Configurar o Video Indexer para trabalhar com contas de armazenamento atrás do firewall
Ao criar uma conta do Video Indexer, você deve associá-la a uma conta do Armazenamento do Azure. As contas de armazenamento para VI devem ser uma conta de armazenamento v2 de uso geral padrão. O Video Indexer pode acessar a conta de armazenamento usando a autenticação do sistema ou a autenticação de Identidade Gerenciada. O Video Indexer valida que o usuário que adiciona a associação tem acesso à conta de armazenamento com o RBAC (Controle de Acesso Baseado em Função) do Azure Resource Manager.
Se você quiser usar um firewall para proteger sua conta de armazenamento e habilitar o armazenamento confiável, a autenticação de identidades gerenciadas que permite o acesso do Video Indexer através do firewall é a opção preferida. Ele permite que o Video Indexer acesse a conta de armazenamento que foi configurada sem precisar de acesso público para acesso de armazenamento confiável.
Importante
É importante entender as implicações se você bloquear suas contas de armazenamento sem acesso público, especialmente em relação ao portal Video Indexer. O IP de origem do dispositivo cliente é fundamental neste cenário. Se a conta de armazenamento estiver bloqueada e não tiver uma exceção para o IP de origem, o acesso ao URL SAS do arquivo de origem do vídeo será negado. Isso se aplica tanto ao download quanto ao streaming de conteúdo de vídeo.
Para garantir um acesso contínuo, recomendamos que você trabalhe em estreita colaboração com o administrador de rede/armazenamento para atender a esses requisitos. Utilize sua rede corporativa, uma VPN ou o Azure Private Link para fornecer a conectividade necessária enquanto mantém a postura de segurança de suas contas de armazenamento.
Por exemplo, o Azure Private Link fornece uma forma segura de aceder aos serviços do Azure de forma privada a partir da sua rede virtual. Simplifica a arquitetura da rede e protege a ligação entre os pontos finais no Azure ao eliminar a exposição dos dados à Internet pública.
Quaisquer alterações nas configurações de rede devem ser cuidadosamente planeadas e testadas para evitar perturbações no acesso a serviços e recursos essenciais.
Siga estas etapas para habilitar o Managed Identity for Storage e bloqueie sua conta de armazenamento. Presume-se que você já criou uma conta do Video Indexer e associou a conta de armazenamento.
Atribuir a identidade gerenciada e a função
Siga todas as etapas para criar uma conta do Azure AI Video Indexer, mas também use as etapas abaixo:
- Quando você seleciona Atribuir função, as seguintes funções são atribuídas:
Azure Media Services : ContributoreAzure Storage : Storage Blob Data Owner. Você pode verificar ou definir manualmente as atribuições navegando até o menu Identidade da sua conta do Indexador de Vídeo e selecionando Atribuições de Função do Azure. - Navegue até sua conta de armazenamento. Selecione Rede no menu e selecione Ativado a partir de redes virtuais e endereços IP selecionados na seção Acesso à rede pública.
- Em Exceções, verifique se a opção Permitir que os serviços do Azure na lista de serviços confiáveis acessem essa conta de armazenamento esteja selecionada.
Carregar a partir de uma conta de armazenamento bloqueada
Ao carregar um arquivo para o Video Indexer, você pode fornecer um link para um vídeo usando um localizador SAS. Se a conta de armazenamento que hospeda o vídeo não estiver acessível publicamente, use a abordagem Identidade Gerenciada e Serviço Confiável. Como não há como saber se uma URL SAS está apontando para uma conta de armazenamento bloqueada, defina explicitamente o parâmetro useManagedIdentityToDownloadVideo de consulta como true na chamada de API de upload de vídeo.
Você também precisa definir a função Azure Storage : Storage Blob Data Owner nessa conta de armazenamento como fez com a conta de armazenamento.