Поделиться через

Управляемые удостоверения для языковых ресурсов

  • Статья

Управляемые удостоверения для ресурсов Azure — это субъекты-службы, которые создают удостоверение Microsoft Entra и определенные разрешения для управляемых ресурсов Azure. Управляемые удостоверения — это более безопасный способ предоставления доступа к данным хранилища и замены требования к включению маркеров подписанного URL-адреса url-адреса исходного и целевого контейнеров.

Снимок экрана: поток управляемых удостоверений (RBAC).

  • Управляемые удостоверения можно использовать для предоставления доступа к любому ресурсу, поддерживающему проверку подлинности Microsoft Entra, включая собственные приложения.

  • Чтобы предоставить доступ к ресурсу Azure, назначьте роль Azure управляемому удостоверению с помощью управления доступом на основе ролей Azure (Azure RBAC).

  • Дополнительная плата за использование управляемых удостоверений в Azure не взимается.

Внимание

  • При использовании управляемых удостоверений не включайте URL-адрес маркера SAS в HTTP-запросы, иначе запросы будут завершаться ошибкой. Использование управляемых удостоверений заменяет требование для включения маркеров подписи общего доступа (SAS) на URL-адреса исходного и целевого контейнера.

  • Чтобы использовать управляемые удостоверения для операций языка, необходимо создать ресурс языка в определенном географическом регионе Azure, например в восточной части США. Если для региона ресурсов языка задано значение Global, вы не можете использовать проверку подлинности управляемого удостоверения. Однако можно использовать маркеры подписанного URL-адреса (SAS).

Необходимые компоненты

Чтобы приступить к работе, вам потребуется следующее:

  • Активная учетная запись Azure. Если ее нет, можно создать бесплатную учетную запись.

  • Ресурс языка искусственного интеллекта Azure, созданный в региональном расположении.

  • Краткое представление об управлении доступом на основе ролей Azure сAzure RBAC помощью портал Azure.

  • Учетная запись Хранилище BLOB-объектов Azure в том же регионе, что и ресурс языка. Кроме того, необходимо создать контейнеры для хранения и упорядочивания данных BLOB-объектов в учетной записи хранения.

  • Если учетная запись хранения находится за брандмауэром, необходимо включить следующую конфигурацию:

    1. Откройте портал Azure и войдите в свою учетную запись Azure.

    2. Выберите учетную запись хранения.

    3. В группе "Безопасность и сеть" в левой области выберите "Сеть".

    4. На вкладке "Брандмауэры и виртуальные сети" выберите "Включено" из выбранных виртуальных сетей и IP-адресов.

      Снимок экрана, на котором показана выбранная переключатель сетей.

    5. Отмените выбор всех флажков.

    6. Убедитесь, что выбрана маршрутизация сети Майкрософт.

    7. В разделе "Экземпляры ресурсов" выберите Microsoft.CognitiveServices/accounts в качестве типа ресурса и выберите ресурс языка в качестве имени экземпляра.

    8. Убедитесь, что установлен флажок разрешить службам Azure в списке доверенных служб доступ к этой учетной записи хранения. Дополнительные сведения об управлении исключениями см. в разделе "Настройка служба хранилища Azure брандмауэров и виртуальных сетей".

      Снимок экрана: флажок

    9. Выберите Сохранить.

      Примечание.

      Для распространения изменений сети может потребоваться до 5 минут.

    Хотя доступ к сети теперь разрешен, ресурс языка по-прежнему не может получить доступ к данным в учетной записи хранения. Необходимо создать управляемое удостоверение и назначить определенную роль доступа ресурсу языка.

Назначение управляемых удостоверений

Существует два типа управляемых удостоверений: назначаемые системой и назначаемые пользователем. В настоящее время Перевод документов поддерживает управляемое удостоверение, назначаемое системой.

  • Управляемое удостоверение, назначаемое системой, включается непосредственно в экземпляре службы. Оно не включено по умолчанию. Необходимо перейти к ресурсу и изменить параметр удостоверения.

