Řízení přístupu na základě role pro prostředky služby Speech
Přístup a oprávnění k prostředkům služby Speech můžete spravovat pomocí řízení přístupu na základě role v Azure (Azure RBAC). Přiřazené role se můžou v různých prostředcích služby Speech lišit. Roli můžete například přiřadit k prostředku služby Speech, který by se měl použít jenom k trénování vlastního modelu řeči. K prostředku služby Speech, který se používá k přepisu zvukových souborů, můžete přiřadit jinou roli. V závislosti na tom, kdo má přístup k jednotlivým prostředkům služby Speech, můžete efektivně nastavit jinou úroveň přístupu pro jednotlivé aplikace nebo uživatele. Další informace o Azure RBAC najdete v dokumentaci k Azure RBAC.
Poznámka:
Prostředek služby Speech může dědit nebo být přiřazen více rolí. Konečná úroveň přístupu k prostředku je kombinací všech oprávnění role.
Role pro prostředky služby Speech
Definice role je kolekce oprávnění. Při vytváření prostředku služby Speech jsou k dispozici předdefinované role v následující tabulce pro přiřazení.
Upozorňující
Architektura služby Speech se liší od jiných služeb Azure AI způsobem, jakým využívá řídicí rovinu Azure a rovinu dat. Služba Speech ve velkém rozsahu využívá rovinu dat v porovnání s jinými službami Azure AI a vyžaduje pro tyto role jiné nastavení. Z tohoto důvodu mají některé obecné role služeb Cognitive Services skutečnou sadu přístupových práv, která přesně neodpovídá jejich názvu při použití ve scénáři služeb Speech. Uživatel služeb Cognitive Services například poskytuje práva přispěvatele, zatímco Přispěvatel služeb Cognitive Services neposkytuje vůbec žádný přístup. Totéž platí pro obecné role vlastníka a přispěvatele , které nemají žádná práva roviny dat a v důsledku toho neposkytuje přístup k prostředku služby Speech. Pokud chcete zachovat konzistenci, doporučujeme používat role obsahující řeč v jejich názvech. Tyto role jsou uživatelem služby Cognitive Services Speech a přispěvatelem řeči služeb Cognitive Services. Jejich přístupové správné sady byly navrženy speciálně pro službu Speech. V případě, že chcete použít obecné role služeb Cognitive Services a obecné role Azure, žádáme vás, abyste velmi pečlivě prozkoumali následující tabulku s právy pro přístup.
| Role | Může vypsat klíče prostředků. | Přístup k datům, modelům a koncovým bodům ve vlastních projektech | Přístup k přepisu řeči a rozhraní API pro syntézu |
|---|---|---|---|
| Vlastník | Ano | Nic | No |
| Přispěvatel | Ano | Nic | No |
| Přispěvatel služeb Cognitive Services | Ano | Nic | No |
| Uživatel služeb Cognitive Services | Ano | Zobrazení, vytvoření, úprava a odstranění | Ano |
| Přispěvatel řeči služeb Cognitive Services | No | Zobrazení, vytvoření, úprava a odstranění | Ano |
| Uživatel služby Cognitive Services Speech | No | Jenom zobrazení | Ano |
| Čtečka dat služeb Cognitive Services (Preview) | No | Jenom zobrazení | Ano |
Důležité
Jestli role může vypsat klíče prostředků, je důležité pro ověřování v sadě Speech Studio. Pokud chcete vypsat klíče prostředků, musí mít role oprávnění ke spuštění Microsoft.CognitiveServices/accounts/listKeys/action operace. Upozorňujeme, že pokud je ověřování klíčů na webu Azure Portal zakázané, nebude možné žádné role vypsat klíče.
Pokud váš prostředek služby Speech může mít plný přístup ke čtení a zápisu do projektů, ponechte předdefinované role.
Pro jemně odstupňované řízení přístupu k prostředkům můžete přidat nebo odebrat role pomocí webu Azure Portal. Můžete například vytvořit vlastní roli s oprávněním k nahrání vlastních datových sad řeči, ale bez oprávnění k nasazení vlastního modelu řeči do koncového bodu.
Ověřování pomocí klíčů a tokenů
Role definují, jaká oprávnění máte. K použití prostředku služby Speech se vyžaduje ověřování.
K ověření pomocí klíčů prostředků služby Speech potřebujete vše, co potřebujete, je klíč a oblast. Pokud se chcete ověřit pomocí tokenu Microsoft Entra, musí mít prostředek služby Speech vlastní subdoménu.
Ověřování sadou Speech SDK
Pro sadu SDK nakonfigurujete, jestli se má ověřit pomocí klíče prostředku služby Speech nebo tokenu Microsoft Entra. Podrobnosti najdete v tématu Ověřování Microsoft Entra pomocí sady Speech SDK.
Ověřování pomocí sady Speech Studio
Jakmile se přihlásíte ke službě Speech Studio, vyberete předplatné a prostředek služby Speech. Nevyberete, jestli se má ověřit pomocí klíče prostředku služby Speech nebo tokenu Microsoft Entra. Speech Studio získá klíč nebo token automaticky z prostředku služby Speech. Pokud jedna z přiřazených rolí má oprávnění k výpisu klíčů prostředků a ověřování klíčů není zakázané, služba Speech Studio se ověří pomocí klíče. V opačném případě se Speech Studio ověřuje pomocí tokenu Microsoft Entra.
Pokud Speech Studio využívá váš token Microsoft Entra a váš prostředek služby Speech nemá správně nakonfigurovanou vlastní subdoménu, řízení přístupu na základě role (RBAC) se neaktivuje a nebudete mít přístup k žádným funkcím v sadě Speech Studio. RBAC určuje váš přístup k funkcím na základě role přiřazené vám a oprávněních přidružených k této roli. Pokud vaše role neuděluje přístup ke konkrétní funkci, zobrazí se na stránce zpráva s upozorněním. Ujistěte se, že máte odpovídající roli pro přístup k požadované funkci.
| Přihlašovací údaje pro ověřování | Dostupnost funkcí |
|---|---|
| Klíč prostředku služby Speech | Plný přístup. Pokud se použije klíč prostředku, konfigurace role se ignoruje. |
| Token Microsoft Entra s vlastní subdoménou | Úplný přístup omezený pouze oprávněními přiřazené role. |
| Token Microsoft Entra bez vlastní subdomény | Bez přístupu |
Další kroky
- Ověřování Microsoft Entra pomocí sady Speech SDK
- Šifrování neaktivních uložených dat ve službě Speech