使用托管标识和虚拟网络配置安全访问

此内容适用于:选中标记 v3.1 (GA) 选中标记 v3.0 (GA) 选中标记 v2.1 (GA)

本操作指南将引导你完成为文档智能资源启用安全连接的过程。 你可以保护以下连接:

  • 虚拟网络 (VNET) 中的客户端应用程序与文档智能资源之间的通信。

  • 文档智能工作室与文档智能资源之间的通信。

  • 文档智能资源和存储帐户之间的通信(训练自定义模型时需要)。

你将设置环境以保护资源:

使用托管标识和虚拟网络进行安全配置的屏幕截图。

先决条件

要开始,需要:

配置资源

配置每个资源以确保资源可以相互通信:

  • 通过访问设置页并选择资源,将文档智能工作室配置为使用新创建的文档智能资源。

  • 通过选择读取 API 并分析示例文档来确保并验证配置有效。 如果资源配置正确,请求将成功完成。

  • 将训练数据集添加到创建的存储帐户中的容器。

  • 选择自定义模型磁贴以创建自定义项目。 确保选择与上一步中创建的相同文档智能资源和存储帐户。

  • 选择包含在上一步中上传的训练数据集的容器。 确保如果训练数据集位于文件夹中,则适当设置文件夹路径。

  • 确保拥有所需的权限,Studio 设置访问存储帐户所需的 CORS 设置。 如果没有权限,则需要确保在存储帐户上配置了 CORS 设置,然后才能继续。

  • 确保并验证已将 Studio 配置为可访问训练数据。 如果可以在加标签体验中看到文档,则表示所有必要的连接均已建立。

现在,你具有使用默认安全模型构建文档智能解决方案所需的所有组件的有效实现:

默认安全配置的屏幕截图。

然后,完成以下步骤:

  • 为 Document Intelligence 资源配置托管标识。

  • 保护存储帐户以仅限制来自特定虚拟网络和 IP 地址的流量。

  • 配置文档智能托管标识以与存储帐户通信。

  • 禁用对 Document Intelligence 资源的公共访问,并创建专用终结点。 然后,只能从特定虚拟网络和 IP 地址访问资源。

  • 为所选虚拟网络中的存储帐户添加专用终结点。

  • 确保并验证你可以在虚拟网络内训练模型和分析文档。

为文档智能设置托管标识

导航到 Azure 门户中的文档智能资源,然后选择“标识”选项卡。将系统分配的托管标识切换为“打开”并保存更改:

配置托管标识的屏幕截图。

保护存储帐户的安全

通过在 Azure 门户中导航到存储帐户上的“网络”选项卡,开始配置安全通信。

  1. 在“防火墙和虚拟网络”下,从“公共网络访问”列表中选择“已从所选虚拟网络和 IP 地址启用”。

  2. 在“防火墙和虚拟网络”选项卡上,确保选择“允许受信任服务列表中的 Azure 服务访问此存储帐户。”。

  3. 单击“保存”以保存更改。

配置存储防火墙的屏幕截图。

注意

无法从公共 Internet 访问你的存储帐户。

刷新工作室中的自定义模型标记页将导致错误消息。

启用从文档智能访问存储

要确保文档智能资源可以访问训练数据集,需要为托管标识添加角色分配。

  1. 留在 Azure 门户的存储帐户窗口中,导航到左侧导航栏中的“访问控制 (IAM)”选项卡。

  2. 选择“添加角色分配”按钮。

    “添加角色分配”窗口的屏幕截图。

  3. 在“角色”选项卡上,搜索并选择“存储 Blob 数据参与者”权限,然后选择“下一步”。

    “选择角色”选项卡的屏幕截图。

  4. 在“成员”选项卡上,选择“托管标识”选项,然后选择“+ 选择成员”

  5. 在“选择托管标识”对话框窗口中,选择以下选项:

    • 订阅。 选择订阅。

    • 托管标识。 选择表单识别器。

    • 选择。 选择使用托管标识启用的文档智能资源。

    托管标识对话窗口的屏幕截图。

  6. 关闭对话框。

  7. 最后,选择“查看 + 分配”以保存更改。

很好! 你已将文档智能资源配置为使用托管标识连接到存储帐户。

提示

当你尝试使用文档智能工作室时,你会看到 READ API 和其他预构建模型不需要存储访问来处理文档。 但是,训练自定义模型需要额外的配置,因为 Studio 无法直接与存储帐户通信。 你可以通过从存储帐户的“网络”选项卡中选择“添加你的客户端 IP 地址”来启用存储访问,以将你的计算机配置为通过 IP 许可列表访问存储帐户。

配置专用终结点以从 VNET 进行访问

注意

  • 这些资源只能从虚拟网络访问。

  • 工作室中的某些文档智能功能(例如自动标签)要求文档智能工作室有权访问存储帐户。

  • 将工作室 IP 地址 20.3.165.95 添加到文档智能和存储帐户资源的防火墙允许列表中。 这是文档智能工作室的专用 IP 地址,可以放心地允许。

在从虚拟网络连接到资源时,添加专用终结点将确保可以从虚拟网络访问存储帐户和文档智能资源。

接下来,配置虚拟网络,以确保只有虚拟网络中的资源或通过网络的流量路由器才能访问文档智能资源和存储帐户。

启用防火墙和虚拟网络

  1. 在 Azure 门户中,导航到你的文档智能资源。

  2. 从左侧导航栏中选择“网络”选项卡。

  3. 从“防火墙和虚拟网络”选项卡中启用“所选网络和专用终结点”选项,然后选择“保存”。

注意

如果你尝试访问任何文档智能工作室功能,你将看到拒绝访问消息。 若要在计算机上从该工作室启用访问,请选中“添加客户端 IP 地址”复选框,并选择“保存”以还原访问权限。

