Freigeben über


Herstellen von Indexerverbindungen mit Azure Storage als vertrauenswürdigem Dienst

In Azure KI Search können Indexer mit Zugriff auf Azure-Blobs die Ausnahme für vertrauenswürdige Dienste verwenden, um sicher auf Blobs zuzugreifen. Dieser Mechanismus bietet Kunden, die Indexer keinen Zugriff über IP-Firewallregeln gewähren können, eine einfache, sichere und kostenlose Alternative für den Zugriff auf Daten in Speicherkonten.

Hinweis

Wenn Sich Azure Storage hinter einer Firewall und in derselben Region wie Azure KI Search befindet, können Sie keine eingehende Regel erstellen, die Anforderungen von Ihrem Suchdienst zulässt. Die Lösung für dieses Szenario ist Search als vertrauenswürdigen Dienst verbinden zu lassen, wie in diesem Artikel beschrieben.

Voraussetzungen

Hinweis

In Azure KI Search ist eine vertrauenswürdige Dienstverbindung auf Blobs und ADLS Gen2 in Azure Storage beschränkt. Sie wird für Indexerverbindungen mit Azure Table Storage und Azure Files nicht unterstützt.

Eine vertrauenswürdige Dienstverbindung muss eine vom System verwaltete Identität verwenden. Eine benutzerseitig zugewiesene verwaltete Identität wird für dieses Szenario derzeit nicht unterstützt.

Überprüfen der Dienstidentität

  1. Melden Sie sich beim Azure-Portal an, und finden Sie Ihren Suchdienst.

  2. Vergewissern Sie sich auf der Seite Identität, dass eine systemseitig zugewiesene Identität aktiviert ist. Denken Sie daran, dass benutzerseitig zugewiesene verwaltete Identitäten (derzeit in der Vorschauphase) bei einer vertrauenswürdigen Dienstverbindung nicht funktionieren.

    Screenshot eines Objektbezeichners für eine Systemidentität

Netzwerkeinstellungen überprüfen

  1. Melden Sie sich beim Azure-Portal an, und suchen Sie Ihr Speicherkonto.

  2. Wählen Sie im Navigationsbereich auf der linken Seite unter Sicherheit + Netzwerkbetrieb die Option Netzwerk aus.

  3. Wählen Sie auf der Registerkarte Firewalls und virtuelle Netzwerke unter „Zugriff erlauben von:“ die Option Ausgewählte Netzwerke aus.

  4. Scrollen Sie nach unten zum Abschnitt Ausnahmen.

    Screenshot der Seite für Firewall und Netzwerk für Azure Storage im Azure-Portal.

  5. Vergewissern Sie sich, dass das Kontrollkästchen für Erlauben Sie Azure-Diensten auf der Liste der vertrauenswürdigen Dienste den Zugriff auf dieses Speicherkonto. aktiviert ist.

    Vorausgesetzt, Ihr Suchdienst verfügt über rollenbasierten Zugriff auf das Speicherkonto, kann er auch dann auf Daten zugreifen, wenn Verbindungen mit Azure Storage durch IP-Firewallregeln gesichert sind.

Berechtigungen überprüfen

Eine vom System verwaltete Identität ist ein Microsoft Entra-Dienstprinzipal. Die Zuweisung benötigt mindestens den Speicher-BLOB-Datenleser.

  1. Zeigen Sie im linken Navigationsbereich unter Zugriffssteuerung alle Rollenzuweisungen an, und stellen Sie sicher, dass Storage-Blobdatenleser der Identität des Suchdienstsystems zugewiesen ist.

  2. Fügen Sie Mitwirkender an Storage-Blobdaten hinzu, wenn Schreibzugriff benötigt wird.

    Features, die Schreibzugriff erfordern, umfassen Anreicherungszwischenspeicherung, Debugsitzungenund Wissensspeicher.

Einrichten und Testen der Verbindung

Am einfachsten können Sie die Verbindung testen, indem Sie den Datenimport-Assistenten ausführen.

  1. Starten Sie den Datenimport-Assistenten, und wählen Sie Azure Blob Storage oder Azure Data Lake Storage Gen2 aus.

  2. Wählen Sie eine Verbindung mit Ihrem Speicherkonto und dann Systemseitig zugewiesen aus. Wählen Sie Weiter aus, um eine Verbindung aufzurufen. Wenn das Indexschema erkannt wird, war die Verbindung erfolgreich.

    Screenshot: Seite „Datenquellenverbindung“ des Datenimport-Assistenten.

Weitere Informationen