設定文件智慧服務的受控識別
此內容適用於:v4.0 (預覽)v3.1 (GA)v3.0 (GA)v2.1 (GA)
Azure 資源的受控識別是建立 Microsoft Entra 身分識別的服務主體,以及 Azure 受控資源的特定許可權:
您可以使用受控識別,將支援 Microsoft Entra 驗證的任何資源存取權授與存取權,包括您自己的應用程式。 與安全性金鑰和驗證令牌不同,受控識別不需要開發人員管理認證。
若要授與 Azure 資源的存取權,請使用 Azure 角色型存取控制 (Azure RBAC) 將 Azure 角色指派給受控識別。
在 Azure 中使用受控識別不會增加任何成本。
重要
受控識別不需要您管理認證,包括共用存取簽章(SAS) 令牌。
受控識別是一種更安全的方式,可授與數據的存取權,而不需要在程式代碼中具有認證。
私人記憶體帳戶存取
私人 Azure 儲存體帳戶存取和驗證支援 Azure 資源的受控識別。 如果您有受虛擬網路 (VNet) 或防火牆保護的 Azure 儲存體帳戶,文件智慧服務無法直接存取儲存體帳戶資料。 不過,啟用受控識別之後,文件智慧服務可以使用指派的受控識別認證,來存取儲存體帳戶。
注意
如果您想要使用文件智慧服務範例標記工具 (FOTT) (英文) 來分析儲存體資料,您必須在 VNet 或防火牆後面部署此工具。
分析收據、名片、發票、標識符檔和自定義表單 API 可以藉由將要求張貼為原始二進位內容,從單一檔擷取數據。 在這些案例中,不需要受控識別認證。
必要條件
若要開始,您需要:
Azure 入口網站中的文件智慧服務或 Azure AI 服務資源。 如需詳細步驟,請參閱建立多服務資源。
Azure Blob 儲存體帳戶與文件智慧服務資源位於同一區域中。 您也需要建立容器,以在儲存體帳戶內儲存和組織 Blob 資料。
如果您的記憶體帳戶位於防火牆後方, 您必須啟用下列設定:
在記憶體帳戶頁面上,從左側功能表中選取 [安全性 + 網络 ] → [網络 ]。
在主視窗中,選取 [ 允許從選取的網络存取]。
在選取的網路頁面上,流覽至 [例外狀況] 類別,並確定 [允許受信任服務清單中的 Azure 服務存取此記憶體帳戶] 複選框已啟用。
使用 Azure 入口網站 簡短瞭解 Azure 角色型存取控制 (Azure RBAC)。
受控識別指派
受控識別有兩種類型: 系統指派 和 使用者指派。 目前,文件智慧服務支援系統指派的受控識別:
系統指派的受控識別 會直接在服務實例上啟用 。 默認不會啟用它;您必須移至您的資源並更新身分識別設定。
系統指派的受控識別會在整個生命週期中系結至您的資源。 如果刪除您的資源,則也會刪除受控識別。
在下列步驟中,我們要啟用系統指派的受控識別,並授與文件智慧服務對 Azure Blob 儲存體帳戶的有限存取權。
啟用系統指派的受控識別
重要
若要啟用系統指派的受控識別,您需要 Microsoft.Authorization/roleAssignments/write 許可權,例如擁有者或使用者存取 管理員 istrator。 您可以在四個層級指定範圍:管理群組、訂用帳戶、資源群組或資源。
使用與您的 Azure 訂用帳戶相關聯的帳戶登入 Azure 入口網站。
瀏覽至 Azure 入口網站中的文件智慧服務資源頁面。
在左側滑軌中,從 [資源管理] 列表中選取 [身分識別]:
在主視窗中,將 [ 系統指派的狀態] 索引標籤切換為 [ 開啟]。
授與記憶體帳戶的存取權
您必須先將檔智慧存取權授與記憶體帳戶,才能讀取 Blob。 既然您已使用系統指派的受控識別啟用文件智慧服務,您可以使用 Azure 角色型存取控制 (Azure RBAC),讓文件智慧服務存取 Azure 儲存體。 儲存體 Blob 資料讀者角色會提供文件智慧服務 (以系統指派的受控識別表示) 讀取和列出 Blob 容器和資料的存取權。
在 [許可權] 底下,選取 [Azure 角色指派]:
在開啟的 Azure 角色指派頁面上,從下拉式功能表中選擇您的訂用帳戶,然後選取 [+ 新增角色指派]。
注意
如果您無法指派 Azure 入口網站 中的角色,因為 [新增>新增角色指派] 選項已停用,或您收到許可權錯誤:「您沒有在此範圍新增角色指派的許可權」,請檢查您目前是以具有 Microsoft.Authorization/roleAssignments/write 許可權的使用者身分登入,例如擁有者或使用者存取 管理員 istrator,儲存體記憶體資源的範圍。
接下來,您要將 [儲存體 Blob 資料讀者] 角色指派給文件智慧服務服務資源。 在 [ 新增角色指派 ] 彈出視窗中,完成如下的字段,然後選取 [ 儲存]:
欄位 值 範圍 Storage 訂用帳戶 與您的記憶體資源相關聯的訂用帳戶。 資源 記憶體資源的名稱 角色 儲存體 Blob 資料讀取器— 允許讀取 Azure 儲存體 Blob 容器和數據。 收到 [ 新增角色指派 ] 確認訊息之後,請重新整理頁面以查看新增的角色指派。
如果您沒有立即看到變更,請再等候並嘗試重新整理頁面。 當您指派或移除角色指派時,最多可能需要 30 分鐘的時間,變更才會生效。
介紹完畢 您已完成啟用系統指派受控識別的步驟。 您以受控識別和 Azure RBAC,向文件智慧服務授與了儲存體資源的特定存取權限,而不需要管理 SAS 權杖等認證。
Document Intelligence Studio 的其他角色指派
如果您要使用 Document Intelligence Studio,且記憶體帳戶已設定網路限制,例如防火牆或虛擬網路,則必須將額外的角色 儲存體 Blob 數據參與者指派給您的文件智慧服務。 當您執行自動標籤、OCR升級、迴圈中的 Human 或 Project 共用作業時,Document Intelligence Studio 需要此角色才能將 Blob 寫入記憶體帳戶。