관리 ID 및 가상 네트워크를 사용하여 보안 액세스 구성
이 콘텐츠는 v4.0(GA) v3.1(GA) v3.0(GA) v2.1(GA)에 적용됩니다.
이 방법 가이드에서는 Document Intelligence 리소스에 보안 연결을 사용하도록 설정하는 프로세스를 안내합니다. 다음 연결의 보안을 유지할 수 있습니다.
Virtual Network(
VNET
) 내의 클라이언트 응용 프로그램과 Document Intelligence 리소스 간의 통신Document Intelligence Studio와 Document Intelligence 리소스 간의 통신 F
Document Intelligence 리소스와 스토리지 계정 간의 통신(사용자 지정 모델을 학습시킬 때 필요)
리소스를 보호하기 위해 환경을 설정합니다.
필수 조건
시작하려면 다음이 필요합니다.
Azure Portal의 Document Intelligence 또는 Azure AI 서비스 리소스 자세한 단계는 Azure AI 서비스 리소스 만들기를 참조하세요.
Document Intelligence 리소스와 동일한 지역의 Azure Blob Storage 계정. 스토리지 계정 내에서 Blob 데이터를 저장하고 구성하는 컨테이너를 만듭니다.
Document Intelligence 리소스와 동일한 지역의 Azure 가상 네트워크. 모델을 학습시키고 문서를 분석하는 애플리케이션 리소스를 배포하기 위한 가상 네트워크를 만듭니다.
Windows 또는 Linux/Ubuntu용 Azure 데이터 과학 VM은 선택적으로 가상 네트워크에 데이터 과학 VM을 배포하여 설정되는 보안 연결을 테스트합니다.
리소스 구성
리소스가 서로 통신할 수 있도록 각 리소스를 구성합니다.
설정 페이지에 액세스하고 리소스를 선택하여 새로 만든 Document Intelligence 리소스를 사용하도록 Document Intelligence Studio를 구성합니다.
Read API를 선택하고 샘플 문서를 분석하여 구성이 작동하는지 확인하고 유효성을 검사합니다. 리소스가 올바르게 구성된 경우 요청이 성공적으로 완료됩니다.
만든 스토리지 계정의 컨테이너에 학습 데이터 세트를 추가합니다.
사용자 지정 모델 타일을 선택하여 사용자 지정 프로젝트를 만듭니다. 이전 단계에서 만든 동일한 Document Intelligence 리소스 및 스토리지 계정을 선택해야 합니다.
이전 단계에서 업로드한 학습 데이터 세트가 있는 컨테이너를 선택합니다. 학습 데이터 세트가 폴더 내에 있는 경우 폴더 경로가 적절하게 설정되었는지 확인합니다.
필요한 권한이 있는 경우 Studio가 스토리지 계정에 액세스하는 데 필요한 CORS 설정을 지정하는지 확인합니다. 권한이 없는 경우 계속 진행하려면 CORS 설정이 Storage 계정에 구성되어 있는지 확인해야 합니다.
Studio가 학습 데이터에 액세스하도록 구성되어 있는지 확인하고 유효성을 검사합니다. 레이블 지정 환경에서 문서를 볼 수 있는 경우 필요한 모든 연결이 설정됩니다.
이제 기본 보안 모델을 사용하여 Document Intelligence 솔루션을 빌드하는 데 필요한 모든 구성 요소 구현이 작동되고 있습니다.
이제 다음 단계를 완료합니다.
문서 인텔리전스 리소스에서 관리 ID를 구성합니다.
특정 가상 네트워크 및 IP 주소의 트래픽만 제한하도록 스토리지 계정을 보호합니다.
스토리지 계정과 통신하도록 Document Intelligence 관리 ID를 구성합니다.
문서 인텔리전스 리소스에 대한 퍼블릭 액세스를 사용하지 않도록 설정하고 프라이빗 엔드포인트를 만듭니다. 그러면 특정 가상 네트워크 및 IP 주소에서만 리소스에 액세스할 수 있습니다.
선택한 가상 네트워크에서 스토리지 계정에 대한 프라이빗 엔드포인트를 추가합니다.
가상 네트워크 내에서 모델을 학습시키고 문서를 분석할 수 있는지 확인하고 유효성을 검사합니다.
Document Intelligence의 관리 ID 설정
Azure Portal의 Document Intelligence 리소스로 이동하고 ID 탭을 선택합니다. 시스템 할당 관리 ID를 켜기로 전환하고 변경 내용을 저장합니다.
스토리지 계정 보호
Azure Portal에서 스토리지 계정의 네트워킹 탭으로 이동하여 보안 통신을 구성하기 시작합니다.
방화벽 및 가상 네트워크의 공용 네트워크 액세스 목록에서 선택한 가상 네트워크 및 IP 주소에서 사용을 선택합니다.
