Verbinding maken met Azure AI Search met behulp van sleutels

Azure AI Search biedt ondersteuning voor verificatie op basis van identiteiten en sleutels (standaard) voor verbindingen met uw zoekservice.

Een aanvraag die is ingediend bij een eindpunt voor een zoekservice wordt geaccepteerd als zowel de aanvraag als de API-sleutel geldig zijn en of de zoekservice is geconfigureerd om API-sleutels toe te staan op een aanvraag.

Belangrijk

Wanneer u een zoekservice maakt, is verificatie op basis van sleutels de standaardinstelling, maar is dit niet de veiligste optie. U wordt aangeraden deze te vervangen door op rollen gebaseerde toegang.

Vereiste voorwaarden

U moet eigenaar, inzender of inzender voor zoekservices zijn om sleutels weer te geven of te beheren.

Standaard ingeschakeld

In Azure Portal wordt verificatie opgegeven op de paginaInstellingensleutels>. Opties die zijn ingesteld op API-sleutels (standaard) of Beide toestaan API-sleutels voor een aanvraag.

Typen sleutels

Een API-sleutel is een unieke tekenreeks die bestaat uit 52 willekeurig gegenereerde cijfers en letters. Visueel is er geen onderscheid tussen een beheersleutel of querysleutel. Als u niet meer weet welk type sleutel is opgegeven in uw toepassing, kunt u de sleutelwaarden controleren in Azure Portal.

Er zijn twee soorten sleutels die worden gebruikt voor het verifiëren van een aanvraag:

Type	Machtigingsniveau	Hoe deze wordt gemaakt	Maximaal
Beheerder	Volledige toegang (lezen/schrijven) voor alle bewerkingen van het gegevensvlak (inhoud)	Er worden twee beheersleutels, primaire en secundaire, gegenereerd wanneer de service wordt gemaakt en kunnen afzonderlijk op aanvraag opnieuw worden gegenereerd. Met twee kunt u één sleutel overrollen terwijl u de tweede sleutel gebruikt voor continue toegang tot de service.	2
Zoekopdracht	Alleen-lezentoegang, beperkt tot de documentenverzameling van een zoekindex	Er wordt één querysleutel gegenereerd met de service. Meer kunnen op aanvraag worden gemaakt door een zoekservicebeheerder.	50

Bestaande sleutels zoeken

U kunt API-sleutels weergeven en beheren met behulp van Azure Portal, PowerShell, Azure CLI of REST API.

Meld u aan bij Azure Portal en zoek uw zoekservice.
Selecteer vanuit het linkerdeelvenster Instellingen>Sleutels om beheerders- en querysleutels weer te geven.

Voer de volgende opdrachten uit om respectievelijk beheerders- en query-API-sleutels te retourneren. Zie Uw Azure AI Search-service beheren met REST API's voor hulp bij REST.

Beheerderssleutels retourneren:

POST https://management.azure.com/subscriptions/{{subscriptionId}}/resourceGroups/{{resource-group}}/providers//Microsoft.Search/searchServices/{{search-service-name}}/listAdminKeys?api-version=2025-05-01

Querysleutels retourneren:

POST https://management.azure.com/subscriptions/{{subscriptionId}}/resourceGroups/{{resource-group}}/providers//Microsoft.Search/searchServices/{{search-service-name}}/listAdminKeys?api-version=2025-05-01

Verwijzing:Beheersleutels - Ophalen, Querysleutels - Lijst op basis van zoekservice

Gebruik de Azure SDK voor Python om API-sleutels programmatisch op te halen. Installeer de beheer-SDK:

pip install azure-mgmt-search azure-identity

Voer de volgende code uit om beheerders- en query-API-sleutels te retourneren:

import os
from azure.identity import DefaultAzureCredential
from azure.mgmt.search import SearchManagementClient

# Set up variables
subscription_id = os.environ["AZURE_SUBSCRIPTION_ID"]
resource_group = "your-resource-group"
search_service_name = "your-search-service"

# Create the management client
credential = DefaultAzureCredential()
client = SearchManagementClient(credential, subscription_id)

