適用於語言資源的受控識別
適用於 Azure 資源的受控識別是一種服務主體,其會建立 Microsoft Entra 身分識別和 Azure 受控資源的特定權限。 受控識別提供更安全的方式來授與儲存體資料的存取權,並取代您包含共用存取簽章權杖 (SAS) 與您的來源和目標容器 URL 的需求。
您可以使用受控識別,對支援 Microsoft Entra 驗證的任何資源 (包括您自己的應用程式) 授與存取權。
若要授與 Azure 資源的存取權,請使用 Azure 角色型存取控制 (
Azure RBAC),將 Azure 角色指派給受控識別。在 Azure 中使用受控識別不會產生額外的成本。
重要
使用受控識別時,請勿在 HTTP 要求中包含 SAS 權杖 URL,否則您的要求將會失敗。 使用受控識別可取代您包含共用存取簽章權杖 (SAS) 與來源和目標容器 URL 的需求。
若要使用語言作業的受控識別,您必須在特定 Azure 地理區域中建立語言資源,例如美國東部。 如果您的語言資源區域設定為全域,則您無法使用受控識別驗證。 但您仍然可以使用共用存取簽章 (SAS) 權杖。
必要條件
若要開始使用,您需要下列資源:
在區域位置建立的單一服務 Azure AI 語言資源。
使用 Azure 入口網站簡要了解 Azure 角色型存取控制 (
Azure RBAC)。Azure Blob 儲存體帳戶,與語言資源位於同一區域中。 您也需要建立容器,以在儲存體帳戶內儲存和組織 Blob 資料。
如果您的儲存體帳戶位於防火牆後方,您必須啟用下列設定:
前往 Azure 入口網站並登入 Azure 帳戶。
選取您的儲存體帳戶。
在左窗格中的 [安全性 + 網路] 群組中,選取 [網路]。
在 [防火牆和虛擬網路] 索引標籤中,選取 [從選取的虛擬網路和 IP 位址啟用]。
![顯示已選取 [選取的網路] 選項按鈕的螢幕擷取畫面。](media/firewalls-and-virtual-networks.png)
取消全選核取方塊。
請確定已選取 [Microsoft 網路路由]。
在 [資源執行個體] 區段下,選取 [Microsoft.CognitiveServices/accounts] 作為資源類型,然後選取語言資源作為執行個體名稱。
確認是否已勾選 [允許受信任服務清單上的 Azure 服務存取此儲存體帳戶] 方塊。 如需管理例外狀況的詳細資訊,請參閱設定 Azure 儲存體防火牆和虛擬網路。
![顯示 Azure 入口網站中 [允許信任的服務] 核取方塊的螢幕擷取畫面。](media/allow-trusted-services-checkbox-portal-view.png)
選取 [儲存]。
注意
網路變更最多可能需要 5 分鐘的時間才能傳播。
雖然現在已允許網路存取,但您的語言資源仍無法存取儲存體帳戶中的資料。 您必須建立受控識別,並將特定存取角色指派給語言資源。
受控識別指派
有兩種受控識別:系統指派和使用者指派。 目前,文件翻譯支援系統指派的受控識別:
系統指派的受控識別會直接在 Azure 服務執行個體上「啟用」。 預設不會將其啟用;您必須移至您的資源,並更新身分識別設定。
系統指派的受控識別會在其整個生命週期繫結至您的資源。 如果刪除您的資源,則也會刪除受控識別。
在下列步驟中,我們啟用系統指派的受控識別,並授權 Azure Blob 儲存體帳戶可以有限存取語言資源。
啟用系統指派的受控識別
您必須先將語言資源存取權授與儲存體帳戶,才能建立、讀取或刪除 Blob。 使用系統指派的受控識別啟用語言資源之後,您可以使用 Azure 角色型存取控制 (Azure RBAC),為語言功能提供 Azure 儲存體容器的存取權。
前往 Azure 入口網站並登入 Azure 帳戶。
選取您的語言資源。
在左窗格的 [資源管理] 群組中,選取 [身分識別]。 如果您的資源是在全域區域中建立的,則看不到 [身分識別] 索引標籤。 您仍然可以使用 [共用存取簽章 (SAS) 權杖] 進行驗證。
在 [已指派系統] 索引標籤內,開啟 [狀態]。
![顯示 Azure 入口網站中 [資源管理身分識別] 索引標籤的螢幕擷取畫面。](media/resource-management-identity-tab.png)
重要
使用者指派的受控識別不符合批次處理儲存體帳戶情節的需求。 務必啟用系統指派的受控識別。
選取 [儲存]。
授與語言資源的儲存體帳戶存取權
重要
若要指派系統指派的受控識別角色,您需要 Microsoft.Authorization/roleAssignments/write 權限,例如儲存體資源的儲存體範圍中的擁有者或使用者存取管理員。
前往 Azure 入口網站並登入 Azure 帳戶。
選取您的語言資源。
在左窗格的 [資源管理] 群組中,選取 [身分識別]。
在 [權限] 下,選取 [Azure 角色指派]:
在開啟的 Azure 角色指派頁面上,從下拉式功能表中選擇您的訂用帳戶,然後選取 [+ 新增角色指派]。
![顯示在 Azure 入口網站中 [Azure 角色指派] 頁面的螢幕擷取畫面。](media/azure-role-assignments-page-portal.png)
下一步,將 [儲存體 Blob 資料參與者] 角色指派給語言服務資源。 儲存體 Blob 資料參與者角色會提供語言 (以系統指派的受控識別表示) 讀取、寫入及刪除 Blob 容器和資料的存取權。 在 [新增角色指派] 快顯視窗中,完成如下的欄位,然後選取 [儲存]:
欄位 值 範圍 儲存空間。 訂用帳戶 與儲存體資源相關聯的訂用帳戶。 資源 儲存體資源的名稱。 Role 儲存體 Blob 資料參與者。 ![顯示在 Azure 入口網站中 [角色指派] 頁面的螢幕擷取畫面。](media/add-role-assignment-window.png)
顯示「已新增角色指派」確認訊息之後,請重新整理頁面以查看新增的角色指派。
如果您沒有立即看到新角色指派,請稍候再次嘗試重新整理頁面。 當您指派或移除角色指派時,最多可能需要 30 分鐘的時間,變更才會生效。
HTTP 要求
原生文件語言服務作業要求會透過 POST 要求,提交至您的語言服務端點。
使用受控識別和
Azure RBAC,您將不再需要包含 SAS URL。如果成功,POST 方法會傳回
202 Accepted回應碼,且服務會建立要求。已處理的文件會出現在您的目標容器中。