예외 목록에서 신뢰할 수 있는 서비스 목록의 Azure 서비스가 이 스토리지 계정에 액세스하도록 허용이 선택되었는지 확인합니다.
변경 내용을 저장합니다.
참고 항목
공용 인터넷에서 스토리지 계정에 액세스할 수 없습니다.
Studio에서 사용자 지정 모델 레이블 지정 페이지를 새로 고치면 오류 메시지가 표시됩니다.
Document Intelligence에서 스토리지에 대한 액세스 사용
Document Intelligence 리소스가 학습 데이터 세트에 액세스할 수 있도록 하려면 관리 ID에 대한 역할 할당을 추가해야 합니다.
Azure Portal의 스토리지 계정 창에 있는 상태에서 왼쪽 탐색 모음의 액세스 제어(IAM) 탭으로 이동합니다.
역할 할당 추가 단추를 선택합니다.
역할 탭에서 Storage Blob 데이터 기여자 권한을 선택하고 다음을 선택합니다.
멤버 탭에서 관리 ID 옵션을 선택하고 + 멤버 선택을 선택합니다.
관리 ID 선택 대화 상자 창에서 다음 옵션을 선택합니다.
구독. 구독을 선택합니다.
관리 ID. Form Recognizer를 선택합니다.
선택 관리 ID로 사용하도록 설정한 Document Intelligence 리소스를 선택합니다.
대화 상자 창을 닫습니다.
마지막으로 검토 + 할당을 선택하여 변경 내용을 저장합니다.
좋습니다! 관리 ID를 사용하여 스토리지 계정에 연결하도록 Document Intelligence 리소스를 구성했습니다.
팁
Document Intelligence Studio를 사용하려고 하면 READ API 및 기타 미리 빌드된 모델에 문서를 처리하는 데 스토리지 액세스 권한이 필요하지 않다는 것을 확인할 수 있습니다. 그러나 Studio에서 스토리지 계정과 직접 통신할 수 없으므로 사용자 지정 모델을 학습시키려면 추가 구성이 필요합니다. 스토리지 계정의 네트워킹 탭에서 클라이언트 IP 주소 추가를 선택하여 IP 허용 목록을 통해 스토리지 계정에 액세스하도록 머신을 구성함으로써 스토리지 액세스를 사용하도록 설정할 수 있습니다.
VNET
에서 액세스하기 위해 프라이빗 엔드포인트 구성
참고 항목
리소스는 가상 네트워크에서만 액세스할 수 있습니다.
자동 레이블과 같은 Studio의 일부 Document Intelligence 기능을 사용하려면 Document Intelligence Studio에서 스토리지 계정에 액세스할 수 있어야 합니다.
Document Intelligence 및 Storage 계정 리소스 모두에 대한 방화벽 허용 목록에 Studio IP 주소 20.3.165.95를 추가합니다. 문서 인텔리전스 스튜디오의 전용 IP 주소이며 안전하게 허용할 수 있습니다.
가상 네트워크에서 리소스에 연결할 때 프라이빗 엔드포인트를 추가하면 가상 네트워크에서 스토리지 계정과 Document Intelligence 리소스 둘 다에 액세스할 수 있습니다.
다음으로 가상 네트워크 내의 리소스 또는 네트워크를 통한 트래픽 라우터만 Document Intelligence 리소스 및 스토리지 계정에 액세스할 수 있도록 가상 네트워크를 구성합니다.
방화벽 및 가상 네트워크 사용
Azure Portal에서 Document Intelligence 리소스로 이동합니다.
왼쪽 탐색 모음에서 네트워킹 탭을 선택합니다.
방화벽 및 가상 네트워크 탭에서 선택한 네트워킹 및 프라이빗 엔드포인트 옵션을 사용하도록 설정하고 저장을 선택합니다.
참고 항목
Document Intelligence Studio 기능에 액세스하려고 하면 액세스 거부 메시지가 표시됩니다. 컴퓨터의 Studio에서 액세스를 사용하도록 설정하려면 클라이언트 IP 주소 추가 확인란을 선택하고 저장을 선택하여 액세스를 복원합니다.
프라이빗 엔드포인트 구성
프라이빗 엔드포인트 연결 탭으로 이동하고 + 프라이빗 엔드포인트를 선택합니다. 프라이빗 엔드포인트 만들기 대화 상자 페이지로 이동됩니다.
프라이빗 엔드포인트 만들기 대화 상자 페이지에서 다음 옵션을 선택합니다.
구독. 청구 구독을 선택합니다.
리소스 그룹. 해당 리소스 그룹을 선택합니다.
이름. 프라이빗 엔드포인트에 대한 이름을 입력합니다.
지역. 가상 네트워크와 동일한 지역을 선택합니다.
다음: 리소스를 선택합니다.
