Configuración de Video Indexer para trabajar con cuentas de almacenamiento detrás del firewall
Al crear una cuenta de Video Indexer, debe asociarla a una cuenta de Azure Storage. Las cuentas de almacenamiento de VI deben ser una cuenta de almacenamiento estándar de uso general v2. Video Indexer puede acceder a la cuenta de almacenamiento mediante la autenticación del sistema o la autenticación de identidad administrada. Video Indexer valida que el usuario que agrega la asociación tiene acceso a la cuenta de almacenamiento con el control de acceso basado en rol (RBAC) de Azure Resource Manager.
Si desea usar un firewall para proteger la cuenta de almacenamiento y habilitar el almacenamiento de confianza, la autenticación de identidades administradas que permite el acceso de Video Indexer a través del firewall es la opción preferida. Permite que Video Indexer acceda a la cuenta de almacenamiento que se ha configurado sin necesidad de acceso público para el acceso de almacenamiento de confianza.
Importante
Es importante comprender las implicaciones si bloquea las cuentas de almacenamiento sin acceso público, especialmente en relación con el portal de Video Indexer. La dirección IP de origen del dispositivo cliente es fundamental en este escenario. Si la cuenta de almacenamiento está bloqueada y no tiene una excepción para la dirección IP de origen, se denegará el acceso a la dirección URL de SAS del archivo de origen de vídeo. Esto se aplica tanto a la descarga como al streaming de contenido de vídeo.
Para garantizar el acceso sin problemas, se recomienda trabajar estrechamente con el administrador de red o almacenamiento para adaptarse a estos requisitos. Use la red corporativa, una VPN o Azure Private Link para proporcionar la conectividad necesaria mientras mantiene la posición de seguridad de las cuentas de almacenamiento.
Por ejemplo, Azure Private Link proporciona una manera segura de acceder a los servicios de Azure de forma privada desde la red virtual. Simplifica la arquitectura de red y protege la conexión entre los puntos de conexión de Azure mediante la eliminación de la exposición de los datos a la red pública de Internet.
Los cambios en las configuraciones de red deben planearse y probarse cuidadosamente para evitar interrumpir el acceso a los servicios y recursos esenciales.
Siga estos pasos para habilitar la identidad administrada para Storage y, a continuación, bloquear la cuenta de almacenamiento. Se supone que ya ha creado una cuenta de Video Indexer y que ha asociado la cuenta de almacenamiento.
Asignación de la identidad administrada y el rol
Siga todos los pasos para crear una cuenta de Video Indexer de Azure AI, pero siga estos pasos:
- Al seleccionar Asignar rol, se asignan los siguientes roles:
Azure Media Services : ContributoryAzure Storage : Storage Blob Data Owner. Para comprobar o establecer manualmente las asignaciones, vaya al menú Identidad de la cuenta de Video Indexer y seleccione Asignaciones de roles de Azure. - Vaya a la Cuenta de almacenamiento. Seleccione Redes en el menú y seleccione Habilitado en redes virtuales seleccionadas y direcciones IP en la sección Acceso a la red pública.
- En Excepciones, asegúrese de que la opción Permitir que los servicios de Azure en la lista de servicios de confianza accedan a esta cuenta de almacenamiento está seleccionada.
Carga desde una cuenta de almacenamiento bloqueada
Al cargar un archivo en Video Indexer, puede proporcionar un vínculo a un vídeo mediante un localizador de SAS. Si la cuenta de almacenamiento que hospeda el vídeo no es accesible públicamente, use el enfoque identidad administrada y servicio de confianza. Dado que no hay ninguna manera de saber si una dirección URL de SAS apunta a una cuenta de almacenamiento bloqueada, establezca explícitamente el parámetro useManagedIdentityToDownloadVideo true de consulta en en la llamada a la API upload-video.
También debe establecer el rol Azure Storage : Storage Blob Data Owner en esta cuenta de almacenamiento como hizo con la cuenta de almacenamiento.