Rollenbasierte Zugriffssteuerung für Speech-Ressourcen

Sie können den Zugriff und Berechtigungen für Ihre Speech-Ressourcen mit rollenbasierter Zugriffssteuerung in Azure (Azure RBAC) verwalten. Zugewiesene Rollen können sich je nach Speech-Ressource unterscheiden. Beispielsweise können Sie einer Speech-Ressource eine Rolle zuweisen, die nur zum Trainieren eines Custom Speech-Modells verwendet werden sollte. Sie können einer Speech-Ressource eine andere Rolle zuweisen, die zum Transkribieren von Audiodateien verwendet wird. Je nachdem, wer auf die jeweilige Speech-Ressource zugreifen kann, können Sie effektiv eine andere Zugriffsebene pro Anwendung oder Benutzer festlegen. Weitere Information zur Azure RBAC finden Sie in der Azure RBAC-Dokumentation.

Hinweis

Eine Speech-Ressource kann mehrere Rollen erben oder zugewiesen erhalten. Die letzte Zugriffsebene für die Ressource ist eine Kombination aller Rollenberechtigungen.

Rollen für Speech-Ressourcen

Eine Rollendefinition ist eine Sammlung von Berechtigungen. Wenn Sie eine Sprachausgaberessource erstellen, stehen die integrierten Rollen in der folgenden Tabelle für die Zuordnung zur Verfügung.

Warnung

Die Sprachdienstarchitektur unterscheidet sich von anderen Azure KI Services in der Art und Weise, wie sie Azure-Steuerungsebene und Datenebene verwendet. Der Sprachdienst verwendet umfangreiche Datenebenen, die mit anderen Azure KI Services verglichen werden, und dies erfordert eine andere Einrichtung für die Rollen. Aus diesem Grund verfügen einige allgemeine Cognitive Services-Rollen über einen tatsächlichen Zugriffsberechtigungssatz, der nicht genau mit ihrem Namen übereinstimmt, wenn sie im Szenario mit Spracherkennungsdiensten verwendet wird. Zum Beispiel bietet Cognitive Services-Benutzer im Grunde die Mitwirkendenberechtigung, während Cognitive Services-Mitwirkender überhaupt keinen Zugriff bietet. Das gleiche gilt für generische Besitzer- und Mitwirkenden-Rollen ohne Datenebenenrechte und somit keinen Zugriff auf die Sprachressource. Um die Konsistenz beizubehalten, empfehlen wir, Rollen zu verwenden, die Speech in ihren Namen enthalten. Diese Rollen sind Cognitive Services Speech-Benutzer und Cognitive Services Speech-Mitwirkender. Ihre Zugriffsberechtigungssätze wurden speziell für den Spracherkennungsdienst entwickelt. Falls Sie allgemeine Cognitive Services-Rollen und generische Azure-Rollen verwenden möchten, bitten wir Sie, die folgende Tabelle mit den Zugriffsrechten sehr sorgfältig zu studieren.

Role Kann Ressourcenschlüssel auflisten. Zugriff auf Daten, Modelle und Endpunkte in benutzerdefinierten Projekten Zugriff auf Sprachtranskription und Synthese-APIs
Bes. Ja Keine Nein
Mitwirkender Ja Keine Nein
Mitwirkender für Cognitive Services Ja Keine Nein
Cognitive Services-Benutzer Ja Anzeigen, Erstellen, Bearbeiten und Löschen Ja
Cognitive Services Speech: Mitwirkender Nein Anzeigen, Erstellen, Bearbeiten und Löschen Ja
Cognitive Services Speech: Benutzer Nein Nur anzeigen Ja
Cognitive Services-Datenleser (Vorschau) Nein Nur anzeigen Ja

Wichtig

Ob eine Rolle Ressourcenschlüssel auflisten kann, ist für die Speech Studio-Authentifizierung wichtig. Um Ressourcenschlüssel auflisten zu können, muss eine Rolle über die Berechtigung zum Ausführen des Microsoft.CognitiveServices/accounts/listKeys/action-Vorgangs verfügen. Bitte beachten Sie, dass bei deaktivierter Schlüsselauthentifizierung im Azure-Portal keine der Rollen Schlüssel auflisten kann.

