将视频索引器配置为使用防火墙后面的存储帐户
重要
由于Azure 媒体服务停用公告,Azure AI 视频索引器会宣布 Azure AI 视频索引器功能调整。 请参阅 与 Azure 媒体服务(AMS)停用 相关的更改,了解 Azure AI 视频索引器帐户的含义。 请参阅 AMS 停用准备:VI 更新和迁移指南。
创建视频索引器帐户时,必须将它与Azure 存储帐户相关联。 视频索引器可以使用系统身份验证或托管标识身份验证访问存储帐户。 视频索引器验证添加关联的用户是否有权使用 Azure 资源管理器 基于角色的 访问控制 (RBAC) 访问存储帐户。
如果要使用防火墙来保护存储帐户并启用受信任的存储, 则允许视频索引器通过防火墙进行访问的托管标识 身份验证是首选选项。 它允许视频索引器访问已配置的存储帐户,而无需公共访问 受信任的存储访问。
重要
如果锁定没有公共访问权限的存储帐户(尤其是在视频索引器门户上)时,请务必了解其含义。 在此方案中,客户端设备的源 IP 至关重要。 如果存储帐户已锁定,并且源 IP 没有例外,则会拒绝访问视频源文件的 SAS URL。 这适用于下载和流式传输视频内容。
为了确保无缝访问,我们建议与网络/存储管理员密切合作,以满足这些要求。 利用企业网络、VPN 或Azure 专用链接提供必要的连接,同时维护存储帐户的安全状况。
例如,Azure 专用链接提供了从虚拟网络私下访问 Azure 服务的安全方法。 它简化了网络体系结构,并通过消除数据在公共 Internet 上的暴露来保护 Azure 中终结点之间的连接。
应仔细规划和测试对网络配置所做的任何更改,以避免中断对基本服务和资源的访问。
按照以下步骤为存储启用托管标识,然后锁定存储帐户。 假设已创建视频索引器帐户并关联存储帐户。
分配托管标识和角色
按照创建 Azure AI 视频索引器帐户的所有步骤操作,但也使用以下步骤:
- 选择“分配角色”时,将分配以下角色:
Azure Media Services : Contributor
和Azure Storage : Storage Blob Data Owner
。 可以通过导航到 视频索引器帐户的“标识 ”菜单并选择 Azure 角色分配来验证或手动设置分配。 - 转到你的存储帐户。 从菜单中选择“网络”,然后在“公用网络访问”部分中从选定的虚拟网络和 IP 地址中选择“已启用”。
- 在“例外”下,确保已选择“受信任的服务”列表中的“允许 Azure 服务访问此存储帐户”。
从锁定的存储帐户上传
将文件上传到视频索引器时,可以使用 SAS 定位符提供视频的链接。 如果托管视频的存储帐户不可公开访问,请使用托管标识和受信任的服务方法。 由于无法知道 SAS URL 是否指向锁定的存储帐户,因此在上传视频 API 调用中显式设置查询参数useManagedIdentityToDownloadVideo
true
。
还需要像使用存储帐户一样在此存储帐户上设置角色 Azure Storage : Storage Blob Data Owner
。
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