将视频索引器配置为使用防火墙后面的存储帐户
重要
由于Azure 媒体服务停用公告,Azure AI 视频索引器会宣布 Azure AI 视频索引器功能调整。 请参阅 与 Azure 媒体服务(AMS)停用 相关的更改,了解 Azure AI 视频索引器帐户的含义。 请参阅 AMS 停用准备:VI 更新和迁移指南。
创建视频索引器帐户时,必须将它与Azure 存储帐户相关联。 视频索引器可以使用系统身份验证或托管标识身份验证访问存储帐户。 视频索引器验证添加关联的用户是否有权使用 Azure 资源管理器 基于角色的 访问控制 (RBAC) 访问存储帐户。
如果要使用防火墙来保护存储帐户并启用受信任的存储, 则允许视频索引器通过防火墙进行访问的托管标识 身份验证是首选选项。 它允许视频索引器访问已配置的存储帐户,而无需公共访问 受信任的存储访问。
重要
当锁定存储帐户而不公开访问时,请注意,用于使用视频索引器门户下载视频源文件的客户端设备将是存储帐户将看到并允许/拒绝的源 IP,具体取决于存储帐户的网络配置。 例如,如果我从主网络访问视频索引器门户,并且我想将视频源文件下载到存储帐户的 sas URL,则我的设备将启动请求,因此存储帐户将看到我的家庭 IP 作为源 IP。 如果未为此 IP 添加异常,将无法访问源视频的 SAS URL。 在网络策略(即使用企业网络、VPN 或专用链接)上与网络/存储管理员协作。
按照以下步骤为存储启用托管标识,然后锁定存储帐户。 假设已创建视频索引器帐户并关联存储帐户。
分配托管标识和角色
按照创建 Azure AI 视频索引器帐户的所有步骤操作,但也使用以下步骤:
- 选择“分配角色”时,将分配以下角色:
Azure Media Services : Contributor和Azure Storage : Storage Blob Data Owner。 可以通过导航到 视频索引器帐户的“标识 ”菜单并选择 Azure 角色分配来验证或手动设置分配。 - 导航到存储帐户。 从菜单中选择“网络”,然后在“公用网络访问”部分中从选定的虚拟网络和 IP 地址中选择“已启用”。
- 在“例外”下,确保已选择“受信任的服务”列表中的“允许 Azure 服务访问此存储帐户”。
从锁定的存储帐户上传
将文件上传到视频索引器时,可以使用 SAS 定位符提供视频的链接。 如果托管视频的存储帐户不可公开访问,请使用托管标识和受信任的服务方法。 由于无法知道 SAS URL 是否指向锁定的存储帐户,因此在上传视频 API 调用中显式设置查询参数useManagedIdentityToDownloadVideotrue。
还需要像使用存储帐户一样在此存储帐户上设置角色 Azure Storage : Storage Blob Data Owner 。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