Konfigurowanie usługi Video Indexer do pracy z kontami magazynu za zaporą
Podczas tworzenia konta usługi Video Indexer należy skojarzyć je z kontem usługi Azure Storage. Konta magazynu dla vi muszą być kontem magazynu ogólnego przeznaczenia w warstwie Standardowa w wersji 2. Usługa Video Indexer może uzyskać dostęp do konta magazynu przy użyciu uwierzytelniania systemu lub uwierzytelniania tożsamości zarządzanej. Usługa Video Indexer sprawdza, czy użytkownik dodający skojarzenie ma dostęp do konta magazynu za pomocą kontroli dostępu opartej na rolach (RBAC) usługi Azure Resource Manager.
Jeśli chcesz użyć zapory do zabezpieczenia konta magazynu i włączenia zaufanego magazynu, uwierzytelnianie tożsamości zarządzanych , które umożliwia usłudze Video Indexer dostęp za pośrednictwem zapory, jest preferowaną opcją. Umożliwia usłudze Video Indexer dostęp do konta magazynu skonfigurowanego bez konieczności publicznego dostępu do zaufanego magazynu.
Ważne
Ważne jest, aby zrozumieć implikacje, jeśli zablokujesz konta magazynu bez dostępu publicznego, zwłaszcza w odniesieniu do portalu usługi Video Indexer. Źródłowy adres IP urządzenia klienckiego jest kluczowy w tym scenariuszu. Jeśli konto magazynu jest zablokowane i nie ma wyjątku dla źródłowego adresu IP, dostęp do adresu URL sygnatury dostępu współdzielonego dla pliku źródłowego wideo zostanie odrzucony. Dotyczy to zarówno pobierania, jak i przesyłania strumieniowego zawartości wideo.
Aby zapewnić bezproblemowy dostęp, zalecamy ścisłą współpracę z administratorem sieci/magazynu, aby spełnić te wymagania. Skorzystaj z sieci firmowej, sieci VPN lub usługi Azure Private Link, aby zapewnić niezbędną łączność przy zachowaniu stanu zabezpieczeń kont magazynu.
Na przykład usługa Azure Private Link zapewnia bezpieczny sposób uzyskiwania dostępu do usług platformy Azure prywatnie z sieci wirtualnej. Upraszcza ona architekturę sieci i zabezpiecza połączenie między punktami końcowymi na platformie Azure, eliminując ekspozycję na publiczny Internet.
Wszelkie zmiany konfiguracji sieci powinny być starannie zaplanowane i przetestowane, aby uniknąć zakłócania dostępu do podstawowych usług i zasobów.
Wykonaj następujące kroki, aby włączyć tożsamość zarządzaną dla usługi Storage, a następnie zablokować konto magazynu. Przyjęto założenie, że utworzono już konto usługi Video Indexer i skojarzono je z kontem magazynu.
Przypisywanie tożsamości zarządzanej i roli
Wykonaj wszystkie kroki tworzenia konta usługi Azure AI Video Indexer, ale także wykonaj poniższe kroki:
- Po wybraniu pozycji Przypisz rolę zostaną przypisane następujące role:
Azure Media Services : Contributor
iAzure Storage : Storage Blob Data Owner
. Możesz zweryfikować lub ręcznie ustawić przypisania, przechodząc do menu Tożsamość konta usługi Video Indexer i wybierając pozycję Przypisania ról platformy Azure. - Przejdź do swojego konta magazynu. Wybierz pozycję Sieć z menu i wybierz pozycję Włączone z wybranych sieci wirtualnych i adresów IP w sekcji Dostęp do sieci publicznej.
- W obszarze Wyjątki upewnij się, że wybrano opcję Zezwalaj usługom platformy Azure na liście zaufanych usług na dostęp do tego konta magazynu.
Przekazywanie z zablokowanego konta magazynu
Podczas przekazywania pliku do usługi Video Indexer możesz podać link do wideo przy użyciu lokalizatora sygnatur dostępu współdzielonego. Jeśli konto magazynu hostujące film wideo nie jest publicznie dostępne, użyj podejścia tożsamość zarządzana i zaufana usługa. Ponieważ nie ma możliwości poznania, czy adres URL sygnatury dostępu współdzielonego wskazuje zablokowane konto magazynu, jawnie ustaw parametr useManagedIdentityToDownloadVideo
zapytania na true
w wywołaniu interfejsu API przekazywania wideo.
Musisz również ustawić rolę Azure Storage : Storage Blob Data Owner
na tym koncie magazynu, tak jak w przypadku konta magazynu.