Azure 门户中 Azure AI 搜索服务管理

在 Azure AI 搜索中，Azure 门户支持广泛的管理和内容管理操作，除非你想实现自动化，否则无需编写代码。

每项搜索服务都作为独立资源进行管理。 角色分配决定了 Azure 门户中公开的操作。

门户和管理员权限

门户访问是通过角色分配实现的。 默认情况下，所有搜索服务在开始时都至少有一个服务管理员或所有者。 服务管理员、共同管理员和所有者有权创建其他管理员和其他角色分配。 他们对默认搜索服务的所有门户页面和操作都具有完全访问权限。

如果你在搜索服务上禁用了 API 密钥并仅使用角色，则管理员必须授予自己数据平面角色分配，才能完全访问对象和数据。 这些角色分配包括搜索服务参与者、搜索索引数据参与者和搜索索引数据读取者。

Azure 门户概览

概述页面是每个服务的主页。 在以下屏幕截图中，红色框表示你可能经常（尤其是在不熟悉该服务时）使用的任务、工具和磁贴。

无法更改搜索服务名称、订阅、资源组、区域（位置）或层。 切换层需要创建新的服务或提交支持工单来请求层升级，而这仅支持基本和更高级别。

第一天管理清单

对于新的搜索服务，我们建议执行这些配置任务。

启用基于角色的访问

搜索服务始终使用 API 密钥进行创建，并默认使用基于密钥的身份验证。 但是，使用 Microsoft Entra ID 和角色分配是一种更安全的选择，因为它消除了以纯文本形式存储和传递密钥的情况。

1. 在搜索服务上启用角色。 建议使用“仅角色”选项。

2. 对于管理，请分配数据平面角色以替换禁用 API 密钥时丢失的功能。 角色分配包括搜索服务参与者、搜索索引数据参与者和搜索索引数据读取者。 需要这三种角色分配。

   有时，角色分配可能需要五到十分钟才能生效。 在此之前，用于数据平面操作的 Azure 门户页面中会出现以下消息。

   

3. 继续为解决方案开发人员和应用添加更多角色分配。

配置托管标识

如果计划在自动索引、应用 AI 或集成矢量化中使用索引器，则应将搜索服务配置为使用托管标识。 然后，可以在授权搜索服务访问数据和操作的其他 Azure 服务上添加角色分配。

对于集成矢量化，搜索服务标识需要：

• Azure 存储上的存储 Blob 数据读取者
• Azure AI 多服务帐户上的认知服务数据用户

可能需要几分钟角色分配才会生效。

在进入网络安全之前，请考虑测试所有连接点以验证角色分配。 运行导入数据向导以测试权限。

配置网络安全

默认情况下，搜索服务通过公共 Internet 连接接受经过身份验证和授权的请求。 网络安全通过防火墙规则或禁用公共连接并仅允许来自 Azure 虚拟网络的请求来限制访问。

• 配置网络访问以根据 IP 地址限制访问。
• 使用 Azure 专用链接和专用虚拟网络配置专用终结点。

Azure AI 搜索中的安全性解释了 Azure AI 搜索中的入站和出站调用。

查看容量并了解账单

默认情况下，一个搜索服务在一个副本和分区的最小配置中创建。 可以通过添加副本和分区来添加容量，但我们建议等到卷需要添加容量时再这样做。 许多客户在最低配置上运行生产工作负荷。

某些功能会增加运行服务的成本：

• Azure AI 搜索如何计费介绍了哪些功能会对计费产生影响。

启用诊断日志记录

启用诊断日志记录以跟踪用户活动。 如果跳过此步骤，仍会自动获取活动日志和平台指标，但如果需要索引和查询使用情况信息，则应启用诊断日志记录并选择用于已记录操作的目标。

建议将 Log Analytics 工作区用于持久存储，以便在 Azure 门户中运行系统查询。

在内部，Azure 会收集有关你的服务和平台的遥测数据。 若要详细了解数据保留，请参阅指标的保留期。

向开发人员提供连接信息

开发人员需要以下信息才能连接到由世纪互联 AI 搜索运营的 Azure：

• “概述”页上提供的终结点或 URL。
• “密钥”页中的 API 密钥或角色分配（建议使用参与者角色）。

建议使用以下向导和工具的门户访问权限：导入数据向导、导入和向量化数据、搜索资源管理器。 请记住，用户必须是参与者或更高级别的角色才能运行导入向导。

后续步骤

在以下 API 和模块中找可以到对服务管理的编程支持：

• 管理 REST API 参考
• Az.Search PowerShell 模块
• az search Azure CLI 模块

还可以使用适用于 .NET、Python、Java 和 JavaScript 的 Azure SDK 中的管理客户端库。

除预览版管理功能外，所有模态和语言都有功能奇偶一致性。 一般情况下，预览版管理功能首先通过管理 REST API 发布。