가상 네트워크 구성
리소스 탭에서 기본값을 적용하고 다음: 가상 네트워크를 선택합니다.
Virtual Network 탭에서 만든 가상 네트워크를 선택했는지 확인합니다.
서브넷이 여러 개인 경우 프라이빗 엔드포인트를 연결할 서브넷을 선택합니다. IP 주소를 동적으로 할당하려면 기본값을 적용합니다.
다음: DNS를 선택합니다.
프라이빗 DNS 영역과 통합에 대해 기본값 예를 적용합니다.
나머지 기본값을 수락하고 다음: 태그를 선택합니다.
완료되면 다음: 리뷰 + 만들기를 클릭합니다.
모두 완료되었습니다! 이제 Document Intelligence 리소스는 가상 네트워크 및 IP 허용 목록의 임의 IP 주소에서만 액세스할 수 있습니다.
스토리지에 대한 프라이빗 엔드포인트 구성
Azure Portal의 스토리지 계정으로 이동합니다.
왼쪽 탐색 메뉴에서 네트워킹 탭을 선택합니다.
프라이빗 엔드포인트 연결 탭을 선택합니다.
+ 프라이빗 엔드포인트 추가를 선택합니다.
이름을 입력하고 가상 네트워크와 동일한 지역을 선택합니다.
다음: 리소스를 선택합니다.
리소스 탭의 대상 하위 리소스 목록에서 Blob을 선택합니다.
다음: 가상 네트워크를 선택합니다.
가상 네트워크 및 서브넷을 선택합니다. 이 서브넷의 모든 프라이빗 엔드포인트에 대해 네트워크 정책 사용이 선택되어 있고 동적으로 IP 주소 할당이 사용하도록 설정되어 있는지 확인합니다.
다음: DNS를 선택합니다.
프라이빗 DNS 영역과 통합에 대해 예가 사용하도록 설정되어 있는지 확인합니다.
완료되면 다음: 태그를 선택합니다.
완료되면 다음: 리뷰 + 만들기를 클릭합니다.
잘했습니다! 이제 관리 ID를 사용하도록 구성된 Document Intelligence 리소스와 스토리지가 모두 연결되어 있습니다.
참고 항목
리소스는 가상 네트워크 및 허용된 IP에서만 액세스할 수 있습니다.
요청이 가상 네트워크에서 시작되거나 가상 네트워크를 통해 라우팅 되지 않는 한, Document Intelligence 리소스에 대한 Studio 액세스 및 분석 요청이 실패합니다.
배포 확인
배포의 유효성을 검사하려면 가상 네트워크에 VM(가상 머신)을 배포하고 리소스에 연결할 수 있습니다.
가상 네트워크에서 Data Science VM을 구성합니다.
데스크톱에서 VM에 원격으로 연결하고 브라우저 세션을 시작하여 Document Intelligence Studio에 액세스합니다.
요청을 분석합니다. 그러면 학습 작업이 성공적으로 작동해야 합니다.
정말 간단하죠. 이제 관리 ID 및 프라이빗 엔드포인트를 사용하여 Document Intelligence 리소스에 대한 보안 액세스를 구성할 수 있습니다.
일반적인 오류 메시지
Blob 컨테이너에 액세스하지 못했습니다.
해결 방법:
클라이언트 컴퓨터가 동일한
VNET
에 있는 문서 인텔리전스 리소스 및 스토리지 계정에 액세스할 수 있는지 확인하거나, 문서 인텔리전스 리소스와 스토리지 계정 모두의 네트워킹 > 방화벽과 가상 네트워크 설정 페이지에서 클라이언트 IP 주소가 허용되는지 확인합니다.
AuthorizationFailure:
해결 방법: 클라이언트 컴퓨터가 동일한
VNET
에 있는 문서 인텔리전스 리소스 및 스토리지 계정에 액세스할 수 있는지 확인하거나, 문서 인텔리전스 리소스와 스토리지 계정 모두의 네트워킹 > 방화벽과 가상 네트워크 설정 페이지에서 클라이언트 IP 주소가 허용되는지 확인합니다.ContentSourceNotAccessible:
해결 방법: 문서 인텔리전스 관리 ID에 Storage Blob 데이터 기여자 역할을 부여하고 네트워킹 탭에서 신뢰할 수 있는 서비스 액세스 또는 리소스 인스턴스 규칙을 사용하도록 설정했는지 확인합니다.
AccessDenied:
해결 방법: 클라이언트 컴퓨터가 동일한
VNET
에 있는 문서 인텔리전스 리소스 및 스토리지 계정에 액세스할 수 있는지 확인하거나, 문서 인텔리전스 리소스와 스토리지 계정 모두의 네트워킹 > 방화벽과 가상 네트워크 설정 페이지에서 클라이언트 IP 주소가 허용되는지 확인합니다.