設定新的 Azure AI 搜尋服務牽涉到數項工作,以優化安全性、存取和效能。 本文提供一天的檢查清單,可協助您在 Azure 入口網站中設定服務。
建立搜尋服務之後,建議您:
設定角色型存取
入口網站存取是以 角色指派為基礎。 根據預設,新的搜尋服務至少有一個服務管理員或擁有者。 服務管理員、共同管理員和擁有者有權建立更多系統管理員,並指派其他角色。 他們也能存取預設搜尋服務上的所有門戶網站頁面以及相關作業。
提示
根據預設,任何系統管理員或擁有者都可以建立或刪除服務。 若要避免意外刪除,請考慮 鎖定您的資源。
每個搜尋服務都隨附 API 金鑰 ,預設會使用金鑰型驗證。 不過,我們建議使用 Microsoft Entra ID 和角色型訪問控制 (RBAC) 以改善安全性。 RBAC 不需要以純文字儲存和傳遞 API 金鑰。
當您從金鑰型驗證切換至無密鑰驗證時,服務管理員必須自行指派數據平面角色,才能完整存取對象和數據。 這些角色包括搜尋服務參與者、搜尋索引數據參與者和搜尋索引數據讀取器。
若要設定角色型存取:
在您的搜尋服務上啟用角色。 我們建議同時使用 API 金鑰和角色。
指派數據平面角色 ,以取代停用 API 金鑰時遺失的功能。 擁有者只需要搜尋索引數據讀取器,但開發人員需要 更多角色。
角色指派可能需要幾分鐘的時間才會生效。 在此之前,用於數據平面作業的入口網站頁面會顯示下列訊息:
為解決方案開發人員和應用程式指派更多角色。
設定受控識別
如果您打算使用索引器進行自動編製索引、套用的 AI 或整合向量化,您應該將 搜尋服務設定為使用受控識別。 接著,您可以在授權搜尋服務存取數據和作業的其他 Azure 服務上指派角色。
針對整合向量化,您的搜尋服務身分識別需要下列角色:
- Azure 儲存體上的儲存體 Blob 資料讀者
- Azure AI 服務多服務帳戶上的認知服務數據使用者
角色指派可能需要幾分鐘的時間才會生效。
在移至網路安全性之前,請考慮測試所有連線點來驗證角色指派。 執行 匯入數據精靈 或 匯入及向量化數據精靈 以測試許可權。
設定網路安全性
根據預設,搜尋服務會透過公用網際網路連線接受已驗證及已授權的要求。 您有兩個選項可增強網路安全性:
若要瞭解 Azure AI 搜尋中的輸入和輸出通話,請參閱 Azure AI 搜尋中的安全性。
檢查容量並了解計費
根據預設,搜尋服務會以一個複本和一個分割區建立。 您可以新增複本和分割區來新增容量,但建議您等到磁碟區發出需求為止。 許多客戶會在最低設定上執行生產工作負載。
語意排名器會增加執行服務的成本。 如果您不想使用此功能,您可以在服務層級 停用語意排名器 。
若要了解影響計費的其他功能,請參閱 如何向您收取 Azure AI 搜尋的費用。
啟用診斷記錄
啟用診斷記錄來追蹤使用者活動。 如果您略過此步驟,您仍會自動取得 活動記錄 和 平台計量 。 不過,如果您想要索引和查詢使用方式資訊,您應該啟用診斷記錄,並選擇記錄作業的目的地。 我們建議使用Log Analytics工作區進行長期記憶體,以便您可以在 Azure 入口網站中執行系統查詢。
以內部來說,Microsoft 會收集服務與平台的相關遙測資料。 若要深入了解資料保留,請參閱計量的保留。
若要深入了解資料位置和隱私權,請參閱 資料駐留。
啟用語意排名工具
每個月前 1,000 個要求的語意排名器是免費的。 根據預設,它會在較新的搜尋服務上啟用。
若要在入口網站中啟用語意排名器,請從左窗格中選取 [ 設定>語意排名器 ],然後選取 [免費 方案]。 如需詳細資訊,請參閱啟用語意排名工具。
向開發人員提供連線資訊
若要連線到 Azure AI 搜尋服務,開發人員需要:
- 概觀頁面的端點或URL。
- 來自 [ 金鑰 ] 頁面或角色指派的 API 金鑰。 我們建議搜尋服務貢獻者、搜尋索引資料貢獻者和搜尋索引資料讀取者。
我們建議使用 [ 匯入數據 精靈]、[ 匯入和向量化數據精靈] 和 [ 搜尋總管] 的入口網站存取權。 您必須是貢獻者或更高級別,才能執行嚮導。
相關內容
如需服務管理的程式設計支援,請參閱下列 API 和模組:
您也可以在適用於 .NET、Python、Java 和 JavaScript 的 Azure SDK 中使用管理用戶端程式庫。
在所有形式和語言之間有一個功能同位,但預覽管理功能除外。 一般情況下,預覽管理功能會先透過管理 REST API 發行。