Поделиться через


Управляемые удостоверения для аналитики документов

Это содержимое относится к:флажок версии 4.0 (предварительная версия) флажок версии 3.1 (GA) версии 3.0 (GA) флажок версии 2.1 (GA) флажок

Управляемые удостоверения для ресурсов Azure — это субъекты-службы, которые создают удостоверение Microsoft Entra и определенные разрешения для управляемых ресурсов Azure:

Снимок экрана: поток управляемых удостоверений (RBAC).

  • Управляемые удостоверения предоставляют доступ к любому ресурсу, который поддерживает проверку подлинности Microsoft Entra, в том числе к собственным приложениям. В отличие от ключей безопасности и маркеров проверки подлинности, управляемые удостоверения устраняют необходимость в управлении учетными данными для разработчиков.

  • Вы можете предоставить доступ к ресурсу Azure и назначить роль Azure управляемому удостоверению с помощью управления доступом на основе ролей Azure (Azure RBAC). Дополнительная плата за использование управляемых удостоверений в Azure не взимается.

Внимание

  • Управляемые удостоверения устраняют необходимость в управлении учетными данными, включая маркеры подписанного URL-адреса (SAS).

  • Управляемые удостоверения — это более безопасный способ предоставления доступа к данным без использования учетных данных в коде.

Доступ к частной учетной записи

Доступ к частной учетной записи хранения Azure и проверка подлинности поддерживают управляемые удостоверения для ресурсов Azure. Если у вас есть учетная запись хранения Azure, защищенная виртуальная сеть (VNet) или брандмауэром, аналитика документов не может напрямую получить доступ к данным учетной записи хранения. Однако после включения управляемого удостоверения аналитика документов может получить доступ к учетной записи хранения с помощью назначенных учетных данных управляемого удостоверения.

Примечание.

Необходимые компоненты

Для начала работы необходимы перечисленные ниже компоненты и данные.

Назначение управляемых удостоверений

Существует два типа управляемых удостоверений: назначаемые системой и назначаемые пользователем. В настоящее время аналитика документов поддерживает только управляемое удостоверение, назначаемое системой:

  • Управляемое удостоверение, назначаемое системой, включается непосредственно в экземпляре службы. Оно не включено по умолчанию. Необходимо перейти к ресурсу и изменить параметр удостоверения.

  • Управляемое удостоверение, назначаемое системой, связано с ресурсом на протяжении всего его жизненного цикла. При удалении ресурса также удаляется управляемое удостоверение.

В следующих шагах мы включите управляемое удостоверение, назначаемое системой, и предоставьте ограниченному доступу к учетной записи хранения BLOB-объектов Azure.

Включение управляемого удостоверения, назначаемого системой

Внимание

Чтобы включить управляемое удостоверение, назначаемое системой, необходимы разрешения Microsoft.Authorization/roleAssignments/write, такие как Владелец или Администратор доступа пользователей. Область действия можно задать на четырех уровнях: на уровне группы управления, подписки, группы ресурсов или ресурса.

  1. Войдите на портал Azure с помощью учетной записи, связанной с подпиской Azure.

  2. Перейдите на страницу ресурса аналитики документов в портал Azure.

  3. В области слева в списке Управление ресурсами выберите Удостоверение.

    Снимок экрана: вкладка удостоверений управления ресурсами в портал Azure.

  4. В главном окне переключите вкладку Состояние назначения системой в состояние Вкл.

Предоставление доступа к учетной записи хранения

Перед чтением больших двоичных объектов необходимо предоставить доступ к учетной записи хранения аналитики документов. Теперь, когда доступ к аналитике документов включен с помощью управляемого удостоверения, назначаемого системой, можно использовать управление доступом на основе ролей Azure (Azure RBAC), чтобы предоставить доступ к службе аналитики документов Azure. Роль чтения данных BLOB-объектов хранилища предоставляет аналитику документов (представленную управляемым удостоверением, назначаемым системой) доступ к контейнеру и данным BLOB-объектов.

  1. В разделе Разрешения выберите Назначения ролей Azure.

    Снимок экрана: включение управляемого удостоверения, назначаемого системой, в портал Azure.

  2. На открывающейся странице назначений ролей Azure выберите подписку в раскрывающемся меню и нажмите кнопку +Добавить назначение ролей.

    Снимок экрана: страница назначений ролей Azure в портал Azure.

    Примечание.

    Если не удается назначить роль на портале Azure, так как параметр "Добавить > Добавить назначение ролей" отключен или возникает ошибка разрешений "У вас нет разрешений на добавление назначения ролей в этой области", убедитесь в том, что вы вошли как пользователь с назначенной ролью, имеющей разрешения Microsoft.Authorization/roleAssignments/write, такие как "Владелец" или "Администратор доступа пользователей", в области хранилища для ресурса хранилища.

  3. Затем вы назначите роль читателя данных BLOB-объектов хранилища ресурсу службы аналитики документов. В всплывающем Add role assignment окне заполните поля следующим образом и нажмите кнопку "Сохранить".

    Поле Значение
    Область применения Память
    Подписка Подписка, связанная с ресурсом хранилища.
    Ресурс Имя ресурса хранилища.
    Роль Читатель для данных BLOB-объектов хранилища — разрешает доступ на чтение к контейнерам больших двоичных объектов и данным службы хранилища Azure

    Снимок экрана: страница добавления назначений ролей в портал Azure.

  4. После получения сообщения подтверждения назначения добавленной роли обновите страницу, чтобы увидеть добавление назначения ролей.

    Снимок экрана: всплывающее сообщение о подтверждении назначения ролей.

  5. Если изменения отображаются не сразу, подождите и попробуйте обновить страницу еще раз. При добавлении или удалении назначений ролей может потребоваться до 30 минут, чтобы изменения вступили в силу.

    Снимок экрана: окно назначений ролей Azure.

Вот и все! Вы выполнили действия, чтобы включить управляемое удостоверение, назначаемое системой. С управляемым удостоверением и Azure RBAC вы предоставили определенные права доступа к ресурсу хранилища, не управляя учетными данными, такими как маркеры SAS.

Другие назначения ролей для Document Intelligence Studio

Если вы собираетесь использовать Document Intelligence Studio, а учетная запись хранения настроена с ограничением сети, например брандмауэром или виртуальной сетью, другой ролью, участником данных BLOB-объектов хранилища, необходимо назначить службе аналитики документов. Для записи больших двоичных объектов в учетную запись хранения в Студии аналитики документов требуется эта роль при выполнении автоматических меток, "Человек в цикле" или "Общий доступ к проекту" или "Операции обновления проекта".

Снимок экрана: назначение роли участника данных BLOB-объектов хранилища.

Следующие шаги