共用方式為

使用受控識別和虛擬網路來設定安全存取

  • 發行項

此內容適用於: 勾選記號 v4.0 (預覽版) 勾選記號 v3.1 (GA) 勾選記號 v3.0 (GA) 勾選記號 v2.1 (GA)

本操作指南會引導您逐步完成啟用 Document Intelligence 資源安全連線的流程。 您可以保護下列連線的安全:

  • 虛擬網路 (VNET) 內的用戶端應用程式與文件智慧服務資源之間的通訊。

  • Document Intelligence Studio 與您的 Document Intelligence 資源之間的通訊。

  • 您的 Document Intelligence 資源與儲存體帳戶之間的通訊 (定型自訂模型時所需)。

您要設定環境以保護資源安全:

使用受控識別和虛擬網路之安全設定的螢幕擷取畫面。

必要條件

若要開始,您需要:

設定資源

設定每項資源,以確保資源可以彼此通訊:

  • 存取設定頁面並選取資源,將 Document Intelligence Studio 設定成使用新建立的 Document Intelligence 資源。

  • 選取讀取 API 並分析範例文件,以確定並驗證設定是否正常運作。 如果資源設定正確,就能成功完成要求。

  • 將訓練資料集新增至您所建立之儲存體帳戶中的容器。

  • 選取自訂模型磚以建立自訂的專案。 請務必選取相同的 Document Intelligence 資源和您在上個步驟中建立的儲存體帳戶。

  • 選取包含了您在上個步驟上傳之訓練資料集的容器。 確定訓練資料集是否位於資料夾內,且正確設定資料夾路徑。

  • 請確定您有必要的權限,此工作室會設定存取儲存體帳戶所需的 CORS 設定。 如果您沒有權限,您必須先確定在儲存體帳戶上設定 CORS 設定,才能繼續作業。

  • 確定並驗證工作室已設定為存取訓練資料。 如果您可以在標籤體驗中看到您的文件,則表示您已建立所有必要的連線。

您現在擁有可正常實作的所有所需元件,可使用預設安全性模型建置 Document Intelligence 解決方案:

預設安全性設定的螢幕擷取畫面。

接下來,完成下列步驟:

  • 在文件智慧服務資源上設定受控識別。

  • 保護儲存體帳戶,只接受來自特定虛擬網路和 IP 位址的流量。

  • 設定 Document Intelligence 受控識別以與儲存體帳戶通訊。

  • 停用對文件智慧服務資源的公用存取,並建立私人端點。 您的資源便只能從特定虛擬網路和 IP 位址進行存取。

  • 在選取的虛擬網路中新增儲存體帳戶的私人端點。

  • 確定並驗證是否可以從虛擬網路定型模型及分析文件。

設定 Document Intelligence 的受控識別

瀏覽至 Azure 入口網站中的 Document Intelligence 資源,然後選取 [身分識別] 索引標籤。將系統指派的受控識別切換為 [開啟] 並儲存變更:

設定受控識別的螢幕擷取畫面。

保護儲存體帳戶

在 Azure 入口網站中瀏覽至您儲存體帳戶的 [網路] 索引標籤,開始設定安全通訊。

  1. 在 [防火牆和虛擬網路] 下,從 [公用網路存取] 清單中,選擇 [已從選取的虛擬網路和 IP 位址啟用]

  2. 確定已從 [例外狀況] 清單中選取 [允許受信任服務清單上的 Azure 服務存取此儲存體帳戶]

  3. 儲存您的變更。

設定儲存體防火牆的螢幕擷取畫面。

注意

您的儲存體帳戶無法從公用網際網路存取。

重新整理工作室中的自訂模型標籤頁面,會產生錯誤訊息。

啟用從 Document Intelligence 存取儲存體

為確保 Document Intelligence 資源可以存取訓練資料集,您必須為受控識別新增角色指派。

  1. 停留在 Azure 入口網站的儲存體帳戶視窗中,瀏覽至左側導覽列的 [存取控制 (IAM) ] 索引標籤。

  2. 選取 [新增角色指派] 按鈕。

    [新增角色指派] 視窗的螢幕擷取畫面。

  3. [角色] 索引標籤上,搜尋並選取 [儲存體 Blob 資料讀取器] 權限,然後選取 [下一步]

