用于文档智能的托管标识
此内容适用于:
v3.1 (GA) v3.0 (GA) v2.1 (GA)
Azure 资源托管标识是一种服务主体,可为 Azure 托管资源创建 Microsoft Entra 标识和特定权限:
托管标识向支持 Microsoft Entra 身份验证的任何资源(包括你自己的应用程序)授予访问权限。 与安全密钥和身份验证令牌不同,托管标识使开发人员无需管理凭据。
可以授予对 Azure 资源的访问权限,并使用 Azure 基于角色的访问控制 (Azure RBAC) 为托管标识分配 Azure 角色。 在 Azure 中使用托管标识不会增加成本。
重要
利用托管标识即可无需管理凭据(包括共享访问签名 (SAS) 令牌)。
托管标识是授予对数据的访问权限而无需在代码中使用凭据的安全方法。
专用存储帐户访问
专用 Azure 存储帐户访问和身份验证支持 Azure 资源托管标识。 如果你的 Azure 存储帐户受虚拟网络 (VNet) 或防火墙保护,则文档智能无法直接访问你的存储帐户数据。 但是,启用托管标识后,文档智能可使用分配的托管标识凭据来访问你的存储帐户。
注意
先决条件
要开始,需要:
Azure 门户中的文档智能或 Azure AI 服务资源。 有关详细步骤,请参阅“创建 Azure AI 服务资源”。
与文档智能资源位于同一区域的 Azure blob 存储帐户。 你还需要创建一个容器,用于存储和组织存储帐户中的 blob 数据。
如果存储帐户位于防火墙后面,则必须启用以下配置:
从存储帐户页上的左侧菜单中选择“安全性 + 网络”→“网络” 。
在主窗口中,选择“允许从所选网络访问”。
在所选网络页上,导航到“例外”类别,并确保已启用“
Allow Azure services on the trusted services list to access this storage account”复选框。
简要了解使用 Azure 门户的 Azure 基于角色的访问控制 (Azure RBAC)。
托管标识分配
有两种托管标识类型:系统分配的托管标识和用户分配的托管标识 。 目前,文档智能仅支持系统分配的托管标识:
系统分配的托管标识直接在服务实例上启用。 此标识默认不会启用,因此你必须转到资源并更新标识设置。
系统分配的托管标识在其整个生命周期内与资源绑定。 如果删除资源,则托管标识也将被删除。
在以下步骤中,我们将启用系统分配的托管标识,并向文档智能授予受限访问 Azure blob 存储帐户的权限。
启用系统分配的托管标识
重要
若要启用系统分配的托管标识,你需要 Microsoft.Authorization/roleAssignments/write 权限,例如所有者或用户访问管理员皆拥有此权限 。 可在以下四个级别指定范围:管理组、订阅、资源组或资源。
使用已与 Azure 订阅关联的帐户登录 Azure 门户。
在 Azure 门户中,导航到你的文档智能资源页。
在左侧导航栏中的“资源管理”列表下,选择“标识”:
在主窗口中,将“系统分配的状态”选项卡切换为“开启” 。
授予对存储帐户的访问权限
你需要先向文档智能授予访问存储帐户的权限,然后它才能读取 blob。 现在已使用系统分配的托管标识启用了文档智能访问,接下来你可使用 Azure 基于角色的访问控制 (Azure RBAC) 向文档智能授予访问 Azure 存储的权限。 “存储 Blob 数据读取者”角色向文档智能(由系统分配的托管标识表示)授予对 blob 容器和数据的读取和列出访问权限。
在“权限”下,选择“Azure 角色分配” :
在打开的“Azure 角色分配”页面上,从下拉菜单中选择订阅,然后选择“+ 添加角色分配”。
注意
如果由于禁用了“添加 > 添加角色分配”选项而无法在 Azure 门户中分配角色,或者收到“你无权在此作用域添加角色分配”权限错误信息,请检查你目前登录的用户是否获分配在存储资源的存储作用域具有 Microsoft.Authorization/roleAssignments/write 权限的角色(例如所有者或用户访问管理员)。
接下来,将“存储 Blob 数据读者”角色分配给你的文档智能服务资源。 在“
Add role assignment”弹出窗口中,按如下所示填写字段,然后选择“保存”:字段 值 范围 存储 订阅 与存储资源关联的订阅。 资源 存储资源的名称 角色 存储 blob 数据读者:允许对 Azure 存储 blob 容器和数据的读取访问。 
收到“已添加角色分配”确认消息后,可以刷新页面以查看添加的角色分配。
如果没有立即看到更改,请等待并尝试再次刷新页面。 分配角色或删除角色分配时,最长可能需要 30 分钟更改才能生效。
就这么简单! 你已完成启用系统分配的托管标识的相关步骤。 借助托管标识和 Azure RBAC,无需管理凭据(如 SAS 令牌)即可向文档智能授予对存储资源的特定访问权限。
文档智能工作室的其他角色分配
如果要使用文档智能工作室,并且存储帐户配置了网络限制(例如防火墙或虚拟网络),则需要为文档智能服务分配另一个角色,即存储 Blob 数据参与者。 执行自动标签、人机回环或项目共享/升级操作时,文档智能工作室需要此角色才能将 Blob 写入存储帐户。
