Share via

使用受控識別和虛擬網路設定安全存取

  • 發行項

此內容適用於:checkmarkv4.0 (預覽)checkmarkv3.1 (GA)checkmarkv3.0 (GA)checkmarkv2.1 (GA)

本操作指南會引導您逐步完成啟用 Document Intelligence 資源安全連線的流程。 您可以保護下列連線:

  • 虛擬網絡 (VNET) 與檔案智慧資源內的用戶端應用程式之間的通訊。

  • Document Intelligence Studio 與您的 Document Intelligence 資源之間的通訊。

  • 您的 Document Intelligence 資源與儲存體帳戶之間的通訊 (定型自訂模型時所需)。

您要設定環境以保護資源安全:

Screenshot of secure configuration with managed identity and virtual networks.

必要條件

若要開始,您需要:

設定資源

設定每個資源,以確保資源可以彼此通訊:

  • 存取設定頁面並選取資源,將 Document Intelligence Studio 設定成使用新建立的 Document Intelligence 資源。

  • 選取讀取 API 並分析範例檔,以驗證組態是否正常運作。 如果資源設定正確,就能成功完成要求。

  • 將定型數據集新增至您建立 儲存體 帳戶中的容器。

  • 選取自定義模型圖格以建立自定義專案。 請務必選取相同的 Document Intelligence 資源和您在上個步驟中建立的儲存體帳戶。

  • 選取容器,其中包含您在上一個步驟中上傳的定型數據集。 確定如果定型數據集位於資料夾內,則會適當地設定資料夾路徑。

  • 如果您有必要的權限,此工作室會設定存取儲存體帳戶所需的 CORS 設定。 如果您沒有權限,您必須先確定在儲存體帳戶上設定 CORS 設定,才能繼續作業。

  • 驗證 Studio 已設定為存取定型數據,如果您在標籤體驗中看到您的檔,則會建立所有必要的連線。

您現在擁有可正常實作的所有所需元件,可使用預設安全性模型建置 Document Intelligence 解決方案:

Screenshot of default security configuration.

接下來,完成下列步驟:

  • 於 Document Intelligence 資源設定受控識別。

  • 保護記憶體帳戶,只限制來自特定虛擬網路和IP位址的流量。

  • 設定 Document Intelligence 受控識別以與儲存體帳戶通訊。

  • 停用對 Document Intelligence 資源的公用存取,並建立私人端點,使其只能從特定的虛擬網路和 IP 位址存取。

  • 在選取的虛擬網路中新增記憶體帳戶的私人端點。

  • 驗證您可以從虛擬網路內定型模型和分析檔。

設定 Document Intelligence 的受控識別

瀏覽至 Azure 入口網站中的 Document Intelligence 資源,然後選取 [身分識別] 索引標籤。將系統指派的受控識別切換為 [開啟] 並儲存變更:

Screenshot of configure managed identity.

保護 儲存體 帳戶以限制流量

流覽至 Azure 入口網站 中 儲存體 帳戶上的 [網络] 索引卷標,開始設定安全通訊。

  1. 在 [防火牆和虛擬網络] 下,從 [公用網络存取] 列表選擇 [從選取的虛擬網络和IP 位址啟用]。

  2. 請確定已從 [例外狀況] 清單中選取 [允許受信任服務列表中的 Azure 服務存取此儲存器帳戶]。

  3. 儲存您的變更。

Screenshot of configure storage firewall.

注意

您無法從公用因特網存取您的記憶體帳戶。

重新整理 Studio 中的自訂模型標籤面將會產生錯誤訊息。

啟用從 Document Intelligence 存取儲存體

為確保 Document Intelligence 資源可以存取訓練資料集,您必須為受控識別新增角色指派。

  1. 留在 Azure 入口網站 的記憶體帳戶視窗上,流覽至左側導覽列中的 [存取控制 (IAM) 索引標籤。

  2. 選取 [ 新增角色指派 ] 按鈕。

    Screenshot of add role assignment window.

  3. [角色] 索引標籤上,搜尋並選取 [儲存體 Blob 資料讀取器] 權限,然後選取 [下一步]

    Screenshot of choose a role tab.

  4. 在 [ 成員] 索引標籤上,選取 [ 受控識別 ] 選項,然後選擇 [ + 選取成員]

  5. 在 [ 選取受控識別 ] 對話框視窗中,選取下列選項:

    • 訂用帳戶。 選取您的訂用帳戶。

    • 受控識別。 選取 [表單 辨識器]。

    • 選取 。 選擇以受控識別啟用的 Document Intelligence 資源。

    Screenshot of managed identities dialog window.

  6. 關閉 對話框視窗。

  7. 最後,選取 [ 檢閱 + 指派 ] 以儲存變更。

太棒了! 您已將 Document Intelligence 資源設定為使用受控識別來連線到記憶體帳戶。

提示

當您嘗試使用 Document Intelligence Studio 時,您會看到 READ API 和其他預先建置的模型不需要儲存體存取權即可處理文件。 不過,定型自定義模型需要額外的設定,因為 Studio 無法直接與記憶體帳戶通訊。 您可以從記憶體帳戶的 [網络] 索引標籤選取 [新增用戶端 IP 位址] 來啟用記憶體存取,以設定您的電腦透過 IP 允許清單存取記憶體帳戶。

設定私人端點以從 VNET 存取

注意

  • 資源只能從虛擬網路存取。

  • Studio 中的某些文件智慧功能,例如自動標籤,需要 Document Intelligence Studio 才能存取您的記憶體帳戶。

  • 將 Studio IP 位址 20.3.165.95 新增至檔智慧和 儲存體 帳戶資源的防火牆允許清單。 這是 Document Intelligence Studio 的專用 IP 位址,可以安全地允許。

