Configurer la ressource Speech BYOS

La technologie BYOS (Bring Your Own Storage, « Apportez votre propre stockage ») est proposée par Azure AI aux clients qui ont des exigences élevées en matière de sécurité et de confidentialité des données. Le cœur de la technologie consiste à associer un compte de stockage Azure (possédé et contrôlé entièrement par l’utilisateur) à la ressource Speech. La ressource Speech utilise ensuite ce compte de stockage pour stocker différents artefacts liés au traitement des données utilisateur, au lieu de stocker les mêmes artefacts dans les locaux du service Speech, comme c’est le cas d’habitude. Cette approche permet d’utiliser tous les ensembles de fonctionnalités de sécurité du compte de stockage Azure, y compris le chiffrement des données avec les clés gérées par le client, l’utilisation de points de terminaison privés pour accéder aux données, etc.

Dans les scénarios BYOS, tout le trafic entre la ressource Speech et le compte de stockage est géré à l’aide du réseau mondial Azure. En d’autres termes, toutes les communications sont établies à l’aide d’un réseau privé et contournent complètement l’Internet public. Dans le scénario BYOS, la ressource Speech utilise le mécanisme des services approuvés Azure pour accéder au compte de stockage, en s’appuyant sur des identités managées affectées par le système comme méthode d’authentification et sur le contrôle d’accès en fonction du rôle (RBAC) comme méthode d’autorisation.

Il existe une exception : si vous utilisez la synthèse vocale et que votre ressource Speech et le compte de stockage associé se trouvent dans différentes régions Azure, l’Internet public est utilisé pour les opérations, impliquant la SAP de délégation d’utilisateur. Veuillez consulter les détails dans cette section.

BYOS peut être utilisé avec plusieurs services Azure AI. Pour Speech, il peut être utilisé dans les scénarios suivants :

Reconnaissance vocale

Synthèse vocale

Une combinaison de ressource Speech-compte de stockage peut être utilisée simultanément pour les quatre scénarios dans toutes les combinaisons.

Cet article explique comment créer et gérer une ressource Speech avec BYOS et applicable à tous les scénarios mentionnés. Consultez les informations spécifiques au scénario dans les articles correspondants.

Ressource Speech avec BYOS : règles de base

Tenez compte des règles suivantes quand vous planifiez la configuration d’une ressource Speech avec BYOS :

  • BYOS ne peut être activé pour la ressource Speech que lors de la création. Une ressource Speech existante ne peut pas être convertie pour être compatible BYOS. Une ressource Speech avec BYOS ne peut pas être convertie en ressource « conventionnelle » (non-BYOS).
  • L’association d’un compte de stockage à la ressource Speech est déclarée lors de la création de la ressource Speech. Il ne peut pas être changé ultérieurement. Autrement dit, vous ne pouvez pas modifier le compte de stockage associé à la ressource Speech avec BYOS existante. Pour utiliser un autre compte de stockage, vous devez créer une autre ressource Speech avec BYOS.
  • Lors de la création d’une ressource Speech avec BYOS, vous pouvez utiliser un compte de stockage existant ou en créer un automatiquement lors de l’approvisionnement de la ressource Speech (cette dernière est valide uniquement lors de l’utilisation du portail Azure).
  • Un compte de stockage peut être associé à de nombreuses ressources Speech. Nous vous recommandons toutefois d’utiliser un seul compte de stockage par ressource Speech.
  • Le compte de stockage et la ressource Speech avec BYOS associée peuvent se trouver dans les mêmes régions Azure ou dans des régions différentes. Nous vous recommandons d’utiliser la même région pour réduire la latence. Pour la même raison, nous vous déconseillons de sélectionner des régions trop distantes dans le cas d’une configuration multirégion. (Par exemple, nous vous déconseillons de placer le compte de stockage dans la région USA Est et la ressource Speech associée dans la région Europe Ouest.)

Créer et configurer une ressource Speech avec BYOS

Cette section explique comment créer une ressource Speech avec BYOS.

Demander l’accès à BYOS pour vos abonnements Azure

Vous devez demander l’accès à la fonctionnalité BYOS pour chacun des abonnements Azure que vous envisagez d’utiliser. Pour demander l’accès, remplissez et envoyez le formulaire de demande d’accès aux fonctionnalités Clés gérées par le client et Apportez votre propre stockage dans Cognitive Services et Applied AI. Attendez que la demande soit approuvée.

