Aracılığıyla paylaş


Azure AI Search'te rol tabanlı erişim denetimini etkinleştirme veya devre dışı bırakma

Azure AI Search, tüm denetim düzlemi ve veri düzlemi işlemleri için anahtarsız ve anahtar tabanlı kimlik doğrulamasını destekler. Azure rol tabanlı erişim denetimi (RBAC) aracılığıyla tüm denetim düzlemi ve veri düzlemi işlemleri için Microsoft Entra Id kimlik doğrulaması ve yetkilendirmesini kullanabilirsiniz.

Önemli

Arama hizmeti oluşturduğunuzda, anahtar tabanlı kimlik doğrulaması varsayılandır, ancak en güvenli seçenek değildir. Bu makalede açıklandığı gibi rol tabanlı erişimle değiştirmenizi öneririz.

Azure AI Search'e yetkili veri düzlemi erişimi için roller atayabilmeniz için önce arama hizmetinizde rol tabanlı erişim denetimini etkinleştirmeniz gerekir. Hizmet yönetimi (denetim düzlemi) rolleri yerleşik olarak bulunur ve etkinleştirilemiyor veya devre dışı bırakılamaz.

Not

Veri düzlemi, dizin oluşturma veya sorgular gibi arama hizmeti uç noktasına yönelik işlemleri ya da Arama Hizmeti REST API'lerinde veya eşdeğer Azure SDK istemci kitaplıklarında belirtilen diğer işlemleri ifade eder. Denetim düzlemi , arama hizmeti oluşturma veya yapılandırma gibi Azure kaynak yönetimini ifade eder.

Önkoşullar

  • Ücretsiz dahil olmak üzere herhangi bir bölgede, herhangi bir katmanda bir arama hizmeti.

  • Sahip, Kullanıcı Erişimi Yöneticisi veya Microsoft.Authorization/roleAssignments/write izinlerine sahip özel bir rol.

Veri düzlemi işlemleri için rol tabanlı erişimi etkinleştirme

Arama hizmetinizi OAuth2 erişim belirteci sağlayan veri isteklerinde yetkilendirme üst bilgisini tanıyacak şekilde yapılandırın.

Veri düzlemi için rolleri etkinleştirdiğinizde, değişiklik hemen geçerli olur, ancak rolleri atamadan önce birkaç saniye bekleyin.

Yetkisiz istekler için varsayılan hata modu şeklindedir http401WithBearerChallenge. Alternatif olarak, hata modunu olarak http403ayarlayabilirsiniz.

  1. Azure portalında oturum açın ve arama hizmetinize gidin.

  2. Ayarlar'ı ve ardından sol gezinti bölmesinde Anahtarlar'ı seçin.

    Kimlik doğrulama seçeneklerini içeren anahtarlar sayfasının ekran görüntüsü.

  3. Rol tabanlı denetim'i seçin. Yalnızca şu anda anahtar kullanıyorsanız ve istemcileri rol tabanlı erişim denetimine geçirmeniz için zamana ihtiyacınız varsa Her İkisi seçeneğini belirleyin.

    Seçenek Açıklama
    API Anahtarı (varsayılan) Yetkilendirme için istek üst bilgisinde API anahtarları gerektirir.
    Rol tabanlı erişim denetimi (önerilir) Görevi tamamlamak için rol atamasında üyelik gerektirir. Ayrıca istekte bir yetkilendirme üst bilgisi gerektirir.
    Her ikisi İstekler API anahtarı veya rol tabanlı erişim denetimi kullanılarak geçerlidir, ancak ikisini de aynı istekte sağlarsanız API anahtarı kullanılır.
  4. Yönetici olarak, yalnızca rollere yönelik bir yaklaşım seçerseniz, Azure portalında veri düzlemi işlemleri üzerinden tam yönetim erişimini geri yüklemek için kullanıcı hesabınıza veri düzlemi rolleri atayın. Roller arasında Arama Hizmeti Katkıda Bulunanı, Arama Dizini Veri Katkıda Bulunanı ve Arama Dizini Veri Okuyucusu yer alır. Eşdeğer erişim istiyorsanız ilk iki rol gerekir.

    Bazen rol atamalarının etkili olması beş ile on dakika sürebilir. Bu gerçekleşene kadar, veri düzlemi işlemleri için kullanılan Azure portal sayfalarında aşağıdaki ileti görüntülenir.

    Yetersiz izinleri gösteren portal iletisinin ekran görüntüsü.

Rol tabanlı erişim denetimini devre dışı bırakma

Bunun yerine veri düzlemi işlemleri için rol tabanlı erişim denetimini devre dışı bırakmak ve anahtar tabanlı kimlik doğrulaması kullanmak mümkündür. Bunu bir test iş akışının parçası olarak, örneğin izin sorunlarını eleyebilirsiniz.

Azure portalında rol tabanlı erişim denetimini devre dışı bırakmak için:

  1. Azure portalında oturum açın ve arama hizmeti sayfasını açın.

  2. Ayarlar'ı ve ardından sol gezinti bölmesinde Anahtarlar'ı seçin.

  3. API Anahtarları'nı seçin.

API anahtarı kimlik doğrulamayı devre dışı bırakma

Yalnızca yerleşik rolleri ve Microsoft Entra kimlik doğrulamasını kullanıyorsanız, hizmetinizde anahtar erişimi veya yerel kimlik doğrulaması devre dışı bırakılabilir. API anahtarlarının devre dışı bırakılması, arama hizmetinin üst bilgide bir API anahtarı geçiren verilerle ilgili tüm istekleri reddetmesine neden olur.

Yönetici API anahtarları devre dışı bırakılabilir, ancak silinemez. Sorgu API anahtarları silinebilir.

Güvenlik özelliklerini devre dışı bırakmak için sahip veya Katkıda Bulunan izinleri gereklidir.

  1. Azure portalında arama hizmetinize gidin.

  2. Sol gezinti bölmesinde Anahtarlar'ı seçin.

  3. Rol tabanlı erişim denetimi'ni seçin.

Değişiklik hemen geçerli olur, ancak test etmeden önce birkaç saniye bekleyin. Rolleri Sahip, hizmet yöneticisi veya ortak yönetici olarak atama izniniz olduğunu varsayarsak, rol tabanlı erişimi test etmek için portal özelliklerini kullanabilirsiniz.

Sonraki adımlar