    選擇 [角色] 索引標籤的螢幕擷取畫面。

  4. 在 [成員] 索引標籤上,選取 [受控識別] 選項,然後選取 [+ 選取成員]

  5. 在 [選取受控識別] 對話方塊視窗中,選取下列選項:

    • 訂用帳戶。 選取您的訂用帳戶。

    • [受控識別]。 選取 [表單辨識器]

    • 選取。 選擇以受控識別啟用的 Document Intelligence 資源。

    [受控識別] 對話視窗的螢幕擷取畫面。

  6. [關閉] 對話方塊。

  7. 最後,選取 [檢閱 + 指派] 儲存變更。

太棒了! 您已將文件智慧服務資源設定為使用受控識別來連線到儲存體帳戶。

提示

當您嘗試使用 Document Intelligence Studio 時,您會看到 READ API 和其他預先建置的模型不需要儲存體存取權即可處理文件。 不過,定型自訂模型需要其他設定,因為此工作室無法直接與儲存體帳戶通訊。 您可以從儲存體帳戶的 [網路] 索引標籤選取 [新增您的用戶端 IP 位址],設定電腦透過 IP 允許清單存取儲存體帳戶,以啟用儲存體存取。

設定私人端點以從 VNET 存取

注意

  • 資源只能從虛擬網路存取。

  • 工作室中的某些文件智慧服務功能 (例如自動標籤) 需要文件智慧服務工作室能存取您的儲存體帳戶。

  • 將我們的工作室 IP 位址 20.3.165.95 新增至文件智慧服務和儲存體帳戶資源的防火牆允許清單。 這是文件智慧服務工作室的專用 IP 位址,可以安全地允許。

當您從虛擬網路連線到資源時,新增私人端點可確保從虛擬網路存取儲存體帳戶和 Document Intelligence 資源。

接下來,您要設定虛擬網路,確保只有虛擬網路內的資源或透過網路的流量路由器可以存取 Document Intelligence 資源和儲存體帳戶。

啟用防火牆和虛擬網路

  1. 在 Azure 入口網站中,瀏覽至您的 Document Intelligence 資源。

  2. 在左側導覽列中選取 [網路] 索引標籤。

  3. 從 [防火牆與虛擬網路] 索引標籤啟用 [選取的網路和私人端點] 選項,然後選取 [儲存]。

注意

如果您嘗試存取任何 Document Intelligence Studio 功能,您會看到拒絕存取的訊息。 若要能在您的電腦上從工作室進行存取,請選取 [新增用戶端 IP 位址] 核取方塊和 [儲存],以還原存取權。

顯示如何停用 Document Intelligence 公用存取權的螢幕擷取畫面。

設定私人端點

  1. 瀏覽至 [私人端點連線] 索引標籤,然後選取 [+ 私人端點]。 您瀏覽至 [建立私人端點] 對話方塊頁面。

  2. 在 [建立私人端點] 對話方塊頁面中,選取下列選項:

    • 訂用帳戶。 選取您的計費訂閱。

    • 資源群組。 選取適當的資源群組。

    • 名稱. 輸入私人端點的名稱。

    • 區域。 選取和您虛擬網路相同的區域。

    • 選取 [下一步:資源]。

    顯示如何設定私人端點的螢幕擷取畫面

設定虛擬網路

  1. 在 [資源] 索引標籤上,接受預設值,然後選取 [下一步: 虛擬網路]

  2. [虛擬網路] 索引標籤上,確定選取您建立的虛擬網路。

  3. 如有多個子網路,請選取您希望私人端點連線的子網路。 接受預設值以 [動態配置 IP 位址]

  4. 選取 [下一步: DNS]