(Facultatif) Vérifiez si l’abonnement Azure a accès à BYOS

Vous pouvez vérifier rapidement si votre abonnement Azure a accès à BYOS. Cette vérification utilise des fonctionnalités en préversion d’Azure.

Cette fonctionnalité n’est pas disponible par le biais du portail Azure.

Remarque

Vous pouvez afficher la liste des fonctionnalités en préversion d’un abonnement Azure donné, comme expliqué dans cet article, mais notez que toutes les fonctionnalités en préversion, y compris BYOS, ne sont pas visibles de cette façon.

Planifier et préparer votre compte de stockage

Si vous utilisez le portail Azure pour créer une ressource Speech avec BYOS, un compte de stockage associé peut être créé automatiquement. Pour toutes les autres méthodes d’approvisionnement (Azure CLI, PowerShell, requête d’API REST), vous devez utiliser un compte de stockage existant.

Si vous souhaitez utiliser un compte de stockage existant et que vous n’avez pas l’intention d’utiliser la méthode du portail Azure pour l’approvisionnement de la ressource Speech avec BYOS, notez les points suivants concernant ce compte de stockage :

  • Vous avez besoin de l’ID de ressource Azure complet du compte de stockage. Pour l’obtenir, accédez au compte de stockage dans le portail Azure, puis sélectionnez le menu Points de terminaison dans le groupe Paramètres. Copiez et stockez la valeur du champ ID de ressource de compte de stockage.
  • Pour configurer entièrement BYOS, vous avez besoin au moins du droit Propriétaire de la ressource pour le compte de stockage sélectionné.

Remarque

Le droit Propriétaire de la ressource du compte de stockage ou un droit supérieur n’est pas nécessaire pour utiliser une ressource Speech avec BYOS. Il est toutefois requis lors de la configuration initiale unique du compte de stockage pour l’utilisation dans le scénario BYOS. Veuillez consulter les détails dans cette section.

Créer une ressource Speech avec BYOS

Assurez-vous que votre abonnement Azure est activé pour l’utilisation de BYOS avant d’essayer de créer la ressource Speech. Consultez cette section.

Il existe deux façons de créer une ressource Speech avec BYOS :

  • Avec le portail Azure.
  • Avec l’API Cognitive Services (PowerShell, Azure CLI, requête REST).

L’option du portail Azure a des exigences plus strictes :

  • Le compte utilisé pour l’approvisionnement de la ressource Speech avec BYOS doit disposer du droit Propriétaire de l’abonnement.
  • Le compte de stockage associé à BYOS doit se trouver uniquement dans la même région que la ressource Speech.

Si l’une de ces exigences supplémentaires ne correspond pas à votre scénario, utilisez l’option de l’API Cognitive Services (PowerShell, Azure CLI, requête REST).

Pour utiliser l’une des méthodes ci-dessus, vous avez besoin d’un compte Azure auquel est attribué un rôle permettant de créer des ressources dans votre abonnement, comme Contributeur d’abonnement.

Remarque

Si vous utilisez le portail Azure pour créer une ressource Speech avec BYOS, nous vous recommandons de sélectionner l’option de création d’un compte de stockage.

Pour créer une ressource Speech avec BYOS avec le portail Azure, vous devez accéder à certaines fonctionnalités d’évaluation du portail. Procédez comme suit :

  1. Accédez à la page de création d’une ressource Speech à l’aide de ce lien.
  2. Notez la présence de la section Compte de stockage dans le bas de la page.
  3. Sélectionnez Oui pour l’option Apportez votre propre stockage.
  4. Configurez les paramètres de compte de stockage requis, puis poursuivez la création de la ressource Speech.

Si vous avez utilisé le portail Azure pour créer une ressource Speech avec BYOS, celle-ci est prête à être utilisée. Si vous avez utilisé une autre méthode, vous devez effectuer l’attribution de rôle pour l’identité managée de la ressource Speech dans l’étendue du compte de stockage associé. Dans tous les cas, vous devez également passer en revue les différents paramètres de compte de stockage liés à la sécurité des données. Consultez cette section.

