Настройка безопасного доступа с помощью управляемых удостоверений и виртуальных сетей
Это содержимое относится к:
версии 4.0 (предварительная версия) версии 3.1 (GA) версии 3.0 (GA) версии 2.1 (GA)
В этом руководстве описывается процесс включения безопасных подключений для ресурса Аналитики документов. Вы можете защитить следующие соединения:
Взаимодействие между клиентским приложением в виртуальная сеть (
VNET) и ресурсом аналитики документов.Обмен данными между Document Intelligence Studio и ресурсом аналитики документов. F
Взаимодействие между ресурсом аналитики документов и учетной записью хранения (необходимо при обучении пользовательской модели).
Вы настраиваете среду для защиты ресурсов:
Необходимые компоненты
Для начала работы необходимы перечисленные ниже компоненты и данные.
Действующая учетная запись Azure. Если ее нет, можно создать учетную запись бесплатно.
Ресурс аналитики документов или служб ИИ Azure в портал Azure. Подробные инструкции см. в статье "Создание ресурса служб искусственного интеллекта Azure".
Учетная запись хранения BLOB-объектов Azure в том же регионе, что и ресурс аналитики документов. Создайте контейнеры для хранения и упорядочивания данных BLOB-объектов в учетной записи хранения.
Виртуальная сеть Azure в том же регионе, что и ресурс аналитики документов. Создайте виртуальную сеть для развертывания ресурсов приложения для обучения моделей и анализа документов.
Виртуальная машина для обработки и анализа данных Azure для Windows или Linux или Ubuntu при необходимости развертывает виртуальную машину для обработки и анализа данных в виртуальной сети для проверки установленных безопасных подключений.
Настройка ресурсов
Настройте каждый из ресурсов, чтобы убедиться, что ресурсы могут взаимодействовать друг с другом:
Настройте Document Intelligence Studio для использования только что созданного ресурса Аналитики документов, открыв страницу параметров и выбрав ресурс.
Убедитесь, что конфигурация работает, выбрав API чтения и проанализировав пример документа. Если ресурс настроен правильно, запрос успешно завершается.
Добавьте обучающий набор данных в контейнер в созданную Учетную запись хранения.
Выберите элемент "Пользовательская модель", чтобы создать пользовательский проект. Убедитесь, что вы выбрали тот же ресурс аналитики документов и учетную запись хранения, созданную на предыдущем шаге.
Выберите контейнер с набором данных для обучения, отправленным на предыдущем шаге. Убедитесь, что если обучающий набор данных находится в папке, путь к папке задается соответствующим образом.
Убедитесь, что у вас есть необходимые разрешения, студия задает параметр CORS, необходимый для доступа к учетной записи хранения. Если у вас нет разрешений, необходимо убедиться, что параметры CORS настроены в учетной записи хранения, прежде чем продолжить.
Убедитесь, что Студия настроена для доступа к данным обучения. Если документы отображаются в интерфейсе маркировки, устанавливаются все необходимые подключения.
Теперь у вас есть рабочая реализация всех компонентов, необходимых для создания решения аналитики документов с помощью модели безопасности по умолчанию:
Затем выполните следующие действия.
Настройте управляемое удостоверение в ресурсе Аналитики документов.
Защитите учетную запись хранения, чтобы ограничить трафик только из определенных виртуальных сетей и IP-адресов.
Настройте управляемое удостоверение Аналитики документов для взаимодействия с учетной записью хранения.
Отключите общедоступный доступ к ресурсу Аналитики документов и создайте частную конечную точку. Затем ресурс доступен только из определенных виртуальных сетей и IP-адресов.
Добавьте частную конечную точку для учетной записи хранения в выбранной виртуальной сети.
Убедитесь, что вы можете обучать модели и анализировать документы из виртуальной сети.
Настройка управляемого удостоверения для аналитики документов
Перейдите к ресурсу аналитики документов в портал Azure и выберите вкладку "Удостоверение". Переключите управляемое удостоверение, назначенное системой, включено и сохраните изменения:
Защита учетной записи хранения
Начните настройку безопасного взаимодействия, перейдя на вкладку Сеть в Учетной записи хранения на портале Azure.
