Управляемые удостоверения для аналитики документов
Это содержимое относится к: версии 4.0 (предварительная версия) версии 3.1 (GA) версии 3.0 (GA) версии 2.1 (GA)
Управляемые удостоверения для ресурсов Azure — это субъекты-службы, которые создают удостоверение Microsoft Entra и определенные разрешения для управляемых ресурсов Azure:
Управляемые удостоверения предоставляют доступ к любому ресурсу, который поддерживает проверку подлинности Microsoft Entra, в том числе к собственным приложениям. В отличие от ключей безопасности и маркеров проверки подлинности, управляемые удостоверения устраняют необходимость в управлении учетными данными для разработчиков.
Вы можете предоставить доступ к ресурсу Azure и назначить роль Azure управляемому удостоверению с помощью управления доступом на основе ролей Azure (Azure RBAC). Дополнительная плата за использование управляемых удостоверений в Azure не взимается.
Внимание
Управляемые удостоверения устраняют необходимость в управлении учетными данными, включая маркеры подписанного URL-адреса (SAS).
Управляемые удостоверения — это более безопасный способ предоставления доступа к данным без использования учетных данных в коде.
Доступ к частной учетной записи
Доступ к частной учетной записи хранения Azure и проверка подлинности поддерживают управляемые удостоверения для ресурсов Azure. Если у вас есть учетная запись хранения Azure, защищенная виртуальная сеть (VNet
) или брандмауэром, аналитика документов не может напрямую получить доступ к данным учетной записи хранения. Однако после включения управляемого удостоверения аналитика документов может получить доступ к учетной записи хранения с помощью назначенных учетных данных управляемого удостоверения.
Примечание.
Если вы планируете проанализировать данные хранилища с помощью средства метки аналитики документов (FOTT), необходимо развернуть средство под виртуальной сетью или брандмауэром.
Analyze
Api получения, визитной карточки, счета, идентификатора и пользовательской формы могут извлекать данные из одного документа, публикуя запросы в виде необработанного двоичного содержимого. В этих сценариях учетные данные управляемого удостоверения не требуются.
Необходимые компоненты
Для начала работы необходимы перечисленные ниже компоненты и данные.
Действующая учетная запись Azure. Если ее нет, можно создать учетную запись бесплатно.
Ресурс аналитики документов или служб ИИ Azure в портал Azure. Подробные инструкции см. в статье "Создание ресурса служб искусственного интеллекта Azure".
Учетная запись хранения BLOB-объектов Azure в том же регионе, что и ресурс аналитики документов. Кроме того, необходимо создать контейнеры для хранения и упорядочивания данных BLOB-объектов в учетной записи хранения.
Если ваша учетная запись хранения находится за брандмауэром, необходимо включить следующую конфигурацию:
На странице учетной записи хранения в меню слева выберите Безопасность и сеть → Сеть.
В главном окне выберите Разрешить доступ из выбранных сетей.
На странице выбранных сетей перейдите к категории "Исключения" и убедитесь, что
Allow Azure services on the trusted services list to access this storage account
флажок включен.
Общее понимание механизма управления доступом на основе ролей в Azure (Azure RBAC) на портале Azure.
Назначение управляемых удостоверений
Существует два типа управляемых удостоверений: назначаемые системой и назначаемые пользователем. В настоящее время аналитика документов поддерживает только управляемое удостоверение, назначаемое системой:
Управляемое удостоверение, назначаемое системой, включается непосредственно в экземпляре службы. Оно не включено по умолчанию. Необходимо перейти к ресурсу и изменить параметр удостоверения.
Управляемое удостоверение, назначаемое системой, связано с ресурсом на протяжении всего его жизненного цикла. При удалении ресурса также удаляется управляемое удостоверение.
В следующих шагах мы включите управляемое удостоверение, назначаемое системой, и предоставьте ограниченному доступу к учетной записи хранения BLOB-объектов Azure.
Включение управляемого удостоверения, назначаемого системой
Внимание
Чтобы включить управляемое удостоверение, назначаемое системой, необходимы разрешения Microsoft.Authorization/roleAssignments/write, такие как Владелец или Администратор доступа пользователей. Область действия можно задать на четырех уровнях: на уровне группы управления, подписки, группы ресурсов или ресурса.
Войдите на портал Azure с помощью учетной записи, связанной с подпиской Azure.
Перейдите на страницу ресурса аналитики документов в портал Azure.
В области слева в списке Управление ресурсами выберите Удостоверение.
В главном окне переключите вкладку Состояние назначения системой в состояние Вкл.
Предоставление доступа к учетной записи хранения
Перед чтением больших двоичных объектов необходимо предоставить доступ к учетной записи хранения аналитики документов. Теперь, когда доступ к аналитике документов включен с помощью управляемого удостоверения, назначаемого системой, можно использовать управление доступом на основе ролей Azure (Azure RBAC), чтобы предоставить доступ к службе аналитики документов Azure. Роль чтения данных BLOB-объектов хранилища предоставляет аналитику документов (представленную управляемым удостоверением, назначаемым системой) доступ к контейнеру и данным BLOB-объектов.
В разделе Разрешения выберите Назначения ролей Azure.
На открывающейся странице назначений ролей Azure выберите подписку в раскрывающемся меню и нажмите кнопку +Добавить назначение ролей.
Примечание.
Если не удается назначить роль на портале Azure, так как параметр "Добавить > Добавить назначение ролей" отключен или возникает ошибка разрешений "У вас нет разрешений на добавление назначения ролей в этой области", убедитесь в том, что вы вошли как пользователь с назначенной ролью, имеющей разрешения Microsoft.Authorization/roleAssignments/write, такие как "Владелец" или "Администратор доступа пользователей", в области хранилища для ресурса хранилища.
Затем вы назначите роль читателя данных BLOB-объектов хранилища ресурсу службы аналитики документов. В всплывающем
Add role assignment
окне заполните поля следующим образом и нажмите кнопку "Сохранить".Поле Значение Область применения Память Подписка Подписка, связанная с ресурсом хранилища. Ресурс Имя ресурса хранилища. Роль Читатель для данных BLOB-объектов хранилища — разрешает доступ на чтение к контейнерам больших двоичных объектов и данным службы хранилища Azure После получения сообщения подтверждения назначения добавленной роли обновите страницу, чтобы увидеть добавление назначения ролей.
Если изменения отображаются не сразу, подождите и попробуйте обновить страницу еще раз. При добавлении или удалении назначений ролей может потребоваться до 30 минут, чтобы изменения вступили в силу.
Вот и все! Вы выполнили действия, чтобы включить управляемое удостоверение, назначаемое системой. С управляемым удостоверением и Azure RBAC вы предоставили определенные права доступа к ресурсу хранилища, не управляя учетными данными, такими как маркеры SAS.
Другие назначения ролей для Document Intelligence Studio
Если вы собираетесь использовать Document Intelligence Studio, а учетная запись хранения настроена с ограничением сети, например брандмауэром или виртуальной сетью, другой ролью, участником данных BLOB-объектов хранилища, необходимо назначить службе аналитики документов. Для записи больших двоичных объектов в учетную запись хранения в Студии аналитики документов требуется эта роль при выполнении автоматических меток, "Человек в цикле" или "Общий доступ к проекту" или "Операции обновления проекта".