(Facultatif) Vérifier la configuration BYOS de la ressource Speech

Vous pouvez vérifier si BYOS est activé pour une ressource Speech et le compte de stockage associé. Pour ce faire, vous pouvez utiliser le portail Azure ou l’API Cognitive Services.

Pour vérifier la configuration BYOS d’une ressource Speech avec le portail Azure, vous devez accéder à certaines fonctionnalités d’évaluation du portail. Procédez comme suit :

  1. Accédez à la page de création d’une ressource Speech à l’aide de ce lien.
  2. Fermez l’écran de création d’une ressource Speech en appuyant sur X dans le coin supérieur droit.
  3. Si vous y êtes invité, acceptez d’ignorer les modifications non enregistrées.
  4. Accédez à la ressource Speech que vous souhaitez vérifier.
  5. Sélectionnez le menu Stockage dans le groupe Gestion des ressources.
  6. Vérifiez les éléments suivants :
    1. Le champ Stockage attaché contient l’ID de ressource Azure du compte de stockage associé à BYOS.
    2. Pour le champ Type d’identité, la valeur Affectée par le système est sélectionnée.

Si l’élément de menu Stockage est manquant dans le groupe Gestion des ressources, BYOS n’est pas activé pour la ressource Speech sélectionnée.

Configurer le compte de stockage associé à BYOS

Pour garantir un haut niveau de sécurité et de confidentialité de vos données, vous devez configurer correctement les paramètres du compte de stockage associé à BYOS. Si vous n’avez pas utilisé le portail Azure pour créer votre ressource Speech avec BYOS, vous devez également effectuer une étape obligatoire d’attribution de rôle.

Attribuer un rôle d’accès aux ressources

Cette étape est obligatoire si vous n’avez pas utilisé le portail Azure pour créer votre ressource Speech avec BYOS.

BYOS utilise le stockage Blob d’un compte de stockage. Par conséquent, l’identité managée de la ressource Speech avec BYOS nécessite l’attribution du rôle Contributeur aux données Blob du stockage dans l’étendue du compte de stockage associé à BYOS.

Attention

N’utilisez pas les attributions de rôle personnalisées à la place du rôle Contributeur aux données Blob du stockage intégré.

Dans le cas contraire, il est très probable que cela entraînera des problèmes et erreurs de service difficiles à déboguer associés à l’accès à un compte de stockage lié à un BYOS.

Si vous avez utilisé le portail Azure pour créer votre ressource Speech avec BYOS, vous pouvez ignorer le reste de cette sous-section. Votre attribution de rôle est déjà effectuée. Dans le cas contraire, suivez ces étapes.

Important

Vous devez bénéficier du rôle Propriétaire du compte Stockage ou d’une étendue supérieure (comme Abonnement) pour effectuer l’opération dans les étapes suivantes. En effet, seul le rôle Propriétaire peut attribuer des rôles à d’autres personnes. Consultez les informations détaillées ici.

  1. Accédez au portail Azure et connectez-vous à votre compte Azure.
  2. Sélectionnez le compte Stockage.
  3. Sélectionnez le menu Contrôle d’accès (IAM) dans le volet gauche.
  4. Sélectionnez Ajouter une attribution de rôle dans la vignette Accorder l’accès à cette ressource.
  5. Sélectionnez Contributeur aux données Blob du stockage sous Rôle, puis sélectionnez Suivant.
  6. Sélectionnez Identité managée sous Membres>Attribuer l’accès à.
  7. Attribuez l’identité managée de votre ressource Speech, puis sélectionnez Vérifier + attribuer.
  8. Après avoir vérifié les paramètres, sélectionnez Vérifier + attribuer.

Configurer les paramètres de sécurité du compte de stockage pour la reconnaissance vocale

Cette section explique comment configurer les paramètres de sécurité du compte de stockage si vous envisagez d’utiliser le compte de stockage associé à BYOS uniquement pour des scénarios de reconnaissance vocale. Si vous utilisez le compte de stockage associé à BYOS pour la synthèse vocale ou une combinaison de reconnaissance vocale et de synthèse vocale, utilisez cette section.

Pour la reconnaissance vocale, BYOS utilise le mécanisme de sécurité approuvé des services Azure pour communiquer avec le compte de stockage. Ce mécanisme permet de définir des règles d’accès restreintes aux données du compte de stockage.

