Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Das Konfigurieren Ihres neuen Azure AI Search-Diensts umfasst mehrere Aufgaben, um Sicherheit, Zugriff und Leistung zu optimieren. Dieser Artikel enthält eine Checkliste für einen Tag, mit der Sie Ihren Dienst im Azure-Portal einrichten können.
Nachdem Sie einen Suchdienst erstellt haben, empfehlen wir Folgendes:
Konfigurieren des rollenbasierten Zugriffs
Der Portalzugriff basiert auf Rollenzuweisungen. Standardmäßig verfügen neue Suchdienste über mindestens einen Dienstadministrator oder -besitzer. Dienstadministratoren, Co-Administratoren und Besitzer verfügen über die Berechtigung, weitere Administratoren zu erstellen und andere Rollen zuzuweisen. Sie haben auch Zugriff auf alle Portalseiten und -vorgänge in Standardsuchdiensten.
Tipp
Standardmäßig kann jeder Administrator oder Besitzer Dienste erstellen oder löschen. Um versehentliche Löschungen zu verhindern, sollten Sie ihre Ressourcen sperren.
Jeder Suchdienst enthält API-Schlüssel und verwendet standardmäßig die schlüsselbasierte Authentifizierung. Wir empfehlen jedoch die Verwendung von Microsoft Entra ID und rollenbasierter Zugriffssteuerung (RBAC) für eine verbesserte Sicherheit. RBAC beseitigt die Notwendigkeit, API-Schlüssel in Nur-Text zu speichern und zu übergeben.
Wenn Sie von der schlüsselbasierten Authentifizierung zur schlüssellosen Authentifizierung wechseln, müssen Dienstadministratoren sich selbst Datenebenenrollen zuweisen, um vollzugriff auf Objekte und Daten zu erhalten. Zu diesen Rollen gehören Suchdienstmitwirkender, Suchindexdatenmitwirkender und Suchindexdatenleser.
So konfigurieren Sie den rollenbasierten Zugriff:
Rollen aktivieren für Ihren Suchdienst. Es wird empfohlen, sowohl API-Schlüssel als auch Rollen zu verwenden.
Weisen Sie Datenebenenrollen zu, um die verloren gegangenen Funktionen zu ersetzen, wenn Sie API-Schlüssel deaktivieren. Ein Besitzer benötigt nur den Suchindexdatenleser, aber Entwickler benötigen weitere Rollen.
Rollenzuweisungen können mehrere Minuten dauern, um wirksam zu werden. Bis dahin zeigen Portalseiten, die für Datenebenenvorgänge verwendet werden, die folgende Meldung an:
Weisen Sie weitere Rollen für Lösungsentwickler und -apps zu.
Konfigurieren einer verwalteten Identität
Wenn Sie beabsichtigen, Indexer für die automatisierte Indizierung, angewendete KI oder integrierte Vektorisierung zu verwenden, sollten Sie Ihren Suchdienst für die Verwendung einer verwalteten Identität konfigurieren. Sie können dann Rollen für andere Azure-Dienste zuweisen, die Ihren Suchdienst für den Zugriff auf Daten und Vorgänge autorisieren.
Für die integrierte Vektorisierung benötigt Ihre Suchdienstidentität die folgenden Rollen:
- Leser von Speicherblobdaten auf Azure Storage
- Datenbenutzer für kognitive Dienste auf einer Microsoft Foundry-Ressource
Rollenzuweisungen können mehrere Minuten dauern, um wirksam zu werden.
Bevor Sie mit der Netzwerksicherheit fortfahren, sollten Sie alle Verbindungspunkte testen, um Rollenzuweisungen zu überprüfen. Führen Sie einen Import-Assistenten aus, um Berechtigungen zu testen.
Konfigurieren der Netzwerksicherheit
Standardmäßig akzeptieren Suchdienste authentifizierte und autorisierte Anforderungen über öffentliche Internetverbindungen. Sie haben zwei Optionen zum Verbessern der Netzwerksicherheit:
- Konfigurieren Sie Firewallregeln , um den Netzwerkzugriff nach IP-Adresse einzuschränken.
