Připojení ke službě Azure Storage pomocí spravované identity (Azure AI Search)
Tento článek vysvětluje, jak nakonfigurovat připojení vyhledávací služby k účtu azure Storage pomocí spravované identity místo zadání přihlašovacích údajů v připojovací řetězec.
Můžete použít spravovanou identitu přiřazenou systémem nebo spravovanou identitu přiřazenou uživatelem. Spravované identity jsou přihlášení Microsoft Entra a vyžadují přiřazení rolí pro přístup ke službě Azure Storage.
Požadavky
Poznámka:
Pokud je úložiště chráněné sítí a ve stejné oblasti jako vyhledávací služba, musíte použít spravovanou identitu přiřazenou systémem a jednu z následujících možností sítě: připojit se jako důvěryhodnou službu nebo se připojit pomocí pravidla instance prostředku.
Vytvoření přiřazení role ve službě Azure Storage
Přihlaste se k webu Azure Portal a vyhledejte svůj účet úložiště.
Vyberte Řízení přístupu (IAM) .
Vyberte Přidat a pak vyberte Přiřazení role.
V seznamu rolí funkcí úloh vyberte role potřebné pro vaši vyhledávací službu:
Úloha Přiřazení role Indexování objektů blob pomocí indexeru Přidání čtečky dat objektů blob služby Storage Indexování ADLS Gen2 pomocí indexeru Přidání čtečky dat objektů blob služby Storage Indexování tabulek pomocí indexeru Přidání čtečky a přístupu k datům Indexování souborů pomocí indexeru Přidání čtečky a přístupu k datům Zápis do úložiště znalostí Přidání DataContributoru objektu blob služby Storage pro projekce objektů a souborů a Čtenář a Přístup k datům pro projekce tabulek Zápis do mezipaměti pro rozšiřování Přidání přispěvatele dat objektů blob úložiště Uložení stavu relace ladění Přidání přispěvatele dat objektů blob úložiště Vyberte Další.
Vyberte Spravovanou identitu a pak vyberte Členové.
Filtrování podle spravovaných identit přiřazených systémem nebo spravovaných identit přiřazených uživatelem Měla by se zobrazit spravovaná identita, kterou jste dříve vytvořili pro vyhledávací službu. Pokud ho nemáte, přečtěte si téma Konfigurace vyhledávání pro použití spravované identity. Pokud jste ho už nastavili, ale není k dispozici, dejte mu pár minut.
Vyberte identitu a uložte přiřazení role.
Určení spravované identity v připojovací řetězec
Jakmile budete mít přiřazení role, můžete nastavit připojení ke službě Azure Storage, která funguje v rámci této role.
Indexery používají objekt zdroje dat pro připojení k externímu zdroji dat. Tato část vysvětluje, jak určit spravovanou identitu přiřazenou systémem nebo spravovanou identitu přiřazenou uživatelem ve zdroji dat připojovací řetězec. Další připojovací řetězec příklady najdete v článku o spravované identitě.
Tip
Připojení ke zdroji dat ke službě Azure Storage můžete vytvořit na webu Azure Portal, zadat spravovanou identitu přiřazenou systémem nebo uživatelem a pak zobrazit definici JSON a podívat se, jak se připojovací řetězec formuluje.
Spravovaná identita přiřazená systémem
Spravovanou identitu přiřazenou systémem už musíte mít nakonfigurovanou a musí mít v Azure Storage přiřazenou roli.
Pro připojení vytvořená pomocí spravované identity přiřazené systémem je jedinou změnou definice zdroje dat formát credentials vlastnosti.
ResourceId Zadejte klíč účtu ani heslo. Musí ResourceId obsahovat ID předplatného účtu úložiště, skupinu prostředků účtu úložiště a název účtu úložiště.
POST https://[service name].search.windows.net/datasources?api-version=2024-07-01
{
"name" : "blob-datasource",
"type" : "azureblob",
"credentials" : {
"connectionString" : "ResourceId=/subscriptions/00000000-0000-0000-0000-00000000/resourceGroups/MY-DEMO-RESOURCE-GROUP/providers/Microsoft.Storage/storageAccounts/MY-DEMO-STORAGE-ACCOUNT/;"
},
"container" : {
"name" : "my-container", "query" : "<optional-virtual-directory-name>"
}
}
Spravovaná identita přiřazená uživatelem
Spravovanou identitu přiřazenou uživatelem musíte mít už nakonfigurovanou a přidruženou k vaší vyhledávací službě a identita musí mít v Azure Storage přiřazenou roli.
Připojení prováděná prostřednictvím spravovaných identit přiřazených uživatelem používají stejné přihlašovací údaje jako spravovaná identita přiřazená systémem a navíc vlastnost další identity, která obsahuje kolekci spravovaných identit přiřazených uživatelem. Při vytváření zdroje dat by se měla poskytnout pouze jedna spravovaná identita přiřazená uživatelem. Nastavte userAssignedIdentity spravovanou identitu přiřazenou uživatelem.
ResourceId Zadejte klíč účtu ani heslo. Musí ResourceId obsahovat ID předplatného účtu úložiště, skupinu prostředků účtu úložiště a název účtu úložiště.
identity Zadejte použití syntaxe uvedené v následujícím příkladu.
POST https://[service name].search.windows.net/datasources?api-version=2024-07-01
{
"name" : "blob-datasource",
"type" : "azureblob",
"credentials" : {
"connectionString" : "ResourceId=/subscriptions/00000000-0000-0000-0000-00000000/resourceGroups/MY-DEMO-RESOURCE-GROUP/providers/Microsoft.Storage/storageAccounts/MY-DEMO-STORAGE-ACCOUNT/;"
},
"container" : {
"name" : "my-container", "query" : "<optional-virtual-directory-name>"
},
"identity" : {
"@odata.type": "#Microsoft.Azure.Search.DataUserAssignedIdentity",
"userAssignedIdentity" : "/subscriptions/00000000-0000-0000-0000-00000000/resourcegroups/MY-DEMO-RESOURCE-GROUP/providers/Microsoft.ManagedIdentity/userAssignedIdentities/MY-DEMO-USER-MANAGED-IDENTITY"
}
}
Informace o připojení a oprávnění ke vzdálené službě se během provádění indexeru ověřují za běhu. Pokud je indexer úspěšný, syntaxe připojení a přiřazení rolí jsou platné. Další informace najdete v tématu Spuštění nebo resetování indexerů, dovedností nebo dokumentů.
Přístup k síťovým zabezpečeným datům v účtech úložiště
Účty úložiště Azure je možné dále zabezpečit pomocí bran firewall a virtuálních sítí. Pokud chcete indexovat obsah z účtu úložiště, který je zabezpečený pomocí brány firewall nebo virtuální sítě, přečtěte si téma Nastavení připojení indexeru ke službě Azure Storage jako důvěryhodné služby.