Einrichten der BYOS-Speech-Ressource (Bring Your Own Storage)

Bring Your Own Storage (BYOS) ist eine Azure KI-Technologie für Kunden, die hohe Anforderungen an Datensicherheit und Datenschutz haben. Der Kern der Technologie ist die Möglichkeit, ein Azure Storage-Konto zuzuordnen, das der Benutzer besitzt und vollständig mit der Speech-Ressource steuert. Die Speech-Ressource verwendet dieses Speicherkