Configurare Video Indexer per l'uso con gli account di archiviazione dietro il firewall
Quando si crea un account Video Indexer, è necessario associarlo a un account Archiviazione di Azure. Gli account di archiviazione per VI devono essere un account di archiviazione per utilizzo generico v2 Standard. Video Indexer può accedere all'account di archiviazione usando l'autenticazione di sistema o l'autenticazione dell'identità gestita. Video Indexer convalida che l'utente che aggiunge l'associazione abbia accesso all'account di archiviazione con il Controllo di accesso basato sul ruolo di Azure Resource Manager.
Se si vuole usare un firewall per proteggere l'account di archiviazione e abilitare l'archiviazione attendibile, l'autenticazione delle identità gestite che consente l'accesso a Video Indexer tramite il firewall è l'opzione preferita. Consente a Video Indexer di accedere all'account di archiviazione configurato senza che sia necessario l'accesso pubblico per l'accesso all'archiviazione attendibile.
Importante
È importante comprendere le implicazioni se si bloccano gli account di archiviazione senza accesso pubblico, soprattutto in relazione al portale di Video Indexer. L'indirizzo IP di origine del dispositivo client è fondamentale in questo scenario. Se l'account di archiviazione è bloccato e non ha un'eccezione per l'INDIRIZZO IP di origine, l'accesso all'URL di firma di accesso condiviso per il file di origine video verrà negato. Questo vale sia per il download che per lo streaming di contenuti video.
Per garantire l'accesso facile, è consigliabile collaborare con l'amministratore di rete/archiviazione per soddisfare questi requisiti. Usare la rete aziendale, una VPN o collegamento privato di Azure per fornire la connettività necessaria mantenendo il comportamento di sicurezza degli account di archiviazione.
Ad esempio, collegamento privato di Azure offre un modo sicuro per accedere ai servizi di Azure privatamente dalla rete virtuale. Semplifica l'architettura di rete e protegge la connessione tra endpoint in Azure eliminando l'esposizione dei dati alla rete Internet pubblica.
Eventuali modifiche alle configurazioni di rete devono essere pianificate attentamente e testate per evitare di interrompere l'accesso ai servizi e alle risorse essenziali.
Seguire questa procedura per abilitare l'identità gestita per l'archiviazione e quindi bloccare l'account di archiviazione. Si presuppone che sia già stato creato un account Video Indexer e che sia stato associato l'account di archiviazione.
Assegnare l'identità gestita e il ruolo
Seguire tutti i passaggi per la creazione di un account Di Azure AI Video Indexer, ma usare anche la procedura seguente:
- Quando si seleziona Assegna ruolo, vengono assegnati i ruoli seguenti:
Azure Media Services : ContributoreAzure Storage : Storage Blob Data Owner. È possibile verificare o impostare manualmente le assegnazioni passando al menu Identità dell'account Video Indexer e selezionando Assegnazioni di ruolo di Azure. - Passare all'account di archiviazione. Selezionare Rete dal menu e selezionare Abilitato nelle reti virtuali e negli indirizzi IP selezionati nella sezione Accesso alla rete pubblica.
- In Eccezioni assicurarsi che l'opzione Consenti ai servizi di Azure nell'elenco dei servizi attendibili di accedere a questo account di archiviazione sia selezionata.
Caricare da un account di archiviazione bloccato
Quando si carica un file in Video Indexer, è possibile fornire un collegamento a un video usando un localizzatore di firma di accesso condiviso. Se l'account di archiviazione che ospita il video non è accessibile pubblicamente, usare l'approccio identità gestita e servizio attendibile. Poiché non è possibile sapere se un URL di firma di accesso condiviso punta a un account di archiviazione bloccato, impostare in modo esplicito il parametro useManagedIdentityToDownloadVideo di query su true nella chiamata API upload-video.
È anche necessario impostare il ruolo Azure Storage : Storage Blob Data Owner in questo account di archiviazione come è stato fatto con l'account di archiviazione.