  • Управляемое удостоверение, назначаемое системой, связано с ресурсом на протяжении всего его жизненного цикла. При удалении ресурса также удаляется управляемое удостоверение.

В следующих шагах мы включите управляемое удостоверение, назначаемое системой, и предоставьте ресурсу языка ограниченный доступ к вашей учетной записи Хранилище BLOB-объектов Azure.

Включение управляемого удостоверения, назначаемого системой

Перед созданием, чтением или удалением BLOB-объектов необходимо предоставить ресурс языка учетной записи хранения. После включения ресурса языка с управляемым удостоверением, назначаемого системой, вы можете использовать управлениеAzure RBAC доступом на основе ролей Azure для предоставления возможностей языка контейнерам службы хранилища Azure.

  1. Откройте портал Azure и войдите в свою учетную запись Azure.

  2. Выберите свой языковой ресурс.

  3. В группе управления ресурсами в левой области выберите "Удостоверение". Если ресурс был создан в глобальном регионе, вкладка "Удостоверение " не отображается. Маркеры подписанного URL-адреса (SAS) по-прежнему можно использовать для проверки подлинности.

  4. На вкладке " Назначаемая системой" включите переключатель "Состояние ".

    Снимок экрана: вкладка

    Внимание

    Назначенные пользователем управляемые удостоверения не соответствуют требованиям для сценария учетной записи хранения пакетной обработки. Обязательно включите управляемое удостоверение, назначаемое системой.

  5. Выберите Сохранить.

Предоставление доступа к учетной записи хранения для ресурса языка

Внимание

Чтобы назначить роль управляемого удостоверения, назначаемую системой, требуется разрешение Microsoft.Authorization/roleAssignments/write, например "Владелец" или "Администратор доступа пользователей" в области хранилища для ресурса хранилища.

  1. Откройте портал Azure и войдите в свою учетную запись Azure.

  2. Выберите свой языковой ресурс.

  3. В группе управления ресурсами в левой области выберите "Удостоверение".

  4. В разделе Разрешения выберите Назначения ролей Azure.

    Снимок экрана: включение управляемого удостоверения, назначаемого системой, в портал Azure.

  5. На открывшейся странице назначений ролей Azure выберите подписку в раскрывающемся меню и нажмите кнопку +Добавить назначение ролей.

    Снимок экрана: страница назначений ролей Azure в портал Azure.

  6. Затем назначьте роль участника данных BLOB-объектов хранилища ресурсу службы языка. Роль участника данных BLOB-объектов хранилища предоставляет языку (представленному системой управляемому удостоверению) чтение, запись и удаление доступа к контейнеру и данным BLOB-объектов. Во всплывающем окне Добавление назначения ролей заполните поля, как указано ниже, и нажмите кнопку Сохранить.

    Поле Значение
    Область применения Хранилище.
    Подписка Подписка, связанная с ресурсом хранилища.
    Ресурс Имя ресурса хранилища.
    Роль Участник для данных BLOB-объектов хранилища.

    Снимок экрана: страница назначений ролей в портал Azure.

  7. После появления сообщения подтверждения назначения добавленной роли обновите страницу, чтобы увидеть добавление назначения ролей.

    Снимок экрана: всплывающее сообщение о подтверждении присвоения добавленной роли.

  8. Если новое назначение роли не отображается сразу, подождите и повторите попытку обновления страницы. При добавлении или удалении назначений ролей может потребоваться до 30 минут, чтобы изменения вступили в силу.

HTTP-запросы;

  • Запрос на работу службы языка машинного документа отправляется в конечную точку службы языка с помощью запроса POST.

  • С управляемым удостоверением и Azure RBACбольше не нужно включать URL-адреса SAS.

  • При успешном выполнении метод POST возвращает 202 Accepted код ответа, а служба создает запрос.

  • Обработанные документы отображаются в целевом контейнере.

Следующие шаги

Начало работы с поддержкой собственных документов