В разделе Брандмауэры и виртуальные сети выберите Включено из выбранных виртуальных сетей и IP-адресов в списке Доступа к общедоступной сети.
Убедитесь, что параметр Разрешить службам Azure из списка надежных служб доступ к этой учетной записи хранения выбран из списка Исключения.
Сохраните свои изменения.
Примечание.
Ваша учетная запись хранения не будет доступна из общедоступного Интернета.
Обновление страницы меток пользовательской модели в Студии приведет к ошибке.
Включение доступа к хранилищу из аналитики документов
Чтобы убедиться, что ресурс аналитики документов может получить доступ к набору обучающих данных, необходимо добавить назначение ролей для управляемого удостоверения.
Оставаясь в окне учетной записи хранения в портал Azure, перейдите на вкладку Контроль доступа (IAM) на панели навигации слева.
Нажмите кнопку Добавить назначение ролей.
На вкладке "Роль" найдите и выберите разрешение участника данных BLOB-объектов хранилища и нажмите кнопку "Далее".
На вкладке Участники выберите Управляемое удостоверение и нажмите +Выбрать участников
В диалоговом окне Выбор управляемых удостоверений выберите следующие параметры:
Подписка. Выберите свою подписку.
Управляемое удостоверение. Выберите Распознаватель документов.
Выбрать. Выберите ресурс аналитики документов, который вы включили с помощью управляемого удостоверения.
Закройте диалоговое окно.
Наконец, нажмите кнопку Проверить и назначить, чтобы сохранить изменения.
Отлично! Вы настроили ресурс аналитики документов для использования управляемого удостоверения для подключения к учетной записи хранения.
Совет
При попытке Document Intelligence Studio вы увидите API READ и другие предварительно созданные модели, не требуя доступа к хранилищу для обработки документов. В то же время, для обучения пользовательской модели требуется дополнительная настройка, так как Студия не может напрямую взаимодействовать с учетной записью хранения. Вы можете включить доступ к хранилищу, выбрав Добавить IP-адрес клиента на вкладке Сеть учетной записи хранения, чтобы настроить компьютер для доступа к учетной записи хранения с помощью списка разрешенных IP-адресов.
Настройка частных конечных точек для доступа из VNETs
Примечание.
Ресурсы доступны только из виртуальной сети.
Для некоторых функций аналитики документов в Студии, таких как автоматическая метка, требуется доступ к учетной записи хранения.
Добавьте IP-адрес Студии 20.3.165.95 в список разрешений брандмауэра для ресурсов аналитики документов и учетной записи хранения. Это выделенный IP-адрес Студии Document Intelligence Studio и его можно безопасно разрешить.
При подключении к ресурсам из виртуальной сети добавление частных конечных точек гарантирует доступность учетной записи хранения и ресурса Аналитики документов из виртуальной сети.
Затем настройте виртуальную сеть, чтобы обеспечить доступ только к ресурсу аналитики документов и учетной записи хранения только в виртуальной сети или маршрутизаторе трафика через сеть.
Включение брандмауэров и виртуальных сетей
В портал Azure перейдите к ресурсу аналитики документов.
На панели навигации слева выберите Сети.
Включите Выбранные сети и частные конечные точки на вкладке Брандмауэры и виртуальные сети и нажмите кнопку "Сохранить".
Примечание.
Если вы попытаетесь получить доступ к любой из функций Document Intelligence Studio, появится сообщение об отказе в доступе. Чтобы включить доступ из Студии на компьютере, установите флажок "Добавить IP-адрес клиента" и "Сохранить для восстановления доступа".
Настройте частную конечную точку
Перейдите на вкладку Подключения к частной конечной точке и выберите + Частная конечная точка. Перейдите на страницу диалогового окна создания частной конечной точки .
На странице диалогового окна Создание частной конечной точки выберите следующие параметры:
Подписка. Выберите подписку на выставление счетов.
Группа ресурсов. Выберите подходящую группу ресурсов в регионе.
Имя. Введите имя для частной конечной точки.
