Konfigurowanie bezpiecznego dostępu przy użyciu tożsamości zarządzanych i sieci wirtualnych
Ta zawartość dotyczy: v4.0 (GA) v3.1 (GA) v3.0 (GA) v2.1 (GA)
Ten przewodnik z instrukcjami przeprowadzi Cię przez proces włączania bezpiecznych połączeń dla zasobu analizy dokumentów. Można zabezpieczyć następujące połączenia:
Komunikacja między aplikacją kliencką w ramach sieci wirtualnej (
VNET
) i zasobu analizy dokumentów.Komunikacja między programem Document Intelligence Studio a zasobem analizy dokumentów. F
Komunikacja między zasobem analizy dokumentów a kontem magazynu (wymaganym podczas trenowania modelu niestandardowego).
Konfigurujesz środowisko w celu zabezpieczenia zasobów:
Wymagania wstępne
Aby rozpocząć pracę, potrzebne będą następujące elementy:
Aktywne konto platformy Azure — jeśli go nie masz, możesz utworzyć bezpłatne konto.
Zasób analizy dokumentów lub usług Azure AI w witrynie Azure Portal. Aby uzyskać szczegółowe instrukcje, zobacz Create an Azure AI services resource (Tworzenie zasobu usług AI platformy Azure).
Konto usługi Azure Blob Storage w tym samym regionie co zasób analizy dokumentów. Utwórz kontenery do przechowywania i organizowania danych obiektów blob na koncie magazynu.
Sieć wirtualna platformy Azure w tym samym regionie co zasób analizy dokumentów. Utwórz sieć wirtualną, aby wdrożyć zasoby aplikacji w celu trenowania modeli i analizowania dokumentów.
Maszyna wirtualna do nauki o danych platformy Azure dla systemu Windows lub Linux/Ubuntu w celu opcjonalnego wdrożenia maszyny wirtualnej do nauki o danych w sieci wirtualnej w celu przetestowania ustanowić bezpieczne połączenia.
Konfigurowanie zasobów
Skonfiguruj poszczególne zasoby, aby upewnić się, że zasoby mogą komunikować się ze sobą:
Skonfiguruj program Document Intelligence Studio tak, aby korzystał z nowo utworzonego zasobu analizy dokumentów, korzystając ze strony ustawień i wybierając zasób.
Upewnij się, że konfiguracja działa, wybierając interfejs API odczytu i analizując przykładowy dokument. Jeśli zasób został poprawnie skonfigurowany, żądanie zostanie pomyślnie zakończone.
Dodaj zestaw danych trenowania do kontenera na utworzonym koncie usługi Storage.
Wybierz kafelek modelu niestandardowego, aby utworzyć projekt niestandardowy. Upewnij się, że wybrano ten sam zasób analizy dokumentów i konto magazynu utworzone w poprzednim kroku.
Wybierz kontener z zestawem danych trenowania przekazanym w poprzednim kroku. Upewnij się, że jeśli zestaw danych trenowania znajduje się w folderze, ścieżka folderu jest odpowiednio ustawiona.
Upewnij się, że masz wymagane uprawnienia, program Studio ustawia ustawienie MECHANIZMU CORS wymagane do uzyskania dostępu do konta magazynu. Jeśli nie masz uprawnień, przed kontynuowaniem musisz upewnić się, że ustawienia mechanizmu CORS są skonfigurowane na koncie magazynu.
Upewnij się, że program Studio jest skonfigurowany do uzyskiwania dostępu do danych treningowych. Jeśli dokumenty są widoczne w środowisku etykietowania, zostaną nawiązane wszystkie wymagane połączenia.
Masz teraz działającą implementację wszystkich składników potrzebnych do utworzenia rozwiązania analizy dokumentów z domyślnym modelem zabezpieczeń:
Następnie wykonaj następujące kroki:
Skonfiguruj tożsamość zarządzaną w zasobie analizy dokumentów.
Zabezpiecz konto magazynu, aby ograniczyć ruch tylko z określonych sieci wirtualnych i adresów IP.
Skonfiguruj tożsamość zarządzaną analizy dokumentów w celu komunikowania się z kontem magazynu.
Wyłącz publiczny dostęp do zasobu analizy dokumentów i utwórz prywatny punkt końcowy. Zasób jest następnie dostępny tylko z określonych sieci wirtualnych i adresów IP.
Dodaj prywatny punkt końcowy dla konta magazynu w wybranej sieci wirtualnej.
Upewnij się, że możesz trenować modele i analizować dokumenty z poziomu sieci wirtualnej.
Konfigurowanie tożsamości zarządzanej na potrzeby analizy dokumentów
Przejdź do zasobu analizy dokumentów w witrynie Azure Portal i wybierz kartę Tożsamość . Przełącz tożsamość zarządzaną przypisaną przez system na wartość Włączone i zapisz zmiany:
Zabezpieczanie konta magazynu
Rozpocznij konfigurowanie bezpiecznej komunikacji, przechodząc do karty Sieć na koncie magazynu w witrynie Azure Portal.
