Configurare la risorsa Bring Your Own Storage (BYOS) Speech

Bring Your Own Storage (BYOS) è una tecnologia di intelligenza artificiale di Azure per i clienti che hanno requisiti elevati per la sicurezza e la privacy dei dati. Il nucleo della tecnologia è la possibilità di associare un account di archiviazione di Azure, di cui l'utente è proprietario e controlla completamente la risorsa Voce. La risorsa Voce usa quindi questo account di archiviazione per archiviare elementi diversi correlati all'elaborazione dei dati utente, invece di archiviare gli stessi artefatti all'interno del servizio Voce locale, come avviene nel caso normale. Questo approccio consente di usare tutte le funzionalità di sicurezza dell'account di archiviazione di Azure, inclusa la crittografia dei dati con le chiavi gestite dal cliente, l'uso di endpoint privati per accedere ai dati e così via.

Negli scenari BYOS, tutto il traffico tra la risorsa Voce e l'account di archiviazione viene mantenuto usando la rete globale di Azure, in altre parole tutte le comunicazioni vengono eseguite usando la rete privata, ignorando completamente Internet pubblico. La risorsa Voce nello scenario BYOS usa il meccanismo dei servizi attendibili di Azure per accedere all'account di archiviazione, basandosi su identità gestite assegnate dal sistema come metodo di autenticazione e sul controllo degli accessi in base al ruolo (RBAC) come metodo di autorizzazione.

Esiste un'eccezione: se si usa la sintesi vocale e la risorsa Voce e l'account di archiviazione associato si trovano in aree di Azure diverse, per le operazioni viene usato Internet pubblico, che implica l'uso di una firma di accesso condiviso di delega utente. Vedere i dettagli in questa sezione.

BYOS può essere usato con diversi Servizi di Azure AI. Per la Voce, può essere usato negli scenari seguenti:

Riconoscimento vocale

• Trascrizione batch
• Trascrizione in tempo reale con registrazione dei risultati audio e trascrizione abilitata
• Riconoscimento vocale personalizzato (modelli personalizzati per il riconoscimento vocale)

Sintesi vocale

• Creazione di contenuto audio
• Sintesi vocale neurale (modelli personalizzati per la sintesi vocale)

Una combinazione di risorsa Voce e account di archiviazione può essere usata contemporaneamente per tutti e quattro gli scenari in tutte le combinazioni.

Questo articolo descrive come creare e gestire la risorsa Voce abilitata per BYOS ed è applicabile a tutti gli scenari menzionati. Vedere le informazioni specifiche dello scenario negli articoli corrispondenti.

Risorsa Voce abilitata per BYOS: regole di base

Quando si pianifica la configurazione della risorsa Voce abilitata per BYOS, prendere in considerazione le regole seguenti:

• La risorsa Voce può essere abilitata per BYOS solo durante la creazione. La risorsa Voce esistente non può essere convertita in una abilitata per BYOS. La risorsa Voce abilitata per BYOS non può essere convertita in una convenzionale (non BYOS).
• L'associazione dell'account di archiviazione alla risorsa Voce viene dichiarata durante la creazione della risorsa Voce. In seguito non potranno essere modificate. In altre parole, non è possibile modificare l'account di archiviazione associato alla risorsa Voce abilitata per BYOS esistente. Per usare un altro account di archiviazione, è necessario creare un'altra risorsa Voce abilitata per BYOS.
• Quando si crea una risorsa Voce abilitata per BYOS, è possibile usare un account di archiviazione esistente o crearne uno automaticamente durante il provisioning della risorsa (quest'ultimo approccio è valido solo quando si usa il portale di Azure).
• Un account di archiviazione può essere associato a molte risorse Voce. È consigliabile usare un account di archiviazione per una risorsa Voce.
• L'account di archiviazione e la risorsa Voce abilitata per BYOS correlata possono trovarsi nella stessa area o in aree di Azure diverse. È consigliabile usare la stessa area per ridurre al minimo la latenza. Per lo stesso motivo, non è consigliabile selezionare aree troppo remote per la configurazione in più aree. Ad esempio, non è consigliabile inserire l'account di archiviazione negli Stati Uniti orientali e la risorsa Voce associata in Europa occidentale.

Creare e configurare la risorsa Voce abilitata per BYOS

Questa sezione descrive come creare una risorsa Voce abilitata per BYOS.

Richiedere l'accesso a BYOS per le sottoscrizioni di Azure

È necessario richiedere l'accesso alla funzionalità BYOS per ognuna delle sottoscrizioni di Azure che si prevede di usare. Per richiedere l'accesso, compilare e inviare il modulo di richiesta di accesso Servizi cognitivi e Chiavi gestite dal cliente per IA applicata e Bring Your Own Storage. Attendere l'approvazione della richiesta.

(Facoltativo) Controllare se la sottoscrizione di Azure ha accesso a BYOS

È possibile verificare rapidamente se la sottoscrizione di Azure ha accesso a BYOS. Questo controllo usa funzionalità di anteprima di Azure.

# Target subscription parameters
# REPLACE WITH YOUR CONFIGURATION VALUES
$azureSubscriptionId = "XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX"

# Select the right subscription
Set-AzContext -SubscriptionId $azureSubscriptionId 

# Check whether the Azure subscription has access to BYOS
Get-AzProviderFeature -ListAvailable -ProviderNamespace "Microsoft.CognitiveServices" | where-object FeatureName -Match byox

FeatureName ProviderName                RegistrationState
----------- ------------                -----------------
byoxPreview Microsoft.CognitiveServices Registered

az account set --subscription "XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX"

az feature show --name byoxPreview --namespace  Microsoft.CognitiveServices --output table

Name                                     RegistrationState
---------------------------------------  -------------------
Microsoft.CognitiveServices/byoxPreview  Registered

{
  "properties": {
    "state": "Registered"
  },
  "id": "/subscriptions/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX/providers/Microsoft.Features/providers/Microsoft.CognitiveServices/features/byoxPreview",
  "type": "Microsoft.Features/providers/features",
  "name": "Microsoft.CognitiveServices/byoxPreview"
}

Pianificare e preparare l'account di archiviazione

Se si usa il portale di Azure per creare una risorsa voce abilitata per BYOS, è possibile creare automaticamente un account di archiviazione associato. Per tutti gli altri metodi di provisioning (interfaccia della riga di comando di Azure, PowerShell, richiesta API REST) è necessario usare l'account di archiviazione esistente.

Se si vuole usare l'account di archiviazione esistente e non si intende usare il metodo del portale di Azure per il provisioning delle risorse vocali abilitate per BYOS, tenere presente quanto segue per questo account di archiviazione:

• È necessario l'ID risorsa di Azure completo dell'account di archiviazione. Per ottenerlo, passare all'account di archiviazione nel portale di Azure, quindi selezionare il menu Endpoint dal gruppo Impostazioni. Copiare e archiviare il valore del campo ID risorsa dell'account di archiviazione.
• Per configurare completamente BYOS, è necessario almeno avere il diritto di Proprietario della risorsa per l'account di archiviazione selezionato.

Creare una risorsa Voce abilitata per BYOS

Assicurarsi che la sottoscrizione di Azure sia abilitata per l'uso di BYOS prima di tentare di creare la risorsa Voce. Vedere questa sezione.

Esistono due modi per creare una risorsa Voce abilitata per BYOS:

• Con il portale di Azure.
• Con l'API Servizi cognitivi (PowerShell, interfaccia della riga di comando di Azure, richiesta REST).

L'opzione del portale di Azure presenta requisiti più rigorosi:

• L'account usato per il provisioning della risorsa Voce abilitata per BYOS deve avere il diritto Proprietario della sottoscrizione.
• L'account di archiviazione associato a BYOS può trovarsi solo nella stessa area della risorsa Voce.

Se uno di questi requisiti aggiuntivi non rientra nello scenario, usare l'opzione API Servizi cognitivi (PowerShell, interfaccia della riga di comando di Azure, richiesta REST).

Per usare uno dei metodi precedenti, è necessario un account Azure assegnato a un ruolo che consenta di creare risorse nella sottoscrizione, ad esempio Collaboratore sottoscrizione.

# Target subscription parameters
# REPLACE WITH YOUR CONFIGURATION VALUES
$azureSubscriptionId = "XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX"
$azureResourceGroup = "myResourceGroup"
$azureSpeechResourceName = "myBYOSSpeechResource"
$azureStorageAccount = <Full Storage account Azure Resource ID in the format of "/subscriptions/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX/resourceGroups/<resource_group_name>/providers/Microsoft.Storage/storageAccounts/<storage_account_name>">
$azureLocation = "eastus"