當您從虛擬網路連線到資源時,新增私人端點可確保從虛擬網路存取儲存體帳戶和 Document Intelligence 資源。

接下來,您要設定虛擬網路,確保只有虛擬網路內的資源或透過網路的流量路由器可以存取 Document Intelligence 資源和儲存體帳戶。

啟用防火牆和虛擬網路

  1. 在 Azure 入口網站中,瀏覽至您的 Document Intelligence 資源。

  2. 從左側導覽列選取 [ 網络] 索引 標籤。

  3. 從 [防火牆和虛擬網络] 索引標籤啟用 [選取的網络和私人端點] 選項,然後選取 [儲存]。

注意

如果您嘗試存取任何 Document Intelligence Studio 功能,您會看到拒絕存取的訊息。 若要從您電腦上的 Studio 啟用存取,請選取 [ 新增用戶端 IP 位址 ] 複選框和 [儲存 ] 以還原存取權。

Screenshot showing how to disable public access to Document Intelligence.

設定您的私人端點

  1. 流覽至 [ 私人端點連線 ] 索引標籤,然後選取 [+ 私人端點]。 您瀏覽至 [建立私人端點] 對話方塊頁面。

  2. 在 [ 建立私人端點 ] 對話框頁面上,選取下列選項:

    • 訂用帳戶。 選取您的計費訂用帳戶。

    • 資源群組。 選取適當的資源群組。

    • 名稱. 輸入私人端點的名稱。

    • 區域。 選取與虛擬網路相同的區域。

    • 選取 [下一步:資源]。

    Screenshot showing how to set-up a private endpoint

設定虛擬網路

  1. 在 [資源] 索引標籤上,接受預設值,然後選取 [下一步:虛擬網絡]。

  2. [虛擬網路] 索引標籤上,確定選取您建立的虛擬網路。

  3. 如果您有多個子網,請選取您想要私人端點連線的子網。 接受預設值以 動態方式配置IP位址

  4. 選取 [下一步:DNS]

  5. 接受預設值 [是 ] 以 與私人 DNS 區域整合。

    Screenshot showing how to configure private endpoint

  6. 接受其餘預設值,然後選取 [下一步:標記]。

  7. 完成時,選取 [下一步:檢閱 + 建立]。

做得好! 您的 Document Intelligence 資源現在只能從虛擬網路和 IP 允許清單中的所有 IP 位址存取。

設定記憶體的私人端點

流覽至 Azure 入口網站 上的記憶體帳戶

  1. 從左側導覽功能表中選取 [ 網络] 索引標籤。

  2. 選取 [私人端點連線] 索引標籤。

  3. 選擇 [新增 + 私人端點]。

  4. 提供名稱和選擇與虛擬網路相同的區域。

  5. 選取 [下一步:資源]。

    Screenshot showing how to create a private endpoint

  6. 在 [資源] 索引卷標上,從 [目標子資源] 列表中選取 Blob

  7. 選取 [下一步:虛擬網絡]。

    Screenshot showing how to configure a private endpoint for a blob.

  8. 選取 [虛擬網络] 和 [子網]。 請確定 已選取 [為此子網 中的所有私人端點啟用網络原則],並啟用 [ 動態配置 IP 位址 ]。

  9. 選取 [下一步:DNS]。

  10. 請確定 已啟用 [是 ],以便 與私人 DNS 區域整合。

  11. 選取 [下一步:標記]

  12. 完成時,選取 [下一步:檢閱 + 建立]。

很棒! 您現在已將 Document Intelligence 資源與儲存體之間的所有連線皆設定為使用受控識別。

注意

資源只能從虛擬網路和允許的IP存取。

除非要求源自虛擬網路或透過虛擬網路路由,否則工作室存取及分析 Document Intelligence 資源的要求將會失敗。

驗證您的部署

若要驗證您的部署,您可以將虛擬機 (VM) 部署至虛擬網路,並連線到資源。

  1. 在虛擬網路中設定 資料科學 VM

  2. 從桌面遠端連線到 VM,以啟動瀏覽器工作階段,存取 Document Intelligence Studio。

  3. 分析要求和定型作業現在應該能夠順利運作。

介紹完畢 您現在可以使用受控識別和私人端點,設定 Document Intelligence 資源的安全存取。

常見的錯誤訊息

  • 無法存取 Blob 容器

    Screenshot of error message when CORS config is required

    解決方法:

    1. 設定 CORS

    2. 請確定用戶端計算機可以存取 Document Intelligence 資源和記憶體帳戶,無論是位於相同的 VNET 中,還是允許在 Document Intelligence 資源和記憶體帳戶的網路>防火牆和虛擬網路設定頁面中允許用戶端 IP 位址。

  • AuthorizationFailure

    Screenshot of authorization failure error.

    解決方案:請確定用戶端計算機可以存取 Document Intelligence 資源和記憶體帳戶,不論是位於相同的 VNET 中,還是允許在 Document Intelligence 資源和記憶體帳戶的網路防火牆和虛擬網路設定頁面中允許>用戶端 IP 位址。

  • ContentSourceNotAccessible

    Screenshot of content source not accessible error.

    解決方案:請確定您已將 儲存體 Blob 數據讀取器的角色授與 Document Intelligence 受控識別,並在 [網路] 索引卷標上啟用 [受信任的服務存取] 或 [資源實例規則]。

  • AccessDenied

    Screenshot of an access denied error.

    解決方法:檢查以確定存取 Document Intelligence Studio 的電腦與 Document Intelligence 服務之間有連線。 例如,您可能需要將用戶端 IP 位址新增至 Document Intelligence 服務的 [網络] 索引標籤。

下一步

使用受控識別從 Web 應用程式存取 Azure 儲存體