W obszarze Zapory i sieci wirtualne wybierz pozycję Włączone z wybranych sieci wirtualnych i adresów IP z listy Dostęp do sieci publicznej.
Upewnij się, że pozycja Zezwalaj usługom platformy Azure na liście zaufanych usług na dostęp do tego konta magazynu została wybrana z listy Wyjątki .
Zapisz swoje zmiany.
Uwaga
Twoje konto magazynu nie będzie dostępne z publicznego Internetu.
Odświeżenie strony etykietowania modelu niestandardowego w programie Studio spowoduje wyświetlenie komunikatu o błędzie.
Włączanie dostępu do magazynu z poziomu analizy dokumentów
Aby upewnić się, że zasób analizy dokumentów może uzyskać dostęp do zestawu danych szkoleniowych, musisz dodać przypisanie roli dla tożsamości zarządzanej.
W oknie konta magazynu w witrynie Azure Portal przejdź do karty Kontrola dostępu (zarządzanie dostępem i tożsamościami) na pasku nawigacyjnym po lewej stronie.
Wybierz przycisk Dodaj przypisanie roli.
Na karcie Rola wyszukaj i wybierz uprawnienie Współautor danych obiektu blob usługi Storage, a następnie wybierz pozycję Dalej.
Na karcie Członkowie wybierz opcję Tożsamość zarządzana i wybierz pozycję + Wybierz członków
W oknie dialogowym Wybieranie tożsamości zarządzanych wybierz następujące opcje:
Subskrypcja. Wybierz subskrypcję.
Tożsamość zarządzana. Wybierz pozycję Rozpoznawanie formularzy.
Wybierz. Wybierz zasób analizy dokumentów, który został włączony z tożsamością zarządzaną.
Zamknij okno dialogowe.
Na koniec wybierz pozycję Przejrzyj i przypisz , aby zapisać zmiany.
Świetnie! Skonfigurowano zasób analizy dokumentów, aby używać tożsamości zarządzanej do nawiązywania połączenia z kontem magazynu.
Napiwek
Po wypróbowaniu programu Document Intelligence Studio zobaczysz interfejs API ODCZYTU i inne wstępnie utworzone modele nie wymagają dostępu do magazynu do przetwarzania dokumentów. Jednak trenowanie modelu niestandardowego wymaga dodatkowej konfiguracji, ponieważ program Studio nie może bezpośrednio komunikować się z kontem magazynu. Aby włączyć dostęp do magazynu, wybierz pozycję Dodaj adres IP klienta na karcie Sieć konta magazynu, aby skonfigurować maszynę w celu uzyskania dostępu do konta magazynu za pośrednictwem listy dozwolonych adresów IP.
Konfigurowanie prywatnych punktów końcowych na potrzeby dostępu z poziomu VNET
s
Uwaga
Zasoby są dostępne tylko z sieci wirtualnej.
Niektóre funkcje analizy dokumentów w programie Studio, takie jak automatyczna etykieta, wymagają, aby program Document Intelligence Studio miał dostęp do konta magazynu.
Dodaj nasz adres IP programu Studio 20.3.165.95 do listy dozwolonych zapory dla zasobów analizy dokumentów i konta magazynu. Jest to dedykowany adres IP programu Document Intelligence Studio i może być bezpiecznie dozwolony.
Po nawiązaniu połączenia z zasobami z sieci wirtualnej dodanie prywatnych punktów końcowych gwarantuje, że zarówno konto magazynu, jak i zasób analizy dokumentów są dostępne z sieci wirtualnej.
Następnie skonfiguruj sieć wirtualną, aby zagwarantować, że tylko zasoby w sieci wirtualnej lub router ruchu za pośrednictwem sieci mają dostęp do zasobu analizy dokumentów i konta magazynu.
Włączanie zapór i sieci wirtualnych
W witrynie Azure Portal przejdź do zasobu analizy dokumentów.
Wybierz kartę Sieć na pasku nawigacyjnym po lewej stronie.
Włącz opcję Wybrane sieci i prywatne punkty końcowe z karty Zapory i sieci wirtualne, a następnie wybierz pozycję Zapisz.
Uwaga
Jeśli spróbujesz uzyskać dostęp do dowolnej funkcji programu Document Intelligence Studio, zostanie wyświetlony komunikat o odmowie dostępu. Aby włączyć dostęp z programu Studio na maszynie, zaznacz pole wyboru Dodaj adres IP klienta i Zapisz , aby przywrócić dostęp.
Konfigurowanie prywatnego punktu końcowego
Przejdź do karty Połączenia prywatnego punktu końcowego i wybierz pozycję + Prywatny punkt końcowy. Nastąpi przejście do strony dialogowej Tworzenie prywatnego punktu końcowego .
Na stronie dialogowej Tworzenie prywatnego punktu końcowego wybierz następujące opcje:
Subskrypcja. Wybierz subskrypcję rozliczeniową.
Grupa zasobów. Wybierz odpowiednią grupę zasobów.
