Stabilire connessioni indicizzatore a Archiviazione di Azure come servizio attendibile
In Ricerca di intelligenza artificiale di Azure gli indicizzatori che accedono ai BLOB di Azure possono usare l'eccezione del servizio attendibile per accedere in modo sicuro ai BLOB. Questo meccanismo offre ai clienti che non sono in grado di concedere l'accesso all'indicizzatore usando regole del firewall IP, un'alternativa semplice, sicura e gratuita per l'accesso ai dati negli account di archiviazione.
Nota
Se Archiviazione di Azure si trova dietro un firewall e nella stessa area di Ricerca di intelligenza artificiale di Azure, non sarà possibile creare una regola in ingresso che ammette le richieste dal servizio di ricerca. La soluzione per questo scenario consiste nel cercare di connettersi come servizio attendibile, come descritto in questo articolo.
Prerequisiti
Un servizio di ricerca con un'identità gestita assegnata dal sistema (vedere Controllare l'identità del servizio).
Un account di archiviazione con l'opzione Allow trusted servizi Microsoft to access this storage account network (vedere Controllare le impostazioni di rete).
Un'assegnazione di ruolo di Azure in Archiviazione di Azure che concede le autorizzazioni all'identità gestita assegnata dal sistema di ricerca (vedere Controllare le autorizzazioni).
Nota
In Ricerca di intelligenza artificiale di Azure una connessione al servizio attendibile è limitata ai BLOB e ad ADLS Gen2 in Archiviazione di Azure. Non è supportato per le connessioni dell'indicizzatore a Archiviazione e File di Azure tabelle di Azure.
Una connessione al servizio attendibile deve usare un'identità gestita dal sistema. Un'identità gestita assegnata dall'utente non è attualmente supportata per questo scenario.
Controllare l'identità del servizio
Accedere al portale di Azure e trovare il servizio di ricerca.
Nella pagina Identità assicurarsi che sia abilitata un'identità assegnata dal sistema. Tenere presente che le identità gestite assegnate dall'utente, attualmente in anteprima, non funzioneranno per una connessione al servizio attendibile.
Controllare le impostazioni di rete
Accedere al portale di Azure e trovare l'account di archiviazione.
Nel riquadro di spostamento sinistro in Sicurezza e rete selezionare Rete.
Nella scheda Firewall e reti virtuali consentire l'accesso dalle reti selezionate.
Scorrere verso il basso fino alla sezione Eccezioni .
Assicurarsi che la casella di controllo sia selezionata per Consenti ai servizi di Azure nell'elenco servizi attendibili di accedere a questo account di archiviazione.
Supponendo che il servizio di ricerca abbia accesso in base al ruolo all'account di archiviazione, può accedere ai dati anche quando le connessioni a Archiviazione di Azure sono protette dalle regole del firewall IP.
Verificare le autorizzazioni
Un'identità gestita dal sistema è un'entità servizio Microsoft Entra. L'assegnazione richiede almeno Archiviazione lettore di dati BLOB.
Nel riquadro di spostamento a sinistra in Controllo di accesso visualizzare tutte le assegnazioni di ruolo e assicurarsi che Archiviazione lettore di dati BLOB sia assegnato all'identità del sistema del servizio di ricerca.
Aggiungere Archiviazione Collaboratore dati BLOB se è necessario l'accesso in scrittura.
Le funzionalità che richiedono l'accesso in scrittura includono la memorizzazione nella cache di arricchimento, le sessioni di debug e l'archivio conoscenze.
Configurare e testare la connessione
Il modo più semplice per testare la connessione consiste nell'eseguire la procedura guidata Importa dati.
Avviare la procedura guidata Importa dati, selezionando il Archiviazione BLOB di Azure o Azure Data Lake Archiviazione Gen2.
Scegliere una connessione all'account di archiviazione e quindi selezionare Assegnata dal sistema. Selezionare Avanti per richiamare una connessione. Se viene rilevato lo schema dell'indice, la connessione ha avuto esito positivo.