共用方式為

在 Azure AI 搜尋服務中啟用或停用角色型存取控制

  • 發行項

Azure AI 搜尋支援所有控制平面和數據平面作業的無密鑰和 金鑰型驗證 。 您可以透過 Azure 角色型存取控制(RBAC),針對所有控制平面和數據平面作業使用Microsoft Entra ID 驗證和數據平面作業。

重要

當您建立搜尋服務時,金鑰型驗證是預設值,但不是最安全的選項。 我們建議您將它取代為角色型存取,如本文所述。

您必須先在搜尋服務上啟用角色型訪問控制,才能為授權的數據平面存取指派角色給 Azure AI 搜尋服務。 服務管理的角色 (控制平面) 是內建的,因此無法將其啟用或停用。

注意

數據平面是指針對搜尋服務端點的作業,例如編製索引或查詢,或搜尋服務 REST API 或對等的 Azure SDK 用戶端連結庫中指定的任何其他作業。 控制平面 是指 Azure 資源管理,例如建立或設定搜尋服務。

必要條件

啟用資料平面作業的角色型存取

設定您的搜尋服務,以辨識提供 OAuth2 存取權杖的資料要求上的授權標頭。

當您啟用資料平面的角色時,變更會立即生效,但請稍候幾秒鐘,然後再指派角色。

未經授權要求的預設失敗模式為 http401WithBearerChallenge。 或者,您可以將失敗模式設定為 http403

  1. 登入 Azure 入口網站 並流覽至您的搜尋服務。

  2. 在左側瀏覽窗格中,選取 [設定],然後選取 [金鑰]

    金鑰頁面的螢幕擷取畫面,其中具有驗證選項。

  3. 選擇 [角色型控件]。 只有在您目前使用密鑰且需要時間將用戶端轉換為角色型訪問控制時,才選擇 [兩者 ]。

    選項 描述
    API 金鑰 (預設值) 需要要求標頭上的 API 金鑰,才能進行授權。
    角色型存取控制(建議 ) 需要角色指派中的成員資格,才能完成工作。 其也需要要求上的授權標頭。
    兩者 使用 API 金鑰或角色型存取控制,要求是有效的,但如果您在相同的要求中提供這兩者,則會使用 API 金鑰。

  4. 身為系統管理員,如果您選擇僅限角色方法,請將資料平面角色指派給使用者帳戶,以在 Azure 入口網站中還原資料平面作業的完整系統管理存取權。 角色包括搜尋服務參與者、搜尋索引資料參與者和搜尋索引資料讀者。 如果您想要對等的存取權,則需要前兩個角色。

    有時可能需要五到十分鐘的時間,角色指派才會生效。 在發生這種情況之前,下列訊息會出現在用於數據平面作業的 Azure 入口網站 頁面中。

    入口網站訊息指出權限不足的螢幕擷取畫面。

停用角色型存取控制

可以停用資料平面作業的角色型存取控制,並改用金鑰型驗證。 您可能會執行此動作,作為測試工作流程的一部分,例如排除權限問題。

若要停用 Azure 入口網站 中的角色型訪問控制:

  1. 登入 Azure 入口網站,並開啟搜尋服務頁面。

  2. 在左側瀏覽窗格中,選取 [設定],然後選取 [金鑰]

  3. 選取 [API 金鑰]

停用 API 金鑰驗證

如果您是以獨佔方式使用內建角色和 Microsoft Entra 驗證,則可以在您的服務上停用金鑰存取或本機驗證。 停用 API 金鑰會導致搜尋服務拒絕在標頭中傳遞 API 金鑰的所有資料相關要求。

管理員 API 金鑰可以停用,但無法刪除。 可以刪除查詢 API 金鑰。

需要擁有者或參與者權限才能停用安全性功能。

  1. 在 Azure 入口網站中,瀏覽至您的搜尋服務。

  2. 在左導覽窗格中,選取 [金鑰]

  3. 選取 [角色型存取控制]

變更會立即生效,但在測試之前請稍候幾秒鐘。 假設您有權將角色指派為擁有者、服務管理員或共同管理員的成員,您可以使用入口網站功能來測試角色型存取。

下一步

設定角色以存取搜尋服務