Si vous effectuez toutes les actions de cette section, votre compte de stockage se trouve dans la configuration suivante :

Ainsi, votre compte de stockage devient complètement « verrouillé » et est accessible uniquement par votre ressource Speech, qui peut :

  • Écrire des artefacts de votre traitement de données Speech (consultez les informations détaillées dans les articles correspondants).
  • Lire les fichiers déjà présents au moment de l’application de la nouvelle configuration. Par exemple, les fichiers audio sources pour la transcription par lot ou les fichiers de jeu de données pour l’entraînement et le test d’un modèle personnalisé.

Vous devez envisager cette configuration en tant que modèle en ce qui concerne la sécurité de vos données audio et la personnaliser en fonction de vos besoins.

Par exemple, vous pouvez autoriser le trafic à partir d’adresses IP publiques et de réseaux virtuels Azure sélectionnés. Vous pouvez également configurer l’accès à votre compte de stockage avec des points de terminaison privés (voir également ce tutoriel), réactiver l’accès avec une clé de compte de stockage, autoriser l’accès à d’autres services approuvés Azure, etc.

Remarque

L’utilisation de points de terminaison privés pour Speech n’est pas nécessaire pour sécuriser le compte de stockage. Les points de terminaison privés pour Speech sécurisent les canaux pour les requêtes d’API Speech et peuvent être utilisés comme composant supplémentaire dans votre solution.

Restreindre l’accès au compte de stockage

  1. Accédez au portail Azure et connectez-vous à votre compte Azure.
  2. Sélectionnez le compte Stockage.
  3. Dans le groupe Paramètres dans le volet de gauche, sélectionnez Configuration.
  4. Sélectionnez Désactivé pour Autoriser l’accès public aux objets blob.
  5. Sélectionnez Désactivé pour Autoriser l’accès de clé de compte de stockage
  6. Cliquez sur Enregistrer.

Pour plus d’informations, consultez Empêcher l’accès en lecture publique anonyme aux conteneurs et aux objets blob et Empêcher l’autorisation de clé partagée pour un compte Stockage Azure.

Configurez le pare-feu du stockage Azure

Avec un accès restreint au compte de stockage, vous devez accorder l’accès réseau aux identités managées de la ressource Speech. Suivez ces étapes afin d’ajouter l’accès pour la ressource Speech.

  1. Accédez au portail Azure et connectez-vous à votre compte Azure.

  2. Sélectionnez le compte Stockage.

  3. Dans le groupe Sécurité + réseau dans le volet gauche, sélectionnez Réseau.

  4. Sous l’onglet Pare-feu et réseaux virtuels, sélectionnez Activé à partir des réseaux virtuels et adresses IP sélectionnés.

  5. Décochez toutes les cases.

  6. Vérifiez que Routage réseau Microsoft est sélectionné.

  7. Dans la section Instances de ressources, sélectionnez Microsoft.CognitiveServices/accounts comme type de ressource et sélectionnez votre ressource Speech comme nom d’instance.

  8. Sélectionnez Enregistrer.

    Remarque

    La propagation des modifications réseau peut prendre jusqu’à 5 minutes.

Configurer les paramètres de sécurité du compte de stockage pour la synthèse vocale

Cette section explique comment configurer les paramètres de sécurité du compte de stockage si vous envisagez d’utiliser le compte de stockage associé à BYOS pour la synthèse vocale ou une combinaison de reconnaissance vocale et de synthèse vocale. Si vous utilisez le compte de stockage associé à BYOS pour la reconnaissance vocale uniquement, utilisez cette section.

Remarque

En comparaison à la reconnaissance vocale, la synthèse vocale nécessite des paramètres plus souples du pare-feu de compte de stockage. Si vous utilisez à la fois la reconnaissance vocale et la synthèse vocale, et que vous avez besoin de restreindre au maximum les paramètres de sécurité du compte de stockage pour protéger vos données, vous pouvez envisager d’utiliser différents comptes de stockage et les ressources Speech correspondantes pour les tâches de reconnaissance vocale et de synthèse vocale.

