Configurar o acesso seguro com identidades gerenciadas e redes virtuais
Esse conteúdo se aplica a: v4.0 (GA) v3.1 (GA) v3.0 (GA) v2.1 (GA)
Esse guia de instruções orientará você durante o processo de habilitação de conexões seguras para seu recurso de Informação de Documentos. É possível proteger as conexões a seguir:
Comunicação entre um aplicativo cliente em uma VNET (
VNET
) e seu recurso de Informação de Documentos.Comunicação entre o Estúdio de Informação de Documentos e seu recurso de Informação de Documentos.F
Comunicação entre seu recurso da Informação de Documentos e uma conta de armazenamento (necessária para treinamento em um modelo personalizado).
Você está configurando seu ambiente para proteger os recursos:
Pré-requisitos
Para começar, você precisa do seguinte:
Uma conta do Azure ativa - caso não tenha uma, você pode criar uma conta gratuita.
Um recurso da Informação de Documentos ou dos serviços de AI do Azure no portal do Azure. Para ver as etapas detalhadas, confira Criar um recurso dos serviços de IA do Azure.
Uma conta de armazenamento de Blobs do Azure na mesma região que o recurso da Informação de Documentos. Criar contêineres para armazenar e organizar dados de blob em sua conta de armazenamento.
Uma conta de armazenamento de Blobs do Azure na mesma região que o recurso da Informação de Documentos. Criar uma rede virtual para implantar seus recursos de aplicativo para treinamento de modelos e analisar documentos.
Opcionalmente, uma VM de ciência de dados do Azure para Windows ou Linux/Ubuntu implanta uma VM de ciência de dados em toda a rede virtual para testar as conexões seguras estabelecidas.
Configurar recursos
Configure cada um dos recursos para garantir possam se comunicar entre si:
Configure o Estúdio da Informação de Documentos para usar o recurso da Informação de Documentos recém-criado acessando a página de configurações e selecionando o recurso.
Verifique e valide se a configuração funciona selecionando a API de Leitura e analisando um documento de exemplo. Se o recurso tiver sido configurado corretamente, a solicitação será concluída com êxito.
Adicione um conjunto de dados de treinamento a um contêiner na conta de Armazenamento que você criou.
Selecione a peça de modelo personalizado para criar um projeto personalizado. Selecione o mesmo recurso de Informação de Documentos e a conta de armazenamento que você criou na etapa anterior.
Selecione o contêiner com o conjunto de dados de treinamento carregado na etapa anterior. Verifique se o conjunto de dados de treinamento está dentro de uma pasta e se o caminho foi definido de maneira apropriada.
Verifique se você tem as permissões necessárias, o estúdio definirá a configuração CORS necessária para acessar a conta de armazenamento. Se você não tiver as permissões, será necessário verificar se as definições do CORS estão configuradas na conta armazenamento antes de continuar.
Verifique e valide se o estúdio está configurado para acessar os dados de treinamento. Se os documentos estiverem sendo exibidos na experiência de rotulagem, todas as conexões necessárias foram estabelecidas.
Agora você tem uma implementação funcional de todos os componentes necessários para criar uma solução Informação de Documentos com o modelo de segurança padrão:
Em seguida, conclua estas etapas:
Configure a identidade gerenciada no recurso de Informação de Documentos.
Proteja a conta de armazenamento para restringir o tráfego somente de redes virtuais específicas e endereços IP.
Configure a identidade gerenciada da Informação de Documentos para se comunicar com a conta de armazenamento.
Desabilite o acesso público ao recurso do Informação de Documentos e crie um ponto de extremidade privado. Em seguida, o recurso só pode ser acessado de redes virtuais e endereços IP específicos.
Adicione um ponto de extremidade privado para a conta de armazenamento em uma rede virtual selecionada.
Verifique e valide se você pode treinar modelos e analisar documentos a partir da rede virtual.
Configurar a identidade gerenciada para a Informação de Documentos
Navegue até o recurso da Informação de Documentos no portal do Azure e selecione a guia Identidade. Alterne a identidade gerenciada atribuída pelo sistema para Ativar e salve as alterações:
Proteger a conta de armazenamento
Comece a configurar comunicações seguras navegando até a guia Rede em sua conta de Armazenamento no portal do Azure.