屏幕截图显示了如何禁用对文档智能的公共访问。

配置专用终结点

  1. 导航到“专用终结点连接”选项卡,然后选择“+ 专用终结点”。 系统会将你导航到“创建专用终结点”对话框页。

  2. 在“创建专用终结点”对话框页上,选择以下选项:

    • 订阅。 选择计费订阅。

    • 资源组。 选择适当的资源组。

    • Name。 输入专用终结点的名称

    • 区域。 选择与你的虚拟网络相同的区域。

    • 在完成时选择“下一步:资源”。

    显示如何设置专用终结点的屏幕截图

配置虚拟网络

  1. 在“资源”选项卡上,接受默认值,然后选择“下一步: 虚拟网络”。

  2. 在“虚拟网络”选项卡上,确保选择你创建的虚拟网络。

  3. 如果有多个子网,请选择希望专用终结点连接的子网。 接受默认值以动态分配 IP 地址。

  4. 选择“下一步: DNS”

  5. 接受默认值“是”以与专用 DNS 区域集成

    显示如何配置专用终结点的屏幕截图

  6. 接受剩余的默认值,然后选择“下一步: 标记”。

  7. 选择“下一步: 查看 + 创建”。

干得不错! 你的文档智能资源现在只能从虚拟网络和 IP 允许列表中的任何 IP 地址访问。

为存储配置专用终结点。

导航到 Azure 门户中的存储帐户。

  1. 从左侧导航菜单中选择“网络”选项卡。

  2. 选择“专用终结点连接”选项卡。

  3. 选择“+ 添加专用终结点”。

  4. 提供名称并选择与虚拟网络相同的区域。

  5. 在完成时选择“下一步:资源”。

    显示如何创建专用终结点的屏幕截图

  6. 在“资源”选项卡上,从“目标子资源”列表中选择 Blob。

  7. 选择“下一步: 虚拟网络”。

    显示如何为 blob 配置专用终结点的屏幕截图。

  8. 选择“虚拟网络”和“子网”。 确保选中“为此子网中的所有专用终结点启用网络策略”并启用“动态分配 IP 地址”。

  9. 选择“下一步: DNS”。

  10. 确保针对“与专用 DNS 区域集成”选择“是”。

  11. 在完成时选择“下一步: 标记”。

  12. 在完成时选择“下一步: 查看 + 创建”。

干得漂亮! 你现在已将文档智能资源和存储之间的所有连接配置为使用托管标识。

注意

这些资源只能从虚拟网络和允许的 IP 进行访问。

Studio 对文档智能资源的访问和分析请求将失败,除非请求源自虚拟网络或通过虚拟网络路由。

验证部署

要验证你的部署,你可以将虚拟机 (VM) 部署到虚拟网络并连接到资源。

  1. 在虚拟网络中配置数据科学 VM

  2. 从桌面远程连接到 VM 并启动用于访问 Document Intelligence Studio 的浏览器会话。

  3. 分析请求和训练操作现在应该可以成功运行。

就这么简单! 你现在可以使用托管标识和专用终结点为文档智能资源配置安全访问。

常见错误消息

  • 无法访问 Blob 容器:

    需要 CORS 配置时出现的错误消息的屏幕截图

    解决方法:

    1. 配置 CORS

    2. 确保客户端计算机可以在以下情况下访问 Document Intelligence 资源和存储帐户:Document Intelligence 资源和存储帐户位于同一个 VNET 中,或者已在 Document Intelligence 资源和存储帐户的“网络 > 防火墙和虚拟网络”设置页面中将客户端 IP 地址加入允许名单

  • AuthorizationFailure:

    授权失败错误的屏幕截图。

    解决方案:确保客户端计算机可以在以下情况下访问 Document Intelligence 资源和存储帐户:Document Intelligence 资源和存储帐户位于同一个 VNET 中,或者已在 Document Intelligence 资源和存储帐户的“网络 > 防火墙和虚拟网络”设置页面中将客户端 IP 地址加入允许名单

  • ContentSourceNotAccessible:

    无法访问内容源错误的屏幕截图。

    解决方法:确保你已为文档智能托管标识授予“存储 Blob 数据参与者”的角色,并在“网络”选项卡上启用了“受信任的服务”访问或“资源实例”规则。

  • AccessDenied:

    访问被拒绝错误的屏幕截图。

    解决方案:确保客户端计算机可以在以下情况下访问 Document Intelligence 资源和存储帐户:Document Intelligence 资源和存储帐户位于同一个 VNET 中,或者已在 Document Intelligence 资源和存储帐户的“网络 > 防火墙和虚拟网络”设置页面中将客户端 IP 地址加入允许名单

后续步骤