Azure portal での Azure AI Search のサービス管理
Azure AI 検索では、Azure portal は、自動化が必要な場合を除き、コードを記述する必要がないように、幅広い管理およびコンテンツ管理操作をサポートしています。
各検索サービスは、スタンドアロン リソースとして管理されます。 ロールの割り当てによって、ポータルで公開される操作が決まります。
ポータルと管理者のアクセス許可
ポータルへのアクセスは、ロールの割り当てを通じて行われます。 既定では、すべての検索サービスは、少なくとも 1 人の所有者から始まります。 所有者、サービス管理者、共同管理者は、他の管理者と他のロール割り当てを作成するアクセス許可を持っています。 すべてのポータル ページと操作にフル アクセスできます。
共同作成者と Search Service 共同作成者は、所有者と同じアクセス権からロールを割り当てる機能を差し引いたアクセス権を持ちます。
閲覧者は、[要点] セクションと [監視] タブのサービス情報に対するアクセス権を持ちます。アクセスは制限されています。 閲覧者は検索サービスに関する基本情報を取得できますが、接続の設定や、サービスにオブジェクトが存在することの確認には十分ではありません。
インデックスやインデクサーの作成や構成などのデータ プレーン タスクの場合:既定のシステムでは、ロールの割り当てがある場合でも、ポータルは最初に管理 API キーを試します。 キーが無効になっている場合、次のロールのポータル エクスペリエンスは次のようになります:
検索インデックス データ共同作成者は、インデクサーの一覧を表示し、個々のインデクサーにアクセスして実行履歴と状態を確認できますが、実行、リセット、作成、更新、削除はできません。
検索インデックス データ 閲覧者は、インデックスに対してクエリを実行できます。
要するに、データのインポート ウィザードを実行する機能など、ポータル機能を無制限で利用するには、共同作成者または検索サービサー共同作成者のアクセス許可が必要です。
ヒント
既定では、すべての所有者または管理者がサービスの作成または削除を実行できます。 誤って削除されないように、リソースをロックすることができます。
Azure portal の概要
概要ページは、各サービスの "ホーム" ページです。 下のスクリーンショットにおいて、赤いボックスは、特にサービスを初めて使用する場合に頻繁に使用すると思われるタスク、ツール、タイルを示しています。
| 領域 | 説明 |
|---|---|
| 1 | ページの上部にあるコマンド バーには、[データのインポート] ウィザードと [検索エクスプローラー] が含まれており、プロトタイプの作成と探索に使用されます。 |
| 2 | [主な機能] セクションには、サービス エンドポイント、サービス レベル、レプリカおよびパーティション数などのサービス プロパティが一覧表示されます。 |
| 3 | 中央のタブ付きページでは、使用状況の統計情報とサービス正常性メトリックにすばやくアクセスできます。 |
| 4 | 既存のインデックス、インデクサー、データ ソース、スキルセットにナビゲーション リンクでアクセスできます。 |
検索サービス名、サブスクリプション、リソース グループ、リージョン (場所)、または層を変更することはできません。 レベルを切り替えるには、新しいサービスを作成するか、サポート チケットを提出してレベルのアップグレードを要求する必要があります。これは Basic 以降でのみサポートされます。
初日の管理チェックリスト
新しい検索サービスでは、これらの構成タスクをお勧めします。
容量の確認と課金の理解
既定では、検索サービスは、1 つのレプリカと 1 つのパーティションの最小構成で作成されます。 レプリカとパーティションを追加することで容量を追加できますが、ボリュームに必要になるまで待つことをお勧めします。 多くのお客様は、最小限の構成で運用ワークロードを実行します。
機能によっては、サービスの実行コストが増えます。
- 「Azure AI Search での課金方法」では、課金に影響を与える機能について説明します。
- 機能の使用を防ぐために、(省略可能) サービス レベルでセマンティック ランク付けを無効にします。
ネットワーク セキュリティの構成
既定では、検索サービスは、パブリック インターネット接続経由で認証済みおよび承認された要求を受け入れます。 ネットワーク セキュリティでは、ファイアウォール規則を使用するか、パブリック接続を無効にして Azure 仮想ネットワークからの要求のみを許可することで、アクセスが制限されます。
- IP アドレスによってアクセスを制限するように IP ファイアウォール規則を構成します。
- Azure Private Link とプライベート仮想ネットワークを使用してプライベート エンドポイントを構成します。
「Azure AI Search でのセキュリティ」では、Azure AI 検索の着信呼び出しと送信呼び出しについて説明します。
診断ログを有効にする
診断ログを有効化して、ユーザー アクティビティを追跡します。 この手順をスキップしても、アクティビティ ログとプラットフォーム メトリックは自動的に取得されますが、インデックスとクエリの使用状況情報が必要な場合は、診断ログを有効にして、ログ記録された操作の宛先を選択する必要があります。
ポータルでシステム クエリを実行できるように、永続ストレージには Log Analytics ワークスペースをお勧めします。
内部的には、Microsoft がお客様のサービスとプラットフォームに関するテレメトリ データを収集します。 それは Microsoft のデータ センターに内部的に格納され、お客様がサポート チケットを開くと Microsoft のサポート エンジニアがグローバルに利用できるようになります。
| データの監視 | 保持 |
|---|---|
| アクティビティ ログ | ローリング スケジュールで 90 日 |
| プラットフォームのメトリック | ローリング スケジュールで 93 日 (ただし、ポータルの視覚化は 30 日の期間に制限されます) |
| リソース ログ | ユーザー管理 |
| テレメトリ | 1 年半 |
Note
データの場所とプライバシーの詳細については、セキュリティの概要に関する記事の「データの保存場所」を参照してください。
ユーザー アクセスの設定
初期状態では、検索サービスの情報と操作にアクセスできるのは所有者だけです。 アクセスを拡張するようにロールを割り当てるか、API キーを使用して検索エンドポイントをユーザーに提供します。
検索サービスは常に API キーを使用して作成されます。 管理者 API キーは、すべてのデータ プレーン操作への読み取り/書き込みアクセスを許可します。 管理者 API キーは削除できませんが、すべてのユーザーがロールの割り当てを通じてデータ プレーン操作にアクセスできるようにする場合は、API キーを無効化できます。
開発者への接続情報の提供
開発者は、Azure AI 検索に接続するために次の情報が必要です。
- [概要] ページに表示されるエンドポイントまたは URL。
- キー ページの API キー、またはロールの割り当て (共同作成者をお勧めします)。
データのインポート ウィザード、データのインポートとベクタトル化、検索エクスプローラーの各ウィザードとツールについては、ポータルへのアクセスをお勧めします。 インポート ウィザードを実行するには、ユーザーが共同作成者以上である必要があるのでご注意ください。
次のステップ
サービス管理のプログラムによるサポートは、次の API とモジュールで見つけることができます。
.NET、Python、Java、JavaScript 用の Azure SDK で管理クライアント ライブラリを使用することもできます。
プレビュー管理機能を除き、すべてのモダリティと言語に機能パリティがあります。 一般的な規則としては、プレビュー管理機能は、最初に Management REST API を通じてリリースされます。