Sdílet prostřednictvím

Konfigurace Video Indexeru pro práci s účty úložiště za bránou firewall

  • Článek

Když vytvoříte účet Video Indexeru, musíte ho přidružit k účtu Azure Storage. Účty úložiště pro VI musí být účtem úložiště úrovně Standard pro obecné účely verze 2. Video Indexer má přístup k účtu úložiště pomocí ověřování systému nebo ověřování spravované identity. Video Indexer ověří, že uživatel, který přidává přidružení, má přístup k účtu úložiště pomocí řízení přístupu na základě role (RBAC) Azure Resource Manageru.

Pokud chcete k zabezpečení účtu úložiště a povolení důvěryhodného úložiště použít bránu firewall, je upřednostňovanou možností ověřování spravovaných identit, které umožňuje přístup Video Indexeru přes bránu firewall. Video Indexeru umožňuje přístup k účtu úložiště, který je nakonfigurovaný, aniž by pro důvěryhodný přístup k úložišti potřeboval veřejný přístup .

Důležité

Je důležité pochopit důsledky, pokud uzamknete účty úložiště bez veřejného přístupu, zejména v souvislosti s portálem Video Indexer. Zdrojová IP adresa klientského zařízení je v tomto scénáři pivotální. Pokud je účet úložiště uzamčený a nemá výjimku pro zdrojovou IP adresu, přístup k adrese URL SAS zdrojového souboru videa bude odepřen. To platí jak pro stahování, tak streamování videa.

Pokud chcete zajistit bezproblémový přístup, doporučujeme, abyste úzce spolupracovali se správcem sítě nebo úložiště, abyste těmto požadavkům vyhověli. Využijte podnikovou síť, SÍŤ VPN nebo Azure Private Link, abyste zajistili potřebné připojení, zatímco udržujete stav zabezpečení účtů úložiště.

Azure Private Link například poskytuje bezpečný způsob, jak privátní přístup ke službám Azure z vaší virtuální sítě. Zjednodušuje architekturu sítě a zabezpečuje propojení mezi koncovými body v Azure díky eliminaci vystavení dat ve veřejném internetu.

Všechny změny konfigurace sítě by se měly pečlivě naplánovat a otestovat, aby nedošlo k narušení přístupu k základním službám a prostředkům.

Následujícím postupem povolíte spravovanou identitu pro úložiště a pak uzamknete svůj účet úložiště. Předpokládá se, že jste už vytvořili účet Video Indexeru a přidružovali ho.

Přiřazení spravované identity a role

Postupujte podle všech kroků pro vytvoření účtu Azure AI Video Indexeru, ale použijte také následující postup:

  1. Když vyberete Přiřadit roli, přiřadí se následující role: Azure Media Services : Contributor a Azure Storage : Storage Blob Data Owner. Přiřazení můžete ověřit nebo ručně nastavit tak, že přejdete do nabídky Identita účtu Video Indexeru a vyberete Přiřazení rolí Azure.
  2. Přejděte ke svému účtu úložiště. V nabídce vyberte Sítě a v části Přístup k veřejné síti vyberte Povoleno z vybraných virtuálních sítí a IP adres.
  3. V části Výjimky se ujistěte, že je zaškrtnuté políčko Povolit službám Azure v seznamu důvěryhodných služeb přístup k tomuto účtu úložiště.

Nahrání z uzamčeného účtu úložiště

Při nahrávání souboru do Video Indexeru můžete poskytnout odkaz na video pomocí lokátoru SAS. Pokud účet úložiště hostující video není veřejně přístupný, použijte přístup spravované identity a důvěryhodné služby. Vzhledem k tomu, že neexistuje způsob, jak zjistit, jestli adresa URL SAS ukazuje na uzamčený účet úložiště, explicitně nastavte parametr useManagedIdentityToDownloadVideo dotazu na true volání rozhraní API pro nahrávání videa.

Musíte také nastavit roli Azure Storage : Storage Blob Data Owner pro tento účet úložiště, jak jste to udělali s účtem úložiště.