Azure Cognitive Service for Speech リソースのロールベースのアクセス制御

  • [アーティクル]

Azure ロールベースのアクセス制御 (Azure RBAC) を使用して、Azure Cognitive Service for Speech リソースへのアクセスとアクセス許可を管理できます。 割り当てられるロールは、Azure Cognitive Service for Speech リソースによって異なる場合があります。 たとえば、Custom Speech モデルのトレーニングにのみ使用する必要がある Azure Cognitive Service for Speech リソースにロールを割り当てることができます。 オーディオ ファイルの文字起こしに使用される Azure Cognitive Service for Speech リソースに別のロールを割り当てることができます。 各 Azure Cognitive Service for Speech リソースにアクセスできるユーザーに応じて、アプリケーションまたはユーザーごとに異なるレベルのアクセスを効果的に設定できます。 Azure RBAC の詳細については、「Azure RBAC のドキュメント」を参照してください。

注意

Azure Cognitive Service for Speech リソースは、複数のロールを継承するか、または割り当てられることができます。 このリソースへの最終レベルのアクセス権は、すべてのロールのアクセス許可の組み合わせです。

Azure Cognitive Service for Speech リソースのロール

ロールの定義はアクセス許可のコレクションです。 Azure Cognitive Service for Speech リソースを作成すると、次の表の組み込みロールを割り当てに使用できます。

警告

Azure Cognitive Service for Speech サービスのアーキテクチャは、Azure コントロール プレーンとデータ プレーンの使用方法が他の Azure AI サービスとは異なります。 Azure Cognitive Service for Speech サービスは他の Azure AI サービスと比較してデータ プレーンを広範囲に使用しているため、ロールに対して異なる設定が必要です。 このため、Azure Cognitive Service for Speech サービス シナリオで使用される場合、一部の一般的な Cognitive Services ロールに、その名前と正確に一致しない実際のアクセス権セットが設定されます。 たとえば、"Cognitive Services ユーザー" は実質的に共同作成者権限を提供しますが、"Cognitive Services 共同作成者" はアクセスをまったく提供しません。 汎用の "所有者" ロールと "共同作成者" ロールにも同じことが当てはまります。共同作成者ロールは、データ プレーン権限がなく、その結果、Azure Cognitive Service for Speech リソースへのアクセスを提供しません。 一貫性を維持するために、名前に Speech を含むロールを使用することをお勧めします。 これらのロールは、"Cognitive Services Speech ユーザー" および "Cognitive Services Speech 共同作成者" です。 これらのロールのアクセス権セットは、Azure Cognitive Service for Speech サービス専用に設計されています。 一般的な Cognitive Services ロールおよび Azure の汎用ロールを使用したい場合は、次のアクセス権の表を入念に検討してください。

ロール リソース キーを一覧表示できます カスタム プロジェクトのデータ、モデル、エンドポイントへのアクセス 音声の文字起こしと合成 API へのアクセス
所有者 はい なし いいえ
Contributor はい なし いいえ
Cognitive Services 共同作成者 はい なし いいえ
Cognitive Services ユーザー はい 表示、作成、編集、削除 はい
Cognitive Services Speech 共同作成者 いいえ 表示、作成、編集、削除 はい
Cognitive Services Speech ユーザー いいえ 表示のみ はい
Cognitive Services データ閲覧者 (プレビュー) いいえ 表示のみ はい

重要

ロールがリソース キーを一覧表示できるかどうかは、 Speech Studio 認証にとって重要です。 リソース キーを一覧表示するには、ロールに Microsoft.CognitiveServices/accounts/listKeys/action 操作を実行するためのアクセス許可が必要です。 Azure Portal でキー認証が無効になっている場合、どのロールもキーを一覧表示できません。

Azure Cognitive Service for Speech リソースがプロジェクトへの完全な読み取りおよび書き込みアクセス許可を持つ場合は、組み込みのロールを保持します。

より詳細なリソース アクセスの制御を行うには、Azure portal を使用してロールを追加または削除できます。 たとえば、Custom Speech データセットをアップロードするアクセス許可は持つが、エンドポイントに Custom Speech モデルを配置するアクセス許可は持たないカスタム ロールを作成できます。

キーとトークンを使用した認証

ロールは、ユーザーが持つアクセス許可を定義します。 Azure Cognitive Service for Speech リソースを使用するには認証が必要です。

Azure Cognitive Service for Speech リソース キーを使用して認証するために必要なのは、キーとリージョンだけです。 Microsoft Entra トークンを使用して認証するには、Azure Cognitive Service for Speech リソースにカスタム サブドメインがあり、プライベート エンドポイントを使用する必要があります。 Speech サービスでは、プライベート エンドポイントのみでカスタム サブドメインが使用されます。

Speech SDK 認証

SDK の場合は、Azure Cognitive Service for Speech リソース キーと Microsoft Entra トークンのどちらで認証するかを構成します。 詳細については、「Speech SDK を使用した Microsoft Entra 認証」を参照してください。

Speech Studio の認証

Speech Studio にサインインしたら、サブスクリプションと Azure Cognitive Service for Speech リソースを選択します。 Azure Cognitive Service for Speech リソース キーと Microsoft Entra トークンのどちらで認証するかは選択しません。 Speech Studio は、Azure Cognitive Service for Speech リソースから自動的にキーまたはトークンを取得します。 割り当てられたロールのいずれかにリソース キーの一覧を取得するアクセス許可がある場合、Speech Studio はそのキーを使って認証を行います。 そうでない場合、Speech Studio は Microsoft Entra トークンを使って認証を行います。

Speech Studio で Microsoft Entra トークンを使用しているが、Azure Cognitive Service for Speech リソースにカスタム サブドメインとプライベート エンドポイントがない場合、Speech Studio で一部の機能を使用できません。 この場合、たとえば、Azure Cognitive Service for Speech リソースを使用して Custom Speech モデルをトレーニングできますが、Custom Speech モデルを使用してオーディオ ファイルを文字起こしすることはできません。

認証資格情報 使用可能な機能
Azure Cognitive Service for Speech リソース キー 機能制限なし。 リソース キーが使用されている場合、ロールの構成は無視されます。
カスタム サブドメインとプライベート エンドポイントを使用した Microsoft Entra トークン フル アクセスは、割り当てられたロールのアクセス許可によってのみ制限されます。
カスタム サブドメインとプライベート エンドポイントを使用しない Microsoft Entra トークン (非推奨) 機能は限られています。 たとえば、Azure Cognitive Service for Speech リソースを使って、Custom Speech モデルまたはカスタム ニューラル音声をトレーニングできます。 ただし、Custom Speech モデルまたはカスタム ニューラル音声を使うことはできません。

次のステップ