Si vous effectuez toutes les actions de cette section, votre compte de stockage se trouve dans la configuration suivante :

Il s’agit des paramètres de sécurité les plus restreints possibles pour le scénario de synthèse vocale. Vous pouvez les personnaliser en fonction de vos besoins.

Restreindre l’accès au compte de stockage

  1. Accédez au portail Azure et connectez-vous à votre compte Azure.
  2. Sélectionnez le compte Stockage.
  3. Dans le groupe Paramètres dans le volet de gauche, sélectionnez Configuration.
  4. Sélectionnez Désactivé pour Autoriser l’accès public aux objets blob.
  5. Sélectionnez Désactivé pour Autoriser l’accès de clé de compte de stockage
  6. Cliquez sur Enregistrer.

Pour plus d’informations, consultez Empêcher l’accès en lecture publique anonyme aux conteneurs et aux objets blob et Empêcher l’autorisation de clé partagée pour un compte Stockage Azure.

Configurez le pare-feu du stockage Azure

La voix neuronale personnalisée utilise la SAP de délégation d’utilisateur pour lire les données d’apprentissage du modèle vocal neuronal personnalisé. Elle nécessite d’autoriser le compte de stockage à accéder au trafic réseau externe.

  1. Accédez au portail Azure et connectez-vous à votre compte Azure.
  2. Sélectionnez le compte Stockage.
  3. Dans le groupe Sécurité + réseau dans le volet gauche, sélectionnez Réseau.
  4. Dans l’onglet Pare-feux et réseaux virtuels, sélectionnez Activé à partir de tous les réseaux.
  5. Cliquez sur Enregistrer.

Configurer le compte de stockage associé à BYOS pour une utilisation avec Speech Studio

De nombreuses opérations Speech Studio, telles que le chargement d’un jeu de données ou l’apprentissage et le test d’un modèle personnalisé, ne nécessitent aucune configuration particulière d’une ressource Speech avec BYOS.

Toutefois, si vous devez lire les données stockées dans un compte de stockage associé à BYOS au moyen de l’interface web Speech Studio, vous devez configurer d’autres paramètres de votre compte de stockage associé à BYOS. Par exemple, il est nécessaire d’afficher le contenu d’un jeu de données.

Configuration du partage des ressources cross-origin (CORS)

Speech Studio a besoin d’une autorisation pour effectuer des requêtes sur le stockage Blob du compte de stockage associé à BYOS. Pour accorder cette autorisation, vous utilisez le partage des ressources cross-origin (CORS). Procédez comme suit.

  1. Accédez au portail Azure et connectez-vous à votre compte Azure.
  2. Sélectionnez le compte Stockage.
  3. Dans le groupe Paramètres du volet gauche, sélectionnez Partage de ressources (CORS).
  4. Vérifiez que l’onglet Stockage Blob est sélectionné.
  5. Configurez l’enregistrement suivant :
    • Origines autorisées : https://speech.microsoft.com
    • Méthodes autorisées : GET, OPTIONS
    • En-têtes autorisés : *
    • En-têtes exposés : *
    • Âge maximal : 1000
  6. Cliquez sur Enregistrer.

Avertissement

Le champ Origines autorisées doit contenir une URL sans barre oblique de fin. L’URL doit être https://speech.microsoft.com, et non https://speech.microsoft.com/. Si vous ajoutez une barre oblique de fin, Speech Studio n’affiche pas les détails des jeux de données et des tests de modèle.

Configurer le pare-feu de Stockage Azure

Vous devez autoriser l’accès à l’ordinateur sur lequel vous exécutez le navigateur qui utilise Speech Studio. Si les paramètres de pare-feu de votre compte de stockage autorisent l’accès public à partir de tous les réseaux, vous pouvez ignorer cette sous-section. Dans le cas contraire, suivez ces étapes.

  1. Accédez au portail Azure et connectez-vous à votre compte Azure.
  2. Sélectionnez le compte Stockage.
  3. Dans le groupe Sécurité + réseau dans le volet gauche, sélectionnez Réseau.
  4. Dans la section Pare-feu, entrez l’adresse IP de l’ordinateur sur lequel vous exécutez le navigateur web ou le sous-réseau IP auquel appartient l’adresse IP de l’ordinateur.
  5. Sélectionnez Enregistrer.

Étapes suivantes