Kontrola dostępu oparta na rolach dla zasobów usługi Mowa
Dostęp i uprawnienia do zasobów usługi Mowa można zarządzać przy użyciu kontroli dostępu opartej na rolach (RBAC) platformy Azure. Przypisane role mogą się różnić w zależności od zasobów usługi Mowa. Można na przykład przypisać rolę do zasobu usługi Mowa, który powinien służyć tylko do trenowania niestandardowego modelu mowy. Możesz przypisać inną rolę do zasobu usługi Mowa, który jest używany do transkrypcji plików audio. W zależności od tego, kto może uzyskać dostęp do poszczególnych zasobów usługi Mowa, można skutecznie ustawić inny poziom dostępu dla aplikacji lub użytkownika. Aby uzyskać więcej informacji na temat kontroli dostępu opartej na rolach platformy Azure, zobacz dokumentację RBAC platformy Azure.
Uwaga
Zasób usługi Mowa może dziedziczyć lub przypisywać wiele ról. Końcowy poziom dostępu do zasobu jest kombinacją wszystkich uprawnień roli.
Role dla zasobów usługi Mowa
Definicja roli to kolekcja uprawnień. Podczas tworzenia zasobu usługi Mowa wbudowane role w poniższej tabeli są dostępne do przypisania.
Ostrzeżenie
Architektura usługi Mowa różni się od innych usług azure AI w sposób, w jaki korzysta z płaszczyzny sterowania i płaszczyzny danych platformy Azure. Usługa rozpoznawania mowy intensywnie korzysta z płaszczyzny danych porównującej się z innymi usługami azure AI i wymaga to różnych konfiguracji dla ról. W związku z tym niektóre ogólne role usług Cognitive Services mają rzeczywisty zestaw praw dostępu, który nie jest dokładnie zgodny z ich nazwą w scenariuszu usług mowy. Na przykład użytkownik usług Cognitive Services zapewnia prawa współautora, podczas gdy współautor usług Cognitive Services w ogóle nie zapewnia dostępu. Dotyczy to również ogólnych ról właścicieli i współautorów , które nie mają praw płaszczyzny danych i w związku z tym nie zapewniają dostępu do zasobu usługi Mowa. Aby zachować spójność, zalecamy używanie ról zawierających mowę w nazwach. Te role to Współautor mowy w usługach Cognitive Services i Cognitive Services Speech. Ich zestawy praw dostępu zostały zaprojektowane specjalnie dla usługi Mowa. Jeśli chcesz użyć ogólnych ról usług Cognitive Services i ról ogólnych platformy Azure, prosimy o dokładne zbadanie poniższej tabeli dostępu.
| Rola | Może wyświetlić listę kluczy zasobów | Dostęp do danych, modeli i punktów końcowych w projektach niestandardowych | Dostęp do transkrypcji mowy i interfejsów API syntezy |
|---|---|---|---|
| Właściciel | Tak | None | Nie. |
| Współautor | Tak | None | Nie. |
| Współautor usług Cognitive Services | Tak | None | Nie. |
| Użytkownik usług Cognitive Services | Tak | Wyświetlanie, tworzenie, edytowanie i usuwanie | Tak |
| Współautor mowy w usługach Cognitive Services | Nie. | Wyświetlanie, tworzenie, edytowanie i usuwanie | Tak |
| Użytkownik mowy usług Cognitive Services | Nie. | Wyświetl tylko | Tak |
| Czytelnik danych usług Cognitive Services (wersja zapoznawcza) | Nie. | Wyświetl tylko | Tak |
Ważne
To, czy rola może wyświetlać listę kluczy zasobów, jest ważna w przypadku uwierzytelniania w usłudze Speech Studio. Aby wyświetlić listę kluczy zasobów, rola musi mieć uprawnienia do uruchamiania Microsoft.CognitiveServices/accounts/listKeys/action operacji. Należy pamiętać, że jeśli uwierzytelnianie klucza jest wyłączone w witrynie Azure Portal, żadna z ról nie może wyświetlić kluczy.
Zachowaj wbudowane role, jeśli zasób usługi Mowa może mieć pełny dostęp do odczytu i zapisu w projektach.
W celu uzyskania bardziej szczegółowej kontroli dostępu do zasobów można dodawać lub usuwać role przy użyciu witryny Azure Portal. Można na przykład utworzyć rolę niestandardową z uprawnieniem do przekazywania niestandardowych zestawów danych mowy, ale bez uprawnień do wdrażania niestandardowego modelu mowy w punkcie końcowym.
Uwierzytelnianie przy użyciu kluczy i tokenów
Role określają, jakie uprawnienia masz. Uwierzytelnianie jest wymagane do korzystania z zasobu usługi Mowa.
Aby uwierzytelnić się przy użyciu kluczy zasobów usługi Mowa, wystarczy klucz i region. Aby uwierzytelnić się przy użyciu tokenu entra firmy Microsoft, zasób usługi Mowa musi mieć niestandardową poddomenę i użyć prywatnego punktu końcowego. Usługa Mowa używa niestandardowych domen podrzędnych tylko z prywatnymi punktami końcowymi.
Uwierzytelnianie zestawu SDK usługi Mowa
W przypadku zestawu SDK skonfigurujesz, czy uwierzytelniać się przy użyciu klucza zasobu usługi Mowa, czy tokenu entra firmy Microsoft. Aby uzyskać szczegółowe informacje, zobacz Microsoft Entra authentication with the Speech SDK (Uwierzytelnianie firmy Microsoft przy użyciu zestawu SPEECH SDK).
Uwierzytelnianie za pomocą programu Speech Studio
Po zalogowaniu się do usługi Speech Studio wybierz subskrypcję i zasób usługi Mowa. Nie wybierasz, czy uwierzytelniać się przy użyciu klucza zasobu usługi Mowa, czy tokenu Entra firmy Microsoft. Program Speech Studio automatycznie pobiera klucz lub token z zasobu usługi Mowa. Jeśli jedna z przypisanych ról ma uprawnienia do wyświetlania listy kluczy zasobów, usługa Speech Studio uwierzytelnia się przy użyciu klucza. W przeciwnym razie program Speech Studio uwierzytelnia się przy użyciu tokenu firmy Microsoft Entra.
Jeśli usługa Speech Studio używa tokenu usługi Microsoft Entra, ale zasób usługi Mowa nie ma niestandardowej poddomeny i prywatnego punktu końcowego, nie można użyć niektórych funkcji w programie Speech Studio. W takim przypadku zasób usługi Mowa może służyć do trenowania niestandardowego modelu mowy, ale nie można użyć niestandardowego modelu mowy do transkrypcji plików audio.
| Poświadczenia uwierzytelniania | Dostępność funkcji |
|---|---|
| Klucz zasobu usługi Mowa | Pełen dostęp. Konfiguracja roli jest ignorowana, jeśli jest używany klucz zasobu. |
| Token firmy Microsoft Entra z niestandardową poddomeną i prywatnym punktem końcowym | Pełny dostęp ograniczony tylko przez przypisane uprawnienia roli. |
| Token entra firmy Microsoft bez niestandardowej poddomeny i prywatnego punktu końcowego (niezalecane) | Funkcje są ograniczone. Na przykład zasób usługi Mowa może służyć do trenowania niestandardowego modelu mowy lub niestandardowego neuronowego głosu. Nie można jednak używać niestandardowego modelu mowy ani niestandardowego neuronowego głosu. |