# Select the right subscription
Set-AzContext -SubscriptionId $azureSubscriptionId 

# Create BYOS-enabled Speech resource
New-AzCognitiveServicesAccount -ResourceGroupName $azureResourceGroup  -name $azureSpeechResourceName -Type SpeechServices -SkuName S0 -Location $azureLocation -AssignIdentity -Storage $azureStorageAccount

az account set --subscription "XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX"

az cognitiveservices account create -n "myBYOSSpeechResource" -g "myResourceGroup" --assign-identity --kind SpeechServices --sku S0 -l eastus --yes --storage '[{"resourceId": "/subscriptions/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX/resourceGroups/<resource_group_name>/providers/Microsoft.Storage/storageAccounts/<storage_account_name>"}]'

--storage "[{""resourceId"": ""/subscriptions/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX/resourceGroups/<resource_group_name>/providers/Microsoft.Storage/storageAccounts/<storage_account_name>""}]"

[{"resourceId": "/subscriptions/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX/resourceGroups/<resource_group_name>/providers/Microsoft.Storage/storageAccounts/<storage_account_name>"}]

TokenRequestContext context = new Azure.Core.TokenRequestContext(new string[] { "https://management.azure.com/.default" });
InteractiveBrowserCredential browserCredential = new InteractiveBrowserCredential();
var aadToken = browserCredential.GetToken(context);
var token = aadToken.Token;

@ECHO OFF

curl -v -X PUT "https://management.azure.com/subscriptions/{AzureSubscriptionId}/resourceGroups/{myResourceGroup}/providers/Microsoft.CognitiveServices/accounts/{myBYOSSpeechResource}?api-version=2021-10-01"
-H "Content-Type: application/json"
-H "Authorization: Bearer {Value_of_token_variable}"

--data-ascii "{body}" 

{
  "location": "East US",
  "kind": "SpeechServices",
  "sku": {

  "name": "S0"
  },
  "properties": {
    "userOwnedStorage": [
    {
      "resourceId": "/subscriptions/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX/resourceGroups/<resource_group_name>/providers/Microsoft.Storage/storageAccounts/<storage_account_name>"
    }
  ]
  },
  "identity": {
    "type": "SystemAssigned"
  }
}

Se è stato usato il portale di Azure per creare una risorsa Voce abilitata per BYOS, è completamente pronta per l'uso. Se è stato usato un altro metodo, è necessario eseguire l'assegnazione di ruolo per l'identità gestita della risorsa Voce nell'ambito dell'account di archiviazione associato. In tutti i casi, è anche necessario esaminare le diverse impostazioni dell'account di archiviazione correlate alla sicurezza dei dati. Vedere questa sezione.

(Facoltativo) Verificare la configurazione BYOS della risorsa Voce

È sempre possibile verificare se una determinata risorsa Voce è abilitata per BYOS e qual è l'account di archiviazione associato. È possibile farlo tramite il portale di Azure o tramite l'API Servizi cognitivi.

Get-AzCognitiveServicesAccount -ResourceGroupName "myResourceGroup" -name "myBYOSSpeechResource"

az cognitiveservices account show -g "myResourceGroup" -n "myBYOSSpeechResource"

Configurare l'account di archiviazione associato a BYOS

Per ottenere sicurezza elevata e privacy dei dati, è necessario configurare correttamente le impostazioni dell'account di archiviazione associato a BYOS. Se non è stato usato il portale di Azure per creare la risorsa Voce abilitata per BYOS, è anche necessario eseguire un passaggio obbligatorio dell'assegnazione di ruolo.

Assegnare il ruolo di accesso alle risorse

Questo passaggio è obbligatorio se non è stato usato il portale di Azure per creare la risorsa Voce abilitata per BYOS.

BYOS usa l'archiviazione BLOB di un account di archiviazione. Per questo motivo, l'identità gestita della risorsa Voce abilitata per BYOS deve avere l'assegnazione di ruolo Collaboratore ai dati dei BLOB di archiviazione nell'ambito dell'account di archiviazione associato a BYOS.

Se è stato usato il portale di Azure per creare la risorsa Voce abilitata per BYOS, è possibile ignorare il resto di questa sottosezione. L'assegnazione di ruolo è già stata effettuata. Altrimenti, eseguire le seguenti operazioni.

1. Passare al portale di Azure e accedere all'account Azure.
2. Seleziona l'account di archiviazione.
3. Seleziona il menu Controllo di accesso (IAM) nel riquadro sinistro.
4. Seleziona Aggiungi assegnazione di ruolo nel riquadro Concedi accesso a questa risorsa.
5. Selezionare Collaboratore ai dati del BLOB di archiviazione in Ruolo e quindi selezionare Avanti.
6. Seleziona Identità gestita in Membri>Assegna accesso a.
7. Assegna l'identità gestita della risorsa Voce, quindi seleziona Rivedi e assegna.
8. Dopo aver controllato le impostazioni, selezionare Rivedi e assegna.

