=endpoint, index_name=index_name, credential=credential)
   

   Reference:SearchClient, DefaultAzureCredential

JavaScript

1. Gerekli paketleri yükleyin:

   npm install @azure/search-documents @azure/identity
   

2. Azure.Identity for JavaScript ile belirteç kimlik doğrulaması yapın.

3. React kullanıyorsanız Azure Yapay Zeka Arama için Microsoft Entra kimlik doğrulaması için InteractiveBrowserCredential kullanın. Daha fazla bilgi için bkz . Ne zaman kullanılır @azure/identity?

   Reference:SearchClient, DefaultAzureCredential

Java

1. Gerekli bağımlılıkları pom.xml öğesine ekleyin.

   <dependency>
     <groupId>com.azure</groupId>
     <artifactId>azure-search-documents</artifactId>
     <version>11.7.4</version>
   </dependency>
   <dependency>
     <groupId>com.azure</groupId>
     <artifactId>azure-identity</artifactId>
     <version>1.15.0</version>
   </dependency>
   

2. Azure.Identity Java için belirteç kimlik doğrulamasını kullanın.

3. Azure üzerinde çalışan uygulamalar için DefaultAzureCredential kullanın.

Tek bir dizine erişim izni verme

Bazı senaryolarda, bir uygulamanın dizin gibi tek bir kaynağa erişimini sınırlamak isteyebilirsiniz.

Azure portalı şu anda bu ayrıntı düzeyinde rol atamalarını desteklememektedir, ancak PowerShell veya Azure CLI kullanarak rol atayabilirsiniz.

PowerShell'de New-AzRoleAssignment kullanarak Azure kullanıcı veya grup adını ve atamanın kapsamını sağlayın.

1. Azure ve AzureAD modüllerini yükleyin ve Azure hesabınıza bağlanın:

   Import-Module -Name Az
   Import-Module -Name AzureAD
   Connect-AzAccount
   

2. Kapsamı tek bir dizine belirlenmiş bir rol ataması ekleyin:

   New-AzRoleAssignment -ObjectId <objectId> `
       -RoleDefinitionName "Search Index Data Contributor" `
       -Scope  "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Search/searchServices/<search-service>/indexes/<index-name>"
   

   Referans:New-AzRoleAssignment

Dizin başına kapsam ve dizin oluşturucu işlemleri

Dizin başına rol atamaları, kullanıcılardan veya uygulamalardan gelen sorgular veya belge yüklemeleri gibi yalnızca doğrudan API işlemleri için geçerlidir. Dizin oluşturucular hizmet düzeyi kimlik bilgileriyle çalıştığından dizin başına izinlerle kısıtlanmamıştır.

Arama Hizmeti Katkıda Bulunanı rolüne sahip bir kullanıcı, arama hizmetindeki herhangi bir dizine, hatta bu kullanıcının dizin başına rol atamasının olmadığı dizinlere yazan dizin oluşturucular oluşturabilir.

Dizinler arasında katı veri yalıtımı için şu yaklaşımları göz önünde bulundurun:

• Dizin düzeyinde yalıtım gerektiren ekipler veya kullanıcılar için ayrı arama hizmetleri kullanın.
• Arama Hizmeti Katkı Sağlayıcısı yalnızca dizin oluşturucuları yöneten yöneticilere atanın.
• Paylaşılan dizindeki sorgu sonuçlarını kısıtlamak için güvenlik filtreleri ile belge düzeyi erişim denetimini kullanın.

Özel rol oluşturma

Yerleşik roller doğru izin birleşimini sağlamıyorsa, ihtiyacınız olan işlemleri desteklemek için özel bir rol oluşturabilirsiniz.

Aşağıdaki örnekler Arama Dizini Veri Okuyucusu'na kopyalayıp dizinleri ada göre listeleme olanağını ekler. Normalde, bir arama hizmetindeki dizinlerin listelenmesi yönetim hakkı olarak kabul edilir.

Azure portal

1. Azure portalında oturum açın ve arama hizmetinize gidin.

2. Sol bölmeden Erişim denetimi (IAM) öğesini seçin.

3. Roller sekmesinde Arama Dizini Veri Okuyucusu'nı veya başka bir rolü bulun, üç noktayı (...) ve ardından Kopyala'yı seçin.

4. Basics sekmesinde, özel rol için "Arama Dizini Veri Gezgini" gibi bir ad girin ve İleri seçin.

5. İzinler sekmesinde İzin ekle'yi seçin.

6. İzinleri ekle bölmesinde Microsoft Arama kutucuğunu seçin.

7. Üst kısımda Eylemler seçili durumdayken aşağıdaki izinleri ayarlayın:

   • Microsoft.Search/operations altında Read: Tüm kullanılabilir işlemleri listele'i seçin.
   • Microsoft.Search/searchServices/indexes altında Read : Read Index öğesini seçin.

8. Üstteki Data Actions bölümüne geçin ve Microsoft.Search/searchServices/indexes/documents altında Read : Belgeleri Oku'yi seçin.

   JSON tanımı aşağıdaki örneğe benzer:

   {
    "properties": {
        "roleName": "search index data explorer",
        "description": "",
        "assignableScopes": [
            "/subscriptions/0000000000000000000000000000000/resourceGroups/free-search-svc/providers/Microsoft.Search/searchServices/demo-search-svc"
        ],
        "permissions": [
            {
                "actions": [
                    "Microsoft.Search/operations/read",
                    "Microsoft.Search/searchServices/indexes/read"
                ],
                "notActions": [],
                "dataActions": [
                    "Microsoft.Search/searchServices/indexes/documents/read"
                ],
                "notDataActions": []
            }
        ]
      }
    }
   

9. Ekle'yi seçerek bölmeyi kapatın.

10. Rolü oluşturmak için Gözden geçir + oluştur'u seçin.

    Artık role kullanıcı ve grup atayabilirsiniz. Bu adımlar hakkında daha fazla bilgi için bkz. Azure portalını kullanarak Azure özel rolleri oluşturma veya güncelleştirme.

