設定文件智慧服務的受控識別
此內容適用於:
v4.0 (預覽)v3.1 (GA)v3.0 (GA)v2.1 (GA)
Azure 資源的受控識別是建立 Microsoft Entra 身分識別的服務主體,以及 Azure 受控資源的特定許可權:
受控識別會將支援 Microsoft Entra 驗證的任何資源存取權授與存取權,包括您自己的應用程式。 不同於安全性金鑰和驗證權杖,受控識別不需要開發人員管理認證。
您可以使用 Azure 角色型存取控制 (Azure RBAC) 將 Azure 角色的存取權授與 Azure 資源,並將 Azure 角色指派給受控識別。 在 Azure 中使用受控識別不會產生額外的成本。
重要
受控識別不需要您管理認證,包括共用存取簽章 (SAS) 權杖。
受控識別是一種更安全授與資料存取權的方式,而不需擁有在程式碼中的認證。
私人儲存體帳戶存取
私人 Azure 儲存體帳戶存取和驗證支援 Azure 資源的受控識別。 如果您有受 虛擬網絡 或VNet防火牆保護的 Azure 記憶體帳戶,檔智慧無法直接存取您的記憶體帳戶數據。 不過,啟用受控識別之後,文件智慧服務可以使用指派的受控識別認證,來存取儲存體帳戶。
注意
如果您想要使用文件智慧服務範例標記工具 (FOTT) (英文) 來分析儲存體資料,您必須在 VNet 或防火牆後面部署此工具。
Analyze收據、名片、發票、標識符檔和自定義表單 API 可以藉由將要求張貼為原始二進位內容,從單一檔擷取數據。 在這些案例中,不需要受控識別認證。
必要條件
若要開始,您需要:
Azure 入口網站中的文件智慧服務或 Azure AI 服務資源。 如需詳細步驟,請參閱建立多服務資源。
Azure Blob 儲存體帳戶與文件智慧服務資源位於同一區域中。 您也需要建立容器,以在儲存體帳戶內儲存和組織 Blob 資料。
如果您的儲存體帳戶位於防火牆後方,您必須啟用下列設定:
在您的儲存體帳戶頁面上,從左側功能表中選取 [安全性 + 網路] → [網路]。
![[安全性 + 網路] 索引標籤的螢幕擷取畫面。](media/managed-identities/security-and-networking-node.png?view=doc-intel-4.0.0)
在主要視窗中,選取 [允許從選取的網路存取]。
![已選取 [選取的網路] 選項按鈕的螢幕擷取畫面。](media/managed-identities/firewalls-and-virtual-networks.png?view=doc-intel-4.0.0)
在選取的網路頁面上,流覽至 [例外狀況] 類別,並確定
Allow Azure services on the trusted services list to access this storage account複選框已啟用。![[允許信任的服務] 核取方塊、入口網站檢視的螢幕擷取畫面](media/managed-identities/allow-trusted-services-checkbox-portal-view.png?view=doc-intel-4.0.0)
使用 Azure 入口網站簡要了解 Azure 角色型存取控制 (AZURE RBAC)。
受控識別指派
有兩種受控識別:「系統指派」和「使用者指派」。 目前,文件智慧服務支援系統指派的受控識別:
系統指派的受控識別會直接在 Azure 服務執行個體上「啟用」。 預設不會將其啟用;您必須移至您的資源,並更新身分識別設定。
系統指派的受控識別會在其整個生命週期繫結至您的資源。 如果刪除您的資源,則也會刪除受控識別。
在下列步驟中,我們要啟用系統指派的受控識別,並授與文件智慧服務對 Azure Blob 儲存體帳戶的有限存取權。
啟用系統指派的受控識別
重要
若要啟用系統指派的受控識別,您需要 Microsoft.Authorization/roleAssignments/write 權限,例如擁有者或使用者存取管理員。 您可以在四個層級指定範圍:管理群組、訂用帳戶、資源群組或資源。
使用與 Azure 訂用帳戶相關聯的帳戶,登入 Azure 入口網站。
瀏覽至 Azure 入口網站中的文件智慧服務資源頁面。
在左邊滑軌中,從 [資源管理] 清單中選取 [身分識別]:
![Azure 入口網站中的 [資源管理身分識別] 索引標籤之螢幕擷取畫面。](media/managed-identities/resource-management-identity-tab.png?view=doc-intel-4.0.0)
在主視窗中,將 [系統指派的狀態] 索引標籤切換為 [ 開啟]。
授與您儲存體帳戶的存取權
您必須先將檔智慧存取權授與記憶體帳戶,才能讀取 Blob。 現在 Document Intelligence 存取已啟用系統指派的受控識別,您可以使用 Azure 角色型存取控制 (Azure RBAC),為 Document Intelligence 提供 Azure 記憶體的存取權。 儲存體 Blob 資料讀者角色會提供文件智慧服務 (以系統指派的受控識別表示) 讀取和列出 Blob 容器和資料的存取權。
在 [權限] 下,選取 [Azure 角色指派]:
在開啟的 Azure 角色指派頁面上,從下拉式功能表中選擇您的訂用帳戶,然後選取 [+ 新增角色指派]。
![Azure 入口網站中的 [Azure 角色指派] 頁面之螢幕擷取畫面。](media/managed-identities/azure-role-assignments-page-portal.png?view=doc-intel-4.0.0)
注意
因為已停用 [新增] > [新增角色指派] 選項或取得權限錯誤 (「您沒有權限在此範圍新增角色指派」),而使您無法在 Azure 入口網站中指派角色,請確認您目前是以具有 Microsoft.Authorization/roleAssignments/write 權限指派角色的使用者身分登入,例如在儲存體資源的儲存體範圍中的擁有者或使用者存取管理員。
接下來,您要將 [儲存體 Blob 資料讀者] 角色指派給文件智慧服務服務資源。 在
Add role assignment彈出視窗中,完成字段,如下所示,然後選取 [ 儲存]:欄位 值 範圍 Storage 訂用帳戶 與儲存體資源相關聯的訂用帳戶。 資源 儲存體資源的名稱 Role 儲存體 Blob 資料讀者—可讀取 Azure 儲存體 Blob 容器與資料。 ![Azure 入口網站中的 [新增角色指派] 頁面之螢幕擷取畫面。](media/managed-identities/add-role-assignment-window.png?view=doc-intel-4.0.0)
收到 [ 新增角色指派 ] 確認訊息之後,請重新整理頁面以查看新增的角色指派。
如果您沒有立即看到變更,請稍候並再次嘗試重新整理頁面。 當您指派或移除角色指派時,最多可能需要 30 分鐘的時間,變更才會生效。
![[Azure 角色指派] 視窗的螢幕擷取畫面。](media/managed-identities/assigned-roles-window.png?view=doc-intel-4.0.0)
介紹完畢 您已完成啟用系統指派受控識別的步驟。 您以受控識別和 Azure RBAC,向文件智慧服務授與了儲存體資源的特定存取權限,而不需要管理 SAS 權杖等認證。
Document Intelligence Studio 的其他角色指派
如果您要使用 Document Intelligence Studio,且記憶體帳戶已設定網路限制,例如防火牆或虛擬網路,則必須將另一個角色 儲存體 Blob 數據參與者,指派給您的文件智慧服務。 當您執行自動標籤、Human in the loop 或 Project 共用/升級作業時,Document Intelligence Studio 需要此角色才能將 Blob 寫入記憶體帳戶。