Configurare le impostazioni di sicurezza dell'account di archiviazione per il riconoscimento vocale

Questa sezione descrive come configurare le impostazioni di sicurezza dell'account di archiviazione, se si intende usare l'account di archiviazione associato a BYOS solo per scenari di riconoscimento vocale. Se si usa l'account di archiviazione associato a BYOS per la sintesi vocale o una combinazione di sintesi vocale e riconoscimento vocale, usare questa sezione.

Per il riconoscimento vocale BYOS usa il meccanismo di sicurezza dei servizi di Azure attendibili per comunicare con l'account di archiviazione. Il meccanismo consente di impostare regole di accesso ai dati dell'account di archiviazione con restrizioni.

Se si eseguono tutte le azioni in questa sezione, l'account di archiviazione sarà configurato come segue:

• L'accesso a tutto il traffico di rete esterno non è consentito.
• L'accesso all'account di archiviazione tramite la chiave dell'account di archiviazione non è consentito.
• L'accesso all'archiviazione BLOB dell'account di archiviazione tramite firme di accesso condiviso (SAS) non è consentito. Ad eccezione della firma di accesso condiviso di delega utente
• L'accesso alla risorsa Voce abilitata per BYOS è consentito usando l'identità gestita assegnata dal sistema di risorse.

Di conseguenza, l'account di archiviazione diventa completamente "bloccato" e può accedere solo alla risorsa Voce, che sarà in grado di:

• Scrivere artefatti dell'elaborazione dei dati Voce (vedere i dettagli negli articoli corrispondenti),
• Leggere i file già presenti al momento dell'applicazione della nuova configurazione. Ad esempio, i file audio di origine per la trascrizione batch o i file del set di dati per il training e il test del modello personalizzato.

È consigliabile considerare questa configurazione come modello per quanto riguarda la sicurezza dei dati e personalizzarla in base alle tue esigenze.

Ad esempio, è possibile consentire il traffico da reti virtuali di Azure e indirizzi IP pubblici selezionati. È anche possibile configurare l'accesso all'account di archiviazione usando endpoint privati (vedere anche questa esercitazione), riabilitare l'accesso usando la chiave dell'account di archiviazione, consentire l'accesso ad altri servizi attendibili di Azure e così via.

Limitare l'accesso all'account di archiviazione

1. Passare al portale di Azure e accedere all'account Azure.
2. Seleziona l'account di archiviazione.
3. Nel gruppo Impostazioni nel riquadro sinistro, seleziona Configurazione.
4. Seleziona Disabilitato per Consenti l'accesso pubblico ai BLOB.
5. Seleziona Disabilitato per Consenti l'accesso alla chiave dell'account di archiviazione
6. Seleziona Salva.

Per altre informazioni, vedi Impedire l'accesso in lettura pubblico anonimo a contenitori e BLOB e Impedire l'autorizzazione con chiave condivisa per un account di archiviazione di Azure.

Configurare il firewall di Archiviazione di Azure

Poiché si dispone di accesso limitato all'account di archiviazione, è necessario concedere l'accesso di rete all'identità gestita della risorsa Voce. Segui questa procedura per aggiungere l'accesso alla risorsa Voce.

1. Passare al portale di Azure e accedere all'account Azure.

2. Seleziona l'account di archiviazione.

3. Dal gruppo Sicurezza e rete nel riquadro sinistro, seleziona Rete.

4. Nella scheda Firewall e reti virtuali seleziona Abilitato da reti virtuali e indirizzi IP selezionati.

5. Deseleziona tutte le caselle di controllo.

6. Assicurati che Routing di rete Microsoft sia selezionato.

7. Nella sezione Istanze di risorse, seleziona Microsoft.CognitiveServices/accounts come tipo di risorsa e seleziona la risorsa Voce come nome dell'istanza.

8. Seleziona Salva.

   Nota

   La propagazione delle modifiche di rete potrebbe richiedere fino a 5 minuti.

Configurare le impostazioni di sicurezza dell'account di archiviazione per la sintesi vocale

Questa sezione descrive come configurare le impostazioni di sicurezza dell'account di archiviazione, se si intende usare l'account di archiviazione associato a BYOS per la sintesi vocale o una combinazione di sintesi vocale e riconoscimento vocale. Se si usa solo l'account di archiviazione BYOS associato per il riconoscimento vocale, usare questa sezione.