Azure PowerShell

PowerShell örneği, Arama Dizini Veri Okuyucusu'nun bir kopyası olan özel bir rol oluşturmaya yönelik JSON söz dizimini gösterir, ancak tüm dizinleri ada göre listeleyebilme özelliğine sahiptir.

1. Hangilerine ihtiyacınız olduğunu belirlemek için atomik izinler listesini gözden geçirin. Bu örnek için aşağıdaki izinlere ihtiyacınız vardır:

   "Microsoft.Search/operations/read",
   "Microsoft.Search/searchServices/read",
   "Microsoft.Search/searchServices/indexes/read"
   

2. Özel rolü oluşturmak için bir PowerShell oturumu ayarlayın. Ayrıntılı yönergeler için bkz. Azure PowerShell.

3. Rol tanımını JSON belgesi olarak sağlayın. Aşağıdaki örnek, PowerShell ile özel rol oluşturmaya yönelik söz dizimini gösterir.

   {
     "Name": "Search Index Data Explorer",
     "Id": "88888888-8888-8888-8888-888888888888",
     "IsCustom": true,
     "Description": "List all indexes on the service and query them.",
     "Actions": [
         "Microsoft.Search/operations/read",
         "Microsoft.Search/searchServices/read"
     ],
     "NotActions": [],
     "DataActions": [
         "Microsoft.Search/searchServices/indexes/read"
     ],
     "NotDataActions": [],
     "AssignableScopes": [
       "/subscriptions/{subscriptionId1}"
     ]
   }
   

   Not

   Kapsamı dizin düzeyinde atarsanız "Microsoft.Search/searchServices/indexes/documents/read" veri eylemini kullanın.

REST API

1. Hangilerine ihtiyacınız olduğunu belirlemek için atomik izinler listesini gözden geçirin.

2. Adımlar için bkz. AZURE REST API kullanarak özel roller oluşturma veya güncelleştirme.

3. Rol kopyalayın veya oluşturun ya da özel rolü belirtmek için JSON kullanın (JSON söz dizimi için PowerShell sekmesine bakın).

Azure CLI

1. Hangilerine ihtiyacınız olduğunu belirlemek için atomik izinler listesini gözden geçirin.

2. Adımlar için bkz. Azure CLI kullanarak özel roller Azure oluşturma veya güncelleştirme.

3. JSON söz dizimi için PowerShell sekmesine bakın.

Koşullu Erişim ilkesi oluşturma

Çok faktörlü kimlik doğrulaması gibi kuruluş ilkelerini zorunlu kılmanız gerekiyorsa Microsoft Entra Koşullu Erişim kullanın.

Azure Yapay Zeka Arama için Koşullu Erişim ilkesi oluşturmak için:

1. Azure portalında oturum açın.

2. Microsoft Entra Koşullu Erişim için arama yapın.

3. Genel Bakış sayfasında Yeni ilke oluştur'u seçin.

4. Cloud uygulamaları veya eylemleri altında, ilkenizi nasıl ayarlamak istediğinize bağlı olarak bulut uygulaması olarak Azure Yapay Zeka Arama ekleyin.

5. İlkenizin kalan parametrelerini güncelleştirin. Örneğin, ilkenin uygulanacağı kullanıcıları ve grupları belirtin.

6. Politikayı kaydedin.

Önemli

Arama hizmetinize atanmış bir yönetilen kimlik varsa, belirli bir arama hizmeti bir bulut uygulaması olarak görünür. Ancak, belirli bir arama hizmetinin seçilmesi ilkenin uygulanmasını sağlamaz. Bunun yerine, arama hizmetinize Koşullu Erişim ilkeleri uygulamak için genel Azure Yapay Zeka Arama bulut uygulamasını seçin.

Sorun giderme

Kimlik doğrulaması için rol tabanlı erişim denetimi kullanan uygulamalar geliştirirken bazı yaygın sorunlarla karşılaşabilirsiniz:

• Arama hizmeti için varsayılan yapılandırma anahtar tabanlı kimlik doğrulamasıdır. Bu ayarı Hem hem deRol tabanlı erişim denetimi olarak değiştirmezseniz, temel alınan izinlere bakılmaksızın rol tabanlı kimlik doğrulaması kullanan tüm istekler otomatik olarak reddedilir.

• İsteğiniz rol tabanlı kimlik bilgilerinin yanı sıra bir API anahtarı içeriyorsa, hizmet anahtarı kullanarak kimlik doğrulaması yapar. Rol tabanlı kimlik doğrulamasını kullanmak için istek üst bilgilerinizden API anahtarını kaldırın.

• Yetkilendirme belirteci yönetilen bir kimlikten geliyorsa ve yakın zamanda uygun izinleri atadıysanız, izin atamalarının etkili olması birkaç saat sürebilir .

• Belge düzeyi izinlerine sahip sorgular beklenen sonuçları döndürmezse, Arama Dizini Veri Katkıda Bulunanı'nı kullanın veya araştırmak için yükseltilmiş izinlere sahip özel bir rol oluşturun.

Sonraki adım

Bu makalede, Azure Yapay Zeka Arama üzerinde denetim ve veri düzlemi işlemleri için rollerin nasıl atanacakları açıklanmaktadır. Uygulama kodunuz için rol tabanlı erişim eklemeye yönelik kapsamlı yönergeler için:

Uygulamanızı kimlikleri kullanarak Azure Yapay Zeka Arama bağlayın