Name. Wprowadź nazwę prywatnego punktu końcowego.
Region. Wybierz ten sam region co sieć wirtualna.
Wybierz pozycję Dalej: Zasób.
Konfigurowanie sieci wirtualnej
Na karcie Zasób zaakceptuj wartości domyślne i wybierz pozycję Dalej: Sieć wirtualna.
Na karcie Sieć wirtualna upewnij się, że wybrano utworzoną sieć wirtualną.
Jeśli masz wiele podsieci, wybierz podsieć, w której chcesz połączyć prywatny punkt końcowy. Zaakceptuj wartość domyślną, aby dynamicznie przydzielić adres IP.
Wybierz pozycję Dalej: DNS
Zaakceptuj wartość domyślną Tak , aby zintegrować z prywatną strefą DNS.
Zaakceptuj pozostałe wartości domyślne i wybierz pozycję Dalej: Tagi.
Wybierz pozycję Dalej: Przeglądanie i tworzenie.
Gotowe! Zasób analizy dokumentów jest teraz dostępny tylko z sieci wirtualnej i wszystkich adresów IP na liście dozwolonych adresów IP.
Konfigurowanie prywatnych punktów końcowych dla magazynu
Przejdź do konta magazynu w witrynie Azure Portal.
Wybierz kartę Sieć z menu nawigacji po lewej stronie.
Wybierz kartę Połączenia z prywatnym punktem końcowym.
Wybierz pozycję Dodaj i prywatny punkt końcowy.
Podaj nazwę i wybierz ten sam region co sieć wirtualna.
Wybierz pozycję Dalej: Zasób.
Na karcie zasób wybierz pozycję blob z listy Docelowy podsób .
wybierz pozycję Dalej: Sieć wirtualna.
Wybierz sieć wirtualną i podsieć. Upewnij się, że wybrano opcję Włącz zasady sieciowe dla wszystkich prywatnych punktów końcowych w tej podsieci , a adres IP jest włączony dynamicznie.
Wybierz pozycję Dalej: DNS.
Upewnij się, że opcja Tak jest włączona dla opcji Integracja z prywatną strefą DNS.
Wybierz pozycję Dalej: tagi.
Wybierz pozycję Dalej: Przeglądanie i tworzenie.
Dobra robota! Masz teraz wszystkie połączenia między zasobem analizy dokumentów i magazynem skonfigurowanym do korzystania z tożsamości zarządzanych.
Uwaga
Zasoby są dostępne tylko z sieci wirtualnej i dozwolonych adresów IP.
Dostęp do programu Studio i analizowanie żądań do zasobu analizy dokumentów zakończy się niepowodzeniem, chyba że żądanie pochodzi z sieci wirtualnej lub jest kierowane za pośrednictwem sieci wirtualnej.
Weryfikowanie wdrożenia
Aby zweryfikować wdrożenie, możesz wdrożyć maszynę wirtualną w sieci wirtualnej i połączyć się z zasobami.
Skonfiguruj maszynę wirtualną Nauka o danych w sieci wirtualnej.
Zdalnie nawiąż połączenie z maszyną wirtualną z pulpitu i uruchom sesję przeglądarki, która uzyskuje dostęp do programu Document Intelligence Studio.
Analizowanie żądań i operacji szkoleniowych powinno teraz działać pomyślnie.
I już! Teraz możesz skonfigurować bezpieczny dostęp dla zasobu analizy dokumentów przy użyciu tożsamości zarządzanych i prywatnych punktów końcowych.
Typowe komunikaty o błędach
Nie można uzyskać dostępu do kontenera obiektów blob:
Rozwiązanie:
Upewnij się, że komputer kliencki może uzyskać dostęp do zasobu analizy dokumentów i konta magazynu, albo znajdują się one w tym samym
VNET
adresie IP klienta, albo jest dozwolony w obszarze Zapory sieciowe > i strony ustawień sieci wirtualnych zarówno zasobu analizy dokumentów, jak i konta magazynu.
AuthorizationFailure:
Rozwiązanie: upewnij się, że komputer kliencki może uzyskać dostęp do zasobów analizy dokumentów i konta magazynu, albo znajdują się one w tym samym
VNET
adresie IP klienta, albo jest dozwolony w obszarze Zapory sieciowe > i strony ustawień sieci wirtualnych zarówno zasobu analizy dokumentów, jak i konta magazynu.ContentSourceNotAccessible:
Rozwiązanie: Upewnij się, że udzielono tożsamości zarządzanej analizy dokumentów roli Współautor danych obiektu blob usługi Storage i włączono dostęp do zaufanych usług lub reguły wystąpień zasobów na karcie sieci.
AccessDenied:
Rozwiązanie: upewnij się, że komputer kliencki może uzyskać dostęp do zasobów analizy dokumentów i konta magazynu, albo znajdują się one w tym samym
VNET
adresie IP klienta, albo jest dozwolony w obszarze Zapory sieciowe > i strony ustawień sieci wirtualnych zarówno zasobu analizy dokumentów, jak i konta magazynu.