Compartilhar via


Identidades gerenciadas para a Informação de Documentos

Esse conteúdo se aplica a: marca de seleção v4.0 (versão prévia) marca de seleção v3.1 (GA) marca de seleção v3.0 (GA) marca de seleção v2.1 (GA)

As identidades gerenciadas para recursos do Azure são entidades de serviço que criam uma identidade do Microsoft Entra e permissões específicas para recursos gerenciados do Azure:

Captura de tela do fluxo de identidade gerenciada (RBAC).

  • Identidades gerenciadas concedem acesso a todo recurso que dê suporte à autenticação do Microsoft Entra, incluindo aos seus próprios aplicativos. Ao contrário das chaves de segurança e dos tokens de autenticação, as identidades gerenciadas eliminam a necessidade de os desenvolvedores gerenciarem credenciais.

  • É possível conceder acesso a um recurso do Azure e atribuir uma função do Azure a uma identidade gerenciada usando o RBAC (controle de acesso baseado em função) do Azure. Não há nenhum custo adicional para usar identidades gerenciadas no Azure.

Importante

  • As identidades gerenciadas eliminam a necessidade de gerenciar credenciais, inclusive tokens SAS (Assinatura de Acesso Compartilhado).

  • Identidades gerenciadas são uma maneira mais segura de conceder acesso aos dados sem ter credenciais em seu código.

Acesso à conta de armazenamento privada

O acesso e a autenticação da conta de armazenamento privado do Azure suportam identidades gerenciadas para recursos do Azure. Se você tiver uma conta de armazenamento do Azure protegida por uma rede virtual (VNet) ou firewall, o Informação de Documentos não poderá acessar diretamente seus dados de conta de armazenamento. No entanto, quando uma identidade gerenciada é habilitada, o Informação de Documentos pode acessar sua conta de armazenamento utilizando uma credencial de identidade gerenciada atribuída.

Observação

Pré-requisitos

Para começar, você precisa do seguinte:

Atribuições de identidade gerenciada

Há dois tipos de identidades gerenciadas: atribuídas pelo sistema e atribuídas pelo usuário. Atualmente, o Informação de Documentos suporta apenas a identidade gerenciada atribuída pelo sistema:

  • Uma identidade gerenciada atribuída pelo sistema é habilitada diretamente em uma instância de serviço. Esse recurso não está habilitado por padrão, é preciso acessar o recurso e atualizar a configuração de identidade.

  • A identidade gerenciada atribuída pelo sistema é vinculada ao seu recurso durante todo o ciclo de vida. Se você excluir seu recurso, a identidade gerenciada também será excluída.

Nas etapas a seguir, habilitaremos uma identidade gerenciada atribuída pelo sistema e concederemos ao Informação de Documentos acesso limitado à sua conta de armazenamento de blobs do Azure.

Habilitar uma identidade gerenciada atribuída ao sistema

Importante

Para habilitar uma identidade gerenciada atribuída pelo sistema, você precisa de permissões Microsoft.Authorization/roleAssignments/write, como Proprietário ou Administrador de Acesso do Usuário. Você pode especificar um escopo em quatro níveis: grupo de gerenciamento, assinatura, grupo de recursos ou recurso.

  1. Entre no portal do Azure usando uma conta associada à sua assinatura do Azure.

  2. Navegue até sua página de recursos Informação de Documentos no portal do Microsoft Azure.

  3. No trilho esquerdo, selecione Identidade na lista de Gerenciamento de Recursos :

    Captura de tela da guia de identidade do gerenciamento de recursos no portal do Microsoft Azure.

  4. Na janela principal, alterne a guia Status atribuído pelo sistema para Ativado.

Conceder acesso à sua conta de armazenamento

Você precisa conceder acesso de Inteligência de Documentos à sua conta de armazenamento para que ela possa ler blobs. Agora que o acesso ao Informação de Documentos está habilitado com uma identidade gerenciada atribuída pelo sistema, é possível usar o RBAC do Azure para fornecer acesso do Informação de Documentos ao armazenamento do Azure. A função Leitor de Dados de Armazenamento de Blobs dá ao Informação de Documentos (representado pela identidade gerenciada atribuída pelo sistema) acesso de leitura e lista ao contêiner e aos dados do blob.

  1. Em Permissões, selecione Atribuições de função do Azure:

    Captura de tela da identidade gerenciada atribuída ao sistema habilitada no portal do Microsoft Azure.

  2. Na página Atribuições de função do Azure que é aberta, escolha sua assinatura no menu suspenso e, em seguida, selecione + Adicionar atribuição de função.

    Captura de tela da página de atribuições de funções do Azure no portal do Microsoft Azure.

    Observação

    Se não for possível atribuir uma função no portal do Azure porque a opção Adicionar >, Adicionar atribuição de função está desabilitada ou receber o erro de permissões "você não tem permissões para adicionar a atribuição de função neste escopo", verifique se você está conectado no momento como um usuário com uma função atribuída que tenha permissões Microsoft.Authorization/roleAssignments/write como Proprietário ou Administrador de Acesso do Usuário no escopo de armazenamento do recurso de armazenamento.

  3. Avançar, você atribuirá uma função Leitor de Dados de Blobs de Armazenamento ao seu recurso do serviço de Informação de Documentos. Na janela pop-up Add role assignment, conclua os campos da seguinte maneira e selecione Salvar:

    Campo Valor
    Escopo Storage
    Assinatura A assinatura associada ao recurso de armazenamento.
    Recurso O nome do recurso de armazenamento
    Função Leitor de Dados de Blob de Armazenamento - permite o acesso de leitura aos dados e aos contêineres do Azure Storage Blob.

    Captura de tela da página de adicionar atribuições de função no portal do Microsoft Azure.

  4. Depois de receber a mensagem de confirmação Atribuição de função adicionada, atualize a página para ver a atribuição de função adicionada.

    Captura de tela da mensagem pop-up de confirmação da atribuição da função adicionada.

  5. Se você não vir a alteração imediatamente, aguarde e tente atualizar a página mais uma vez. Quando você atribui ou remove atribuições de função, pode levar até 30 minutos para que as alterações entrem em vigor.

    Captura de tela da janela de atribuições de função do Azure.

É isso! Você concluiu as etapas para habilitar uma identidade gerenciada atribuída pelo sistema. Com a identidade gerenciada e o RBAC do Azure, você concedeu à Informação de Documentos direitos de acesso específicos ao seu recurso de armazenamento sem precisar gerenciar credenciais, como tokens SAS.

Outras atribuições de função do Estúdio de Informação de Documentos

Se você for usar o Estúdio de Informação de Documentos e sua conta de armazenamento estiver configurada com uma restrição de rede, como firewall ou rede virtual, será preciso atribuir ao serviço de Informação de Documentos outra função de Colaborador de dados de Blobs de Armazenamento. O Estúdio de Informação de Documentos precisa dessa função para gravar blobs na conta de armazenamento quando você executa operações com rotulagem automática, Humanos no loop ou de compartilhamento/atualização de projeto.

Captura de tela da atribuição da função de colaborador de dados de blob de armazenamento.

Próximas etapas