  5. 接受預設值 [是] 以 [與私人 DNS 區域整合]

    顯示如何設定私人端點的螢幕擷取畫面

  6. 接受其餘的預設值,然後選取 [下一步: 標籤]

  7. 完成時,選取 [下一步:檢閱 + 建立]。

做得好! 您的 Document Intelligence 資源現在只能從虛擬網路和 IP 允許清單中的所有 IP 位址存取。

設定儲存體的私人端點

瀏覽至您在 Azure 入口網站中的儲存體帳戶

  1. 在左側導覽功能表中選取 [網路] 索引標籤。

  2. 選取 [私人端點連線] 索引標籤。

  3. 選擇新增 [+ 私人端點]

  4. 提供名稱並選擇與虛擬網路相同的區域。

  5. 選取 [下一步:資源]。

    顯示如何建立私人端點的螢幕擷取畫面

  6. 在 [資源] 索引標籤上,從 [目標子資源] 清單中選取 [Blob]

  7. 選取 [下一步: 虛擬網路]

    顯示如何設定 Blob 私人端點的螢幕擷取畫面。

  8. 選取 [虛擬網路] 和 [子網路]。 確定選取 [為此子網路中的所有私人端點啟用網路原則],並啟用 [動態配置 IP 位址]

  9. 選取 [下一步:DNS]。

  10. 確定 [與私人 DNS 區域整合] 啟用 [是]

  11. 選取 [下一步:標記]

  12. 完成時,選取 [下一步:檢閱 + 建立]。

很棒! 您現在已將 Document Intelligence 資源與儲存體之間的所有連線皆設定為使用受控識別。

注意

您只能從虛擬網路和允許的 IP 存取資源。

除非要求源自虛擬網路或透過虛擬網路路由,否則工作室存取及分析 Document Intelligence 資源的要求將會失敗。

驗證部署

若要驗證您的部署,您可以將虛擬機器 (VM) 部署到虛擬網路,然後連線到資源。

  1. 在虛擬網路中設定資料科學 VM

  2. 從桌面遠端連線到 VM,並啟動會存取文件智慧服務工作室的瀏覽器工作階段。

  3. 分析要求和定型作業現應能順利運作。

介紹完畢 您現在可以使用受控識別和私人端點,設定 Document Intelligence 資源的安全存取。

常見的錯誤訊息

  • 無法存取 Blob 容器

    需要 CORS 設定時的錯誤訊息螢幕擷取畫面

    解決方法:

    1. 設定 CORS

    2. 確定用戶端電腦可以存取文件智慧服務資源和儲存體帳戶,不論其位於相同的 VNET 中,還是已在文件智慧服務資源和儲存體帳戶的 [網路] > [防火牆和虛擬網路] 設定頁面中允許用戶端 IP 位址。

  • AuthorizationFailure:

    授權失敗錯誤的螢幕擷取畫面。

    解決方案:確定用戶端電腦可以存取文件智慧服務資源和儲存體帳戶,不論其位於相同的 VNET 中,還是已在文件智慧服務資源和儲存體帳戶的 [網路] > [防火牆和虛擬網路] 設定頁面中允許用戶端 IP 位址。

  • ContentSourceNotAccessible

    無法存取內容來源錯誤的螢幕擷取畫面。

    解決方法:確定您已為文件智慧服務受控識別指定儲存體 Blob 資料讀者角色,並已在 [網路] 索引標籤上啟用 [信任的服務] 存取或 [資源執行個體] 規則。

  • AccessDenied

    此螢幕擷取畫面顯示拒絕存取錯誤。

    解決方案:確定用戶端電腦可以存取文件智慧服務資源和儲存體帳戶,不論其位於相同的 VNET 中,還是已在文件智慧服務資源和儲存體帳戶的 [網路] > [防火牆和虛擬網路] 設定頁面中允許用戶端 IP 位址。

下一步

使用受控識別從 Web 應用程式存取 Azure 儲存體