Se si eseguono tutte le azioni in questa sezione, l'account di archiviazione sarà configurato come segue:

• Il traffico di rete esterno è consentito.
• L'accesso all'account di archiviazione tramite la chiave dell'account di archiviazione non è consentito.
• L'accesso all'archiviazione BLOB dell'account di archiviazione tramite firme di accesso condiviso (SAS) non è consentito. Ad eccezione della firma di accesso condiviso di delega utente
• L'accesso alla risorsa Voce abilitata per BYOS è consentito usando l'identità gestita assegnata dal sistema di risorse e la firma di accesso condiviso di delega utente.

Queste sono le impostazioni di sicurezza più limitate possibili per lo scenario di sintesi vocale. È possibile personalizzarle ulteriormente in base alle proprie esigenze.

Limitare l'accesso all'account di archiviazione

1. Passare al portale di Azure e accedere all'account Azure.
2. Seleziona l'account di archiviazione.
3. Nel gruppo Impostazioni nel riquadro sinistro, seleziona Configurazione.
4. Seleziona Disabilitato per Consenti l'accesso pubblico ai BLOB.
5. Seleziona Disabilitato per Consenti l'accesso alla chiave dell'account di archiviazione
6. Seleziona Salva.

Per altre informazioni, vedi Impedire l'accesso in lettura pubblico anonimo a contenitori e BLOB e Impedire l'autorizzazione con chiave condivisa per un account di archiviazione di Azure.

Configurare il firewall di Archiviazione di Azure

La voce neurale personalizzata usa la firma di accesso condiviso di delega utente per leggere i dati per il training del modello di sintesi vocale neurale. Richiede l'accesso al traffico di rete esterno all'account di archiviazione.

1. Passare al portale di Azure e accedere all'account Azure.
2. Seleziona l'account di archiviazione.
3. Dal gruppo Sicurezza e rete nel riquadro sinistro, seleziona Rete.
4. Nella scheda Firewall e reti virtuali scegliere Abilitato da tutte le reti.
5. Seleziona Salva.

Configurare l'account di archiviazione associato a BYOS per l'uso con Speech Studio

Molte operazioni di Speech Studio come il caricamento del set di dati o il training e i test del modello personalizzato non richiedono alcuna configurazione speciale di una risorsa Voce abilitata per BYOS.

Tuttavia, se è necessario leggere i dati archiviati con l'account di archiviazione associato a BYOS tramite l'interfaccia Web di Speech Studio, è necessario configurare altre impostazioni dell'account di archiviazione associato a BYOS. Ad esempio, è necessario visualizzare il contenuto di un set di dati.

Configurare Condivisione di risorse tra le origini (CORS)

Speech Studio richiede l'autorizzazione per effettuare richieste all'archiviazione BLOB dell'account di archiviazione associato a BYOS. Per concedere tale autorizzazione, usare CORS (Cross-Origin Resource Sharing). Effettuare i passaggi seguenti.

1. Passare al portale di Azure e accedere all'account Azure.
2. Seleziona l'account di archiviazione.
3. Nel gruppo Impostazioni nel riquadro sinistro, selezionare Condivisione di risorse (CORS).
4. Assicurarsi che sia selezionata la scheda Archiviazione BLOB.
5. Configurare il record seguente:
   • Origini consentite: https://speech.microsoft.com
   • Metodi consentiti: GET, OPTIONS
   • Intestazioni consentite: *
   • Intestazioni esposte: *
   • Validità massima: 1000
6. Seleziona Salva.

Configurare il firewall di Archiviazione di Azure

È necessario consentire l'accesso per il computer in cui si esegue il browser con Speech Studio. Se le impostazioni del firewall dell'account di archiviazione consentono l'accesso pubblico da tutte le reti, è possibile ignorare questa sottosezione. Altrimenti, eseguire le seguenti operazioni.

1. Passare al portale di Azure e accedere all'account Azure.
2. Seleziona l'account di archiviazione.
3. Dal gruppo Sicurezza e rete nel riquadro sinistro, seleziona Rete.
4. Nella sezione Firewall immettere l'indirizzo IP del computer in cui si esegue il Web browser o la subnet IP a cui appartiene l'indirizzo IP del computer.
5. Seleziona Salva.

Passaggi successivi

• Usare la risorsa Voce BYOS (Bring Your Own Storage) per il riconoscimento vocale