Регион. Она должна находиться в том же регионе, что и виртуальная сеть.
По завершении выберите Далее: Ресурс.
Настройка виртуальной сети
На вкладке Ресурс примите значения по умолчанию и нажмите кнопку Далее: виртуальная сеть.
На вкладке виртуальная сеть выберите созданную виртуальную сеть.
Если у вас несколько подсетей, выберите подсеть, в которой требуется подключиться к частной конечной точке. Примите значение по умолчанию для Динамического выделения IP-адреса.
Выберите Далее: DNS
Примите значение по умолчанию Да для параметра Интеграция с частной зоной DNS.
Подтвердите остальные значения по умолчанию и выберите Далее: теги.
По завершении выберите Next: Отзыв и создание.
Отличная работа! Теперь ресурс аналитики документов доступен только из виртуальной сети и любых IP-адресов в списке разрешений IP-адресов.
Настройка частных конечных точек для хранилища
Войдите в свою Учетную запись хранения на портале Azure.
Выберите вкладку Сеть в меню навигации слева.
Выберите вкладку Подключения к частной конечной точке.
Нажмите Добавить частную конечную точку.
Укажите имя и выберите тот же регион, что и виртуальная сеть.
По завершении выберите Далее: Ресурс.
На вкладке ресурсов выберите BLOB-объект из списка Целевые подресурсы.
выберите Далее: Виртуальная сеть.
Выберите Виртуальную сеть и Подсеть. Убедитесь, что выбран параметр Включить политики сети для всех частных конечных точек в этой подсети и включен Динамически выделенный IP-адрес.
Выберите Далее: DNS.
Убедитесь, что параметр Да включен для Интеграции с частной зоной DNS.
Нажмите кнопку "Далее": теги.
По завершении выберите Next: Отзыв и создание.
Отлично! Теперь у вас есть все подключения между ресурсом аналитики документов и хранилищем, настроенным для использования управляемых удостоверений.
Примечание.
Ресурсы доступны только из виртуальной сети и разрешенные IP-адреса.
Доступ к студии и анализ запросов к ресурсу Аналитики документов завершится ошибкой, если запрос не поступает из виртуальной сети или направляется через виртуальную сеть.
Проверка развертывания
Чтобы проверить развертывание, можно развернуть виртуальную машину в виртуальной сети и подключиться к ресурсам.
Настройте виртуальную машину для обработки и анализа данных в виртуальной сети.
Удаленно подключитесь к виртуальной машине с рабочего стола и запустите сеанс браузера, который обращается к Document Intelligence Studio.
Анализ запросов и операций обучения теперь должны успешно работать.
Вот и все! Теперь вы можете настроить безопасный доступ для ресурса Аналитики документов с управляемыми удостоверениями и частными конечными точками.
Распространенные сообщения об ошибках
Не удалось получить доступ к контейнеру BLOB-объектов:
Решение.
Убедитесь, что клиентский компьютер может получить доступ к ресурсу аналитики документов и учетной записи хранения, либо они находятся в одном и том же
VNET, либо IP-адрес клиента разрешен на странице параметров сетевых > брандмауэров и виртуальных сетей ресурса аналитики документов и учетной записи хранения.
AuthorizationFailure:
Решение. Убедитесь, что клиентский компьютер может получить доступ к ресурсу аналитики документов и учетной записи хранения, либо они находятся в одном и том же
VNET, либо IP-адрес клиента разрешен на странице параметров сетевых > брандмауэров и виртуальных сетей ресурса аналитики документов и учетной записи хранения.ContentSourceNotAccessible:
Решение. Убедитесь, что вы предоставляете управляемое удостоверение Document Intelligence роль участника данных BLOB-объектов хранилища и включен доступ к доверенным службам или правила экземпляра ресурсов на вкладке сети.
AccessDenied:
Решение. Убедитесь, что клиентский компьютер может получить доступ к ресурсу аналитики документов и учетной записи хранения, либо они находятся в одном и том же
VNET, либо IP-адрес клиента разрешен на странице параметров сетевых > брандмауэров и виртуальных сетей ресурса аналитики документов и учетной записи хранения.