次の方法で共有


Azure Storage へのインデクサー接続を信頼できるサービスとして作成する

Azure AI Search では、Azure BLOB にアクセスするインデクサーは、信頼されたサービス例外 を使用して、BLOB に安全にアクセスできます。 このメカニズムにより、IP ファイアウォール規則を使用してインデクサーにアクセス権を付与できないお客様に対して、ストレージ アカウントのデータにアクセスするための簡単、安全かつ無料の代替手段が提供されます。

Note

Azure Storage がファイアウォールの内側にあり、Azure AI Search と同じリージョンにある場合、検索サービスからの要求を許可する受信規則を作成することはできません。 この記事で説明するように、このシナリオの解決策は、検索が信頼できるサービスとして接続することです。

前提条件

  • システム割り当てマネージド ID を使用する検索サービスです (「サービス ID を確認する」を参照してください)。

  • [信頼された Microsoft サービスによるこのストレージ アカウントに対するアクセスを許可します] ネットワーク オプションを使用するストレージ アカウント (「ネットワーク設定を確認する」を参照してください)。

  • 検索サービスのシステム割り当てマネージド ID にアクセス許可を付与する Azure Storage での Azure ロールの割り当て (「アクセス許可を確認する」を参照してください)。

Note

Azure AI Search では、信頼できるサービス接続は、Azure Storage 上の BLOB と ADLS Gen2 に制限されます。 Azure Table Storage と Azure Files へのインデクサー接続ではサポートされていません。

信頼されたサービス接続では、システム マネージド ID を使用する必要があります。 このシナリオでは、ユーザー割り当てマネージド ID は現在サポートされていません。

サービス ID を確認する

  1. Azure portal にサインインし、ご利用の検索サービスを探します

  2. [ID] ページで、システム割り当て ID が有効化されていることを確認します。 現在プレビューで表示されているユーザー割り当てマネージド ID は、信頼されたサービス接続では機能しないことに注意してください。

    システム ID オブジェクト識別子のスクリーンショット。

ネットワーク設定を確認する

  1. Azure portal にサインインして、目的のストレージ アカウントを見つけます

  2. ナビゲーション ウィンドウの [セキュリティとネットワーク] で [ネットワーク] を選択します。

  3. [ファイアウォールと仮想ネットワーク] タブで、「選択したネットワーク」からのアクセス を許可します。

  4. [例外] セクション まで下にスクロールします。

    ポータル内の Azure Storage 用のファイアウォールとネットワークのページのスクリーンショット。

  5. [信頼された Azure サービスによるストレージ アカウントへのアクセスを許可する] が選択されていることを確認します。

    ストレージ アカウントへのロールベースのアクセス権がお使いの検索サービスに与えられているとき、Azure Storage への接続が IP ファイアウォール規則によって保護されている場合でも、データにアクセスできます。

アクセス許可を確認する

システム マネージド ID は、Microsoft Entra サービス プリンシパルです。 割り当てには、少なくともストレージ BLOB データ閲覧者が必要です。

  1. Access Control の左側のナビゲーション ウィンドウで、すべてのロールの割り当てを表示し、[Storage Blob Data Reader] が検索サービス システム ID に割り当てられていることを確認します。

  2. 書き込みアクセスが必要な場合は、Storage Blob データ共同作成者を追加します。

    書き込みアクセスを必要とする機能には、エンリッチメント キャッシュデバッグ セッションナレッジ ストアなどがあります。

接続を設定してテストする

接続をテストする最も簡単な方法は、[データのインポートウィザード] を実行することです。

  1. [データのインポート ウィザード] を開始し、Azure Blob Storage または Azure Data Lake Storage Gen2 を選択します。

  2. ストレージ アカウントへの接続を選択し、[システム割り当て] を選択します。 [次へ] を選択して接続を呼び出します。 インデックス スキーマが検出されると、接続は成功です。

    [データのインポート] ウィザードの [データ ソースの接続] ページのスクリーンショット。

関連項目