共用方式為


在 Azure AI 搜尋服務中啟用或停用角色型存取控制

Azure AI 搜尋預設會使用 密鑰型驗證 ,但它完全支援透過 Azure 角色型存取控制 (RBAC) 的所有控制平面和數據平面作業Microsoft Entra ID 驗證和數據平面作業。

您必須先在搜尋服務上啟用角色型訪問控制,才能為授權的數據平面存取指派角色給 Azure AI 搜尋服務。 服務管理的角色 (控制平面) 是內建的,因此無法將其啟用或停用。

注意

數據平面是指針對搜尋服務端點的作業,例如編製索引或查詢,或搜尋服務 REST API 或對等的 Azure SDK 用戶端連結庫中指定的任何其他作業。 控制平面 是指 Azure 資源管理,例如建立或設定搜尋服務。

必要條件

啟用資料平面作業的角色型存取

設定您的搜尋服務,以辨識提供 OAuth2 存取權杖的資料要求上的授權標頭。

當您啟用資料平面的角色時,變更會立即生效,但請稍候幾秒鐘,然後再指派角色。

未經授權要求的預設失敗模式為 http401WithBearerChallenge。 或者,您可以將失敗模式設定為 http403

  1. 登入 Azure 入口網站,並開啟搜尋服務頁面。

  2. 在左側瀏覽窗格中,選取 [設定],然後選取 [金鑰]

    金鑰頁面的螢幕擷取畫面,其中具有驗證選項。

  3. 如果您目前使用金鑰,且需要時間將用戶端轉換為角色型存取控制,請選擇 [角色型控制] 或 [兩者]

    選項 描述
    API 金鑰 (預設)。 需要要求標頭上的 API 金鑰,才能進行授權。
    角色型存取控制 需要角色指派中的成員資格,才能完成工作。 其也需要要求上的授權標頭。
    兩者 使用 API 金鑰或角色型存取控制,要求是有效的,但如果您在相同的要求中提供這兩者,則會使用 API 金鑰。
  4. 身為系統管理員,如果您選擇僅限角色方法,請將資料平面角色指派給使用者帳戶,以在 Azure 入口網站中還原資料平面作業的完整系統管理存取權。 角色包括搜尋服務參與者、搜尋索引資料參與者和搜尋索引資料讀者。 如果想要對等的存取權,您需要這三個角色。

    有時可能需要五到十分鐘的時間,角色指派才會生效。 直到發生這種情況後,下列訊息就會出現在用於資料平面作業的入口網站頁面中。

    入口網站訊息指出權限不足的螢幕擷取畫面。

停用角色型存取控制

可以停用資料平面作業的角色型存取控制,並改用金鑰型驗證。 您可能會執行此動作,作為測試工作流程的一部分,例如排除權限問題。

反轉您先前遵循的步驟,以啟用角色型存取。

  1. 登入 Azure 入口網站,並開啟搜尋服務頁面。

  2. 在左側瀏覽窗格中,選取 [設定],然後選取 [金鑰]

  3. 選取 [API 金鑰]

停用 API 金鑰驗證

如果您是以獨佔方式使用內建角色和 Microsoft Entra 驗證,則可以在您的服務上停用金鑰存取或本機驗證。 停用 API 金鑰會導致搜尋服務拒絕在標頭中傳遞 API 金鑰的所有資料相關要求。

管理員 API 金鑰可以停用,但無法刪除。 可以刪除查詢 API 金鑰。

需要擁有者或參與者權限才能停用安全性功能。

  1. 在 Azure 入口網站中,瀏覽至您的搜尋服務。

  2. 在左導覽窗格中,選取 [金鑰]

  3. 選取 [角色型存取控制]

變更會立即生效,但在測試之前請稍候幾秒鐘。 假設您有權將角色指派為擁有者、服務管理員或共同管理員的成員,您可以使用入口網站功能來測試角色型存取。

角色型訪問控制的效果

  • 角色型存取控制可以增加某些要求的延遲。 服務資源的每個唯一組合(索引、索引器、技能集等等)和服務主體都會觸發授權檢查。 這些授權檢查最多可對每一要求增加 200 毫秒的延遲。

  • 在少數情況下,要求源自大量不同的服務主體,所有目標都是不同的服務資源(索引、索引器等等),授權檢查可能會導致節流。 只有在一秒內使用了數百個唯一的搜尋服務資源和服務主體的組合時,才會發生節流。

下一步