Behalten Sie die integrierten Rollen bei, wenn Ihre Speech-Ressource vollständigen Lese- und Schreibzugriff auf die Projekte haben soll.

Für eine feiner abgestufte Steuerung des Ressourcenzugriffs können Sie Rollen über das Azure-Portal hinzufügen oder entfernen. Ein Beispiel: Sie könnten eine benutzerdefinierte Rolle mit der Berechtigung zum Hochladen von Custom Speech-Datasets erstellen, jedoch ohne die Berechtigung zum Bereitstellen eines Custom Speech-Modells an einem Endpunkt.

Authentifizierung mit Schlüsseln und Token

Die Rollen definieren, welche Berechtigungen Sie haben. Authentifizierung ist erforderlich, um die Speech-Ressource zu verwenden.

Um sich mit Speech-Ressourcenschlüsseln zu authentifizieren, benötigen Sie lediglich den Schlüssel und die Region. Um sich mit einem Microsoft Entra-Token zu authentifizieren, muss die Speech-Ressource über eine benutzerdefinierte Unterdomäne verfügen und einen privaten Endpunkt verwenden. Die Speech-Dienste nutzen ausschließlich benutzerdefinierte Unterdomänen mit privaten Endpunkten.

Speech SDK-Authentifizierung

Für das SDK konfigurieren Sie, ob Sie sich mit einem Speech-Ressourcenschlüssel oder einem Microsoft Entra-Token authentifizieren möchten. Weitere Informationen finden Sie unter Microsoft Entra-Authentifizierung mit dem Speech SDK.

Speech Studio-Authentifizierung

Nachdem Sie sich bei Speech Studio angemeldet haben, wählen Sie ein Abonnement und eine Speech-Ressource aus. Sie können nicht wählen, ob Sie sich mit einem Speech-Ressourcenschlüssel oder einem Microsoft Entra-Token authentifizieren möchten. Speech Studio ruft den Schlüssel oder das Token automatisch aus der Speech-Ressource ab. Wenn eine der zugewiesenen Rollen die Berechtigung zum Auflisten von Ressourcenschlüsseln hat, führt Speech Studio die Authentifizierung mit dem Schlüssel durch. Andernfalls führt Speech Studio die Authentifizierung mit dem Microsoft Entra-Token durch.

Wenn Speech Studio Ihr Microsoft Entra-Token verwendet, die Speech-Ressource aber nicht über eine benutzerdefinierte Unterdomäne und einen privaten Endpunkt verfügt, können Sie einige Features in Speech Studio nicht verwenden. In diesem Fall kann beispielsweise die Speech-Ressource verwendet werden, um ein Custom Speech-Modell zu trainieren, aber sie können kein Custom Speech-Modell verwenden, um Audiodateien zu transkribieren.

Anmeldeinformationen für die Authentifizierung Verfügbarkeit von Funktionen
Speech-Ressourcenschlüssel Unbeschränkter Zugriff Die Rollenkonfiguration wird bei Verwendung eines Ressourcenschlüssels ignoriert.
Microsoft Entra-Token mit benutzerdefinierter Unterdomäne und privatem Endpunkt Vollzugriff, nur durch die zugewiesenen Rollenberechtigungen eingeschränkt.
Microsoft Entra-Token ohne benutzerdefinierte Unterdomäne und privaten Endpunkt (nicht empfohlen) Features sind eingeschränkt. Beispielsweise kann die Speech-Ressource verwendet werden, um ein Custom Speech-Modell oder eine benutzerdefinierte neuronale Stimme zu trainieren. Sie können aber weder ein Custom Speech-Modell noch eine benutzerdefinierte neurale Stimme verwenden.

Nächste Schritte