Em Firewalls e redes Virtuais, selecione Habilitado das redes virtuais selecionadas e das redes virtuais e Endereços IP selecionados na lista de Acesso a Redes Públicas.
Certifique-se de que Permitir que os serviços do Azure na lista de serviços confiáveis acessem esta conta de armazenamento esteja selecionado na lista Exceções.
Salve suas alterações.
Observação
Sua conta de armazenamento não estará acessível na Internet pública.
Atualizar a página de rotulagem de modelo personalizado no Studio resultará em uma mensagem de erro.
Habilitar o acesso ao armazenamento da Informação de Documentos
Para garantir que o recurso da Informação de Documentos possa acessar o conjunto de dados de treinamento, você precisará adicionar uma atribuição de função para a sua identidade gerenciada.
Mantendo-se na janela da conta de armazenamento no portal do Azure, navegue até a guia Controle de Acesso (IAM) na barra de navegação esquerda.
Clique no botão Adicionar atribuição de função.
Na guia Função, procure e selecione a permissão Colaborador de Dados do Blob de Armazenamento e selecione Avançar.
Na guia Membros, selecione Identidade gerenciadae selecione +Selecionar membros
Na janela de diálogo Selecionar identidades gerenciadas, selecione as seguintes opções:
Assinatura. Selecione sua assinatura.
Identidade Gerenciada. Selecione Reconhecimento de Formulários.
Selecione. Escolha o recurso da Informação de Documentos que você habilitou com uma identidade gerenciada.
Feche a caixa de diálogo.
Por fim, selecione Examinar + atribuir para salvar suas alterações.
Ótimo! Você configurou seu recurso da Informação de Documentos para usar uma identidade gerenciada para se conectar a uma conta de armazenamento.
Dica
Ao experimentar o Estúdio da Informação de Documentos, você verá que a API DE LEITURA e outros modelos predefinidos não exigem acesso de armazenamento para processar documentos. No entanto, o treinamento de um modelo personalizado requer configuração adicional, pois o Studio não se comunica diretamente com uma conta de armazenamento. Você pode habilitar o acesso ao armazenamento selecionando Adicionar o endereço IP do cliente na guia Rede da conta de armazenamento para configurar seu computador para acessar a conta de armazenamento por meio da lista de permissões de IP.
Configurar pontos de extremidade privados para acesso de VNET
s
Observação
Os recursos só podem ser acessados pela rede virtual.
Alguns recursos da Informação de Documentos no Estúdio, como o rótulo automático, exigem que Estúdio da Informação de Documentos tenha acesso à sua conta de armazenamento.
Adicione nosso endereço IP do Estúdio, 20.3.165.95, à lista de permissões do firewall para recursos da Informação de Documentos e Conta de Armazenamento. Esse é o endereço IP dedicado do Estúdio da Informação de Documentos e pode ser permitido com segurança.
Quando você se conecta aos recursos de uma rede virtual, a adição de pontos de extremidade privados garantirá que a conta de armazenamento e o recurso da Informação de Documentos estejam acessíveis na rede virtual.
Em seguida, você configurará a rede virtual para garantir que apenas os recursos dentro da rede virtual ou do roteador de tráfego pela rede terão acesso ao recurso da Informação de Documentos e à conta de armazenamento.
Habilitar firewalls e redes virtuais
No portal do Azure, navegue até o recurso da Informação de Documentos.
Selecione a guia Rede na barra de navegação à esquerda.
Habilite a opção Rede Selecionada e Pontos de Extremidade Privados na guia Firewalls e redes virtuais e selecione Salvar.
Observação
Se você tentar acessar qualquer um dos recursos do Estúdio da Informação de Documentos, verá uma mensagem de acesso negado. Para habilitar o acesso do Studio em seu computador, selecione a caixa de seleção Adicionar o endereço IP do seu cliente e Salve para restaurar o acesso.
Configurar seu ponto de extremidade privado
Selecione a guia Conexões de pontos de extremidade privados e, em seguida, selecione + Ponto de extremidade privado. Você será levado até a página de diálogo Criar um ponto de extremidade privado.
Na página de diálogo Criar ponto de extremidade privado, selecione as seguintes opções:
Assinatura. Selecione sua assinatura para cobrança.