# Get admin keys
admin_keys = client.admin_keys.get(resource_group, search_service_name)
print(f"Primary admin key: {admin_keys.primary_key}")
print(f"Secondary admin key: {admin_keys.secondary_key}")

# Get query keys
query_keys = client.query_keys.list_by_search_service(resource_group, search_service_name)
for key in query_keys:
    print(f"Query key '{key.name}': {key.key}")

Naslaginformatie:SearchManagementClient | AdminKeys | QueryKeys

Voer de volgende opdrachten uit om respectievelijk beheerders- en query-API-sleutels te retourneren. Zie voor hulp bij PowerShell Uw Azure AI Search-service beheren met behulp van PowerShell.

Installeer de Az.Search module:
```
Install-Module Az.Search
```

Beheerderssleutels retourneren:

Get-AzSearchAdminKeyPair -ResourceGroupName <resource-group-name> -ServiceName <search-service-name>

Querysleutels retourneren:

Get-AzSearchQueryKey -ResourceGroupName <resource-group-name> -ServiceName <search-service-name>

Voer de volgende opdrachten uit om respectievelijk beheerders- en query-API-sleutels te retourneren. Zie Uw Azure AI Search-service beheren met behulp van de Azure CLI voor hulp bij de Azure CLI.

Beheerderssleutels retourneren:

az search admin-key show --resource-group <myresourcegroup> --service-name <myservice>

Querysleutels retourneren:

az search query-key list --resource-group <myresourcegroup> --service-name <myservice>

Sleutels gebruiken voor verbindingen

Verificatie op basis van sleutels wordt alleen gebruikt voor aanvragen van gegevensvlakken (inhoud), zoals het maken of opvragen van indexen en andere acties die worden uitgevoerd met behulp van de REST API van de zoekservice.

In uw broncode kunt u de API-sleutel rechtstreeks opgeven in een aanvraagheader. U kunt deze ook opslaan als een omgevingsvariabele of app-instelling in uw project en vervolgens verwijzen naar de variabele in de aanvraag.

Beheerderssleutels worden gebruikt voor het maken, wijzigen of verwijderen van objecten.
Beheerderssleutels worden ook gebruikt voor GET-objectdefinities en systeeminformatie, zoals LIST-indexen of GET-servicestatistieken.
Querysleutels worden doorgaans gedistribueerd naar clienttoepassingen die query's uitgeven.

Zoals u weet, is sleutelverificatie standaard ingeschakeld en worden bewerkingen in het gegevensvlak ondersteund, zoals indexering en query's.

Als u ECHTER API-sleutels uitschakelt en roltoewijzingen instelt, gebruikt Azure Portal in plaats daarvan roltoewijzingen.

Stel een beheerderssleutel in de aanvraagheader in. U kunt geen beheerderssleutels doorgeven aan de URI of in de hoofdtekst van de aanvraag.

Hier volgt een voorbeeld van het gebruik van beheerders-API-sleutels voor een indexaanvraag maken:

@baseUrl=https://my-demo-search-service.search.windows.net
@adminApiKey=aaaabbbb-0000-cccc-1111-dddd2222eeee

### Create an index
POST {{baseUrl}}/indexes?api-version=2025-09-01  HTTP/1.1
  Content-Type: application/json
  api-key: {{adminApiKey}}

    {
        "name": "my-new-index",  
        "fields": [
            {"name": "docId", "type": "Edm.String", "key": true, "filterable": true},
            {"name": "Name", "type": "Edm.String", "searchable": true }
         ]
   }

Stel een querysleutel in een aanvraagheader in voor POST of op de URI voor GET. Querysleutels worden gebruikt voor bewerkingen die gericht zijn op de index/docs verzameling: Documenten doorzoeken, Automatisch aanvullen, Voorstellen of GET-document.

Hier volgt een voorbeeld van het gebruik van query-API-sleutels voor een GET-aanvraag (Search Documents):

### Query an index
GET /indexes/my-new-index/docs?search=*&api-version=2025-09-01&api-key={{queryApiKey}}

Notitie

Het wordt beschouwd als een slechte beveiligingspraktijk om gevoelige gegevens, zoals een api-key in de aanvraag-URI, door te geven. Daarom accepteert Azure AI Search alleen een querysleutel als een api-key in de querytekenreeks. Als algemene regel raden we u aan om uw api-key als aanvraagheader door te geven.

Het is een best practice om de API-sleutel in te stellen als een omgevingsvariabele, maar in dit voorbeeld wordt deze als een tekenreeks weergegeven. In het voorbeeld wordt een query-API-sleutel gebruikt voor een querybewerking.

# Import libraries
from azure.search.documents import SearchClient
from azure.core.credentials import AzureKeyCredential
from azure.identity import DefaultAzureCredential, AzureAuthorityHosts

# Variables for endpoint, keys, index
search_endpoint: str = "https://<Put your search service NAME here>.search.windows.net/"
credential = AzureKeyCredential("Your search service query key")
index_name: str = "hotels-quickstart-python"

# Set up the client
search_client = SearchClient(endpoint=search_endpoint,
                      index_name=index_name,
                      credential=credential)

# Run the query
results =  search_client.search(query_type='simple',
    search_text="*" ,
    select='HotelName,Description,Tags',
    include_total_count=True)

print ('Total Documents Matching Query:', results.get_count())
for result in results:
    print(result["@search.score"])
    print(result["HotelName"])
    print(result["Tags"])
    print(f"Description: {result['Description']}")

Stel API-sleutels in de aanvraagheader in met behulp van de volgende syntaxis:

$headers = @{
'api-key' = '<YOUR-ADMIN-OR-QUERY-API-KEY>'
'Content-Type' = 'application/json' 
'Accept' = 'application/json' }

Gebruik een variabele om de volledig gekwalificeerde query te bevatten:

$url = '<YOUR-SEARCH-SERVICE>/indexes/hotels-quickstart/docs?api-version=2025-09-01&search=attached restaurant&searchFields=Description,Tags&$select=HotelId,HotelName,Tags,Description&$count=true'

Verzend de aanvraag naar de zoekservice:

Invoke-RestMethod -Uri $url -Headers $headers | ConvertTo-Json

Meer scriptvoorbeelden voor andere bewerkingen vindt u in quickstart: Een Azure AI Search-index maken in PowerShell met behulp van REST API's.

Querysleutels maken

Querysleutels worden gebruikt voor alleen-lezentoegang tot documenten in een index voor bewerkingen die gericht zijn op een documentenverzameling. Zoek-, filter- en suggestiequery's zijn alle bewerkingen die een querysleutel gebruiken. Voor elke alleen-lezenbewerking die systeemgegevens- of objectdefinities retourneert, zoals een indexdefinitie of indexeerfunctiestatus, is een beheerderssleutel vereist.

Het beperken van de toegang en bewerkingen in client-apps is essentieel voor het beveiligen van de zoekassets op uw service. Gebruik altijd een querysleutel in plaats van een beheersleutel voor elke query die afkomstig is van een client-app.

Meld u aan bij Azure Portal en zoek uw zoekservice.
Vanuit het linkerdeelvenster selecteer Instellingen>enSleutels om API-sleutels weer te geven.
Gebruik onder Querysleutels beheren de querysleutel die al is gegenereerd voor uw service of maak nieuwe querysleutels. De standaardquerysleutel heeft geen naam, maar andere gegenereerde querysleutels kunnen worden benoemd voor beheerbaarheid.

Gebruik Querysleutels maken in de REST API voor beheer.

U moet een geldige roltoewijzing hebben om API-sleutels te maken of te beheren. Zie Uw Azure AI-Search-service beheren met REST API's voor hulp bij het voldoen aan rolvereisten met behulp van de REST API's.

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Search/searchServices/{searchServiceName}/createQueryKey/{name}?api-version=2025-05-01

Beheerderssleutels opnieuw genereren

Er worden twee beheerderssleutels gemaakt voor elke service, zodat u een primaire sleutel kunt roteren terwijl u de secundaire sleutel gebruikt voor bedrijfscontinuïteit.

Meld u aan bij Azure Portal en zoek uw zoekservice.
In het linkerdeelvenster, selecteer Instellingen>Sleutels.
Kopieer de secundaire sleutel.
Werk voor alle toepassingen de API-sleutelinstellingen bij om de secundaire sleutel te gebruiken.
Genereer de primaire sleutel opnieuw.
Werk alle toepassingen bij om de nieuwe primaire sleutel te gebruiken.

Als u per ongeluk beide sleutels tegelijk opnieuw genereert, mislukken alle clientaanvragen die deze sleutels gebruiken met HTTP 403 Verboden. Inhoud wordt echter niet verwijderd en u bent niet permanent vergrendeld.

U hebt nog steeds toegang tot de service via Azure Portal of programmatisch. Beheerfuncties werken via een abonnements-id en geen service-API-sleutel en zijn dus nog steeds beschikbaar, zelfs als uw API-sleutels dat niet zijn.

Nadat u nieuwe sleutels hebt gemaakt via de portal of beheerlaag, wordt de toegang hersteld naar uw inhoud (indexen, indexeerfuncties, gegevensbronnen, synoniemenkaarten) zodra u deze sleutels opgeeft voor aanvragen.

Migreren van sleutels naar rollen

Als u wilt overstappen op op rollen gebaseerde toegang, is het handig om te begrijpen hoe sleutels worden toegewezen aan ingebouwde rollen in Azure AI Search:

Een beheerderssleutel komt overeen met de rollen Inzender voor zoekservice en Inzender voor zoekindexgegevens .
Een querysleutel komt overeen met de rol Search Index Data Reader .

Veilige sleutels

Gebruik roltoewijzingen om de toegang tot API-sleutels te beperken.

Het is niet mogelijk om door de klant beheerde sleutelversleuteling te gebruiken om API-sleutels te versleutelen. Alleen gevoelige gegevens in de zoekservice zelf (bijvoorbeeld indexinhoud of verbindingsreeks s in definities van gegevensbronobjecten) kunnen CMK-versleuteld zijn.

Meld u aan bij Azure Portal en zoek uw zoekservice.
Selecteer in het linkerdeelvenster Toegangsbeheer (IAM) en selecteer vervolgens het tabblad Roltoewijzingen .
Selecteer in het rolfilter de rollen die gemachtigd zijn om sleutels weer te geven of te beheren (Eigenaar, Inzender, Inzender voor zoekservice). De resulterende beveiligingsprinciplen die aan deze rollen zijn toegewezen, hebben sleutelmachtigingen voor uw zoekservice.
Controleer als voorzorgsmaatregel ook het tabblad Klassieke beheerders om te bepalen of beheerders en medebeheerders toegang hebben.

Aanbevolen procedures

Schakel voor productieworkloads over naar Microsoft Entra-id en op rollen gebaseerde toegang. Als u API-sleutels wilt blijven gebruiken, moet u ook altijd controleren wie toegang heeft tot uw API-sleutels en API-sleutels regelmatig opnieuw genereren .
Gebruik alleen API-sleutels als openbaarmaking van gegevens geen risico is (bijvoorbeeld wanneer u voorbeeldgegevens gebruikt) en als u achter een firewall werkt. Als u API-sleutels beschikbaar maakt, lopen zowel uw gegevens als uw zoekservice risico op onbevoegd gebruik.
Als u een API-sleutel gebruikt, slaat u deze veilig op ergens anders op, zoals in Azure Key Vault. Neem de API-sleutel niet rechtstreeks in uw code op en plaats deze nooit openbaar.
Controleer altijd code, voorbeelden en trainingsmateriaal voordat u publiceert om ervoor te zorgen dat u per ongeluk geen API-sleutel beschikbaar maakt.

Feedback

Is deze pagina nuttig?

Last updated on 2026-01-22

Delen via

Verbinding maken met Azure AI Search met behulp van sleutels

Vereiste voorwaarden

Standaard ingeschakeld

Typen sleutels

Bestaande sleutels zoeken

Sleutels gebruiken voor verbindingen

Querysleutels maken

Beheerderssleutels opnieuw genereren

Migreren van sleutels naar rollen

Veilige sleutels

Aanbevolen procedures

Verwante inhoud

Feedback

Aanvullende resources