- Konfigurieren Sie einen privaten Endpunkt , um nur Datenverkehr aus virtuellen Azure-Netzwerken zuzulassen. Beachten Sie, dass beim Deaktivieren des öffentlichen Endpunkts die Import-Assistenten nicht ausgeführt werden.
Informationen zu eingehenden und ausgehenden Anrufen in Azure AI Search finden Sie unter "Sicherheit in Azure AI Search".
Überprüfen der Kapazität und Verstehen der Abrechnung
Standardmäßig wird ein Suchdienst mit einem Replikat und einer Partition erstellt. Sie können die Kapazität durch Hinzufügen von Replikaten und Partitionen erhöhen, aber wir empfehlen, damit zu warten, bis die Volumes dies erfordern. Viele Kunden führen Produktionsworkloads in der Minimalkonfiguration aus.
Der semantische Bewertungsalgorithmus kann die Kosten für den Betrieb Ihres Dienstes erhöhen, wenn Sie sich für den Standardplan entscheiden. Wenn Sie dieses Feature nicht verwenden möchten, können Sie den semantischen Rang auf Dienstebene deaktivieren.
Einzelheiten zu Features, die sich auf die Abrechnung auswirken, finden Sie unter Abrechnung für Azure AI Search.
Aktivieren der Diagnoseprotokollierung
Aktivieren der Diagnoseprotokollierung, um Benutzeraktivitäten nachzuverfolgen. Wenn Sie diesen Schritt überspringen, erhalten Sie weiterhin Aktivitätsprotokolle und Plattformmetriken automatisch. Wenn Sie jedoch Index- und Abfragenutzungsinformationen benötigen, sollten Sie die Diagnoseprotokollierung aktivieren und ein Ziel für protokollierte Vorgänge auswählen. Der Log Analytics-Arbeitsbereich wird als dauerhafter Speicher empfohlen, damit Sie Systemabfragen im Azure-Portal ausführen können.
Intern sammelt Microsoft Telemetriedaten über Ihren Dienst und die Plattform. Weitere Informationen zur Datenaufbewahrung finden Sie unter Aufbewahrung von Metriken.
Weitere Informationen zum Datenspeicherort und zum Datenschutz finden Sie unter Data Residency.
Aktivieren vom semantischen Sortierer
Der semantische Sortierer ist für die ersten 1.000 Anforderungen pro Monat kostenlos. Sie ist standardmäßig für neuere Suchdienste aktiviert.
Um den semantischen Rang im Portal zu aktivieren, wählen Sie " Einstellungen>Premium"-Features im linken Bereich und dann den kostenlosen Plan aus. Weitere Informationen finden Sie unter Semantischen Sortierer aktivieren.
Bereitstellen von Verbindungsinformationen für Fachkräfte in der Entwicklung
Um eine Verbindung mit Azure AI Search herzustellen, benötigen Entwickler Folgendes:
- Ein Endpunkt oder eine URL auf der Seite "Übersicht" .
- Ein API-Schlüssel von der Seite Schlüssel oder eine Rollenzuweisung. Wir empfehlen die Rollen Search Service Contributor, Search Index Data Contributor und Search Index Data Reader.
Wir empfehlen den Portalzugriff für die Import-Assistenten und den Such-Explorer. Sie müssen Mitwirkender oder höher sein, um die Assistenten auszuführen.
Verwandte Inhalte
Die programmgesteuerte Unterstützung für die Dienstverwaltung finden Sie in den folgenden APIs und Modulen:
Sie können auch die Verwaltungsclientbibliotheken in den Azure SDKs für .NET, Python, Java und JavaScript verwenden.
Die Features sind in allen Modalitäten und Sprachen gleich, mit Ausnahme der Vorschauverwaltungsfeatures. In der Regel werden die Vorschauverwaltungsfeatures zuerst über die Verwaltungs-REST-API veröffentlicht.