Grupo de recursos. Selecione o grupo de recursos apropriado.
Nome. Insira qualquer nome para seu ponto de extremidade privado.
Região. Selecione a mesma região que a sua rede virtual.
Selecione Avançar: Recurso.
Configurar sua rede virtual
Na guia Recurso, aceite os valores padrão e selecione Avançar: Rede Virtual.
Na guia Rede Virtual, selecione a rede virtual que você criou.
Se você tiver várias sub-redes, selecione a sub-rede a qual deseja que o ponto de extremidade privado se conecte. Aceite o valor padrão para Alocar dinamicamente o endereço IP.
Selecione Avançar: DNS
Aceite o valor padrão Sim para integrar com a zona DNS privada.
Aceite os padrões restantes e selecione Avançar: Marcações.
Selecione Avançar: Examinar + Criar.
Muito bem! Seu recurso da Informação de Documentos está acessível apenas na rede virtual e nos endereços IP na lista de permissões de IP.
Configurar pontos de extremidade privados para armazenamento
Navegue até sua conta de armazenamento no portal do Azure.
Selecione a guia Rede no menu de navegação à esquerda.
Selecione a guia Conexões de ponto de extremidade privado.
Selecione +Ponto de extremidade privado.
Forneça um nome e escolha a mesma região que a rede virtual.
Selecione Avançar: Recurso.
Na guia Recursos, selecione o blob na lista Sub-recursos de destino.
Selecione Avançar: Rede Virtual.
Selecione a Rede virtual e a Sub-rede. Certifique-se de que Habilitar políticas de rede para todos os pontos de extremidade privados nesta sub-rede esteja selecionado e que Alocar dinamicamente endereço IP esteja habilitado.
Selecione Avançar: DNS.
Verifique se Sim está habilitado para Integrar com a zona DNS privada.
Selecione Avançar: Marcas.
Selecione Avançar: Revisar + criar.
Ótimo trabalho! Agora você tem todas as conexões configuradas entre o recurso da Informação de Documentos e o armazenamento para usar identidades gerenciadas.
Observação
Os recursos só podem ser acessados pela rede virtual e IPs permitidos.
As solicitações de acesso ao Estúdio e de análise do recurso da Informação de Documentos falharão, a menos que a solicitação tenha tido origem na rede virtual ou tenha sido encaminhada através da rede virtual.
Validar a implantação
Para validar sua implantação, você pode implantar uma VM (máquina virtual) na rede virtual e conectar-se aos recursos.
Configure uma VM de Ciência de Dados na rede virtual.
Conecte-se remotamente à máquina virtual a partir da área de trabalho e inicialize uma sessão do navegador que acesse o Estúdio da Informação de Documentos.
A análise das solicitações e as operações de treinamento devem agora estar sendo executadas com sucesso.
É isso! Agora você pode configurar o acesso seguro para o recurso da Informação de Documentos com identidades gerenciadas e pontos de extremidade privados.
Mensagens de erro comuns
Falha ao acessar o contêiner de Blob:
Resolução:
Verifique se o computador cliente pode acessar o recurso de Informação de Documentos e a conta de armazenamento, seja na mesma
VNET
ou se o endereço IP do cliente é permitido na página de configuração Rede > Firewalls e redes virtuais do recurso de Informação de Documentos e da conta de armazenamento.
AuthorizationFailure:
Resolução: verifique se o computador cliente pode acessar o recurso de Informação de Documentos e a conta de armazenamento, se eles estão na mesma
VNET
ou se o endereço IP do cliente é permitido na página de configuração Rede > Firewalls e redes virtuais do recurso de Informação de Documentos e da conta de armazenamento.ContentSourceNotAccessible:
Resolução: lembre-se de conceder à sua identidade gerenciada da Informação de Documentos a função de Colaborador de Dados do Blob de Armazenamento e habilitar o acesso aos Serviços confiáveis ou as regras da Instância de recurso na guia Rede.
AccessDenied:
Resolução: verifique se o computador cliente pode acessar o recurso de Informação de Documentos e a conta de armazenamento, se eles estão na mesma
VNET
ou se o endereço IP do cliente é permitido na página de configuração Rede > Firewalls e redes virtuais do recurso de Informação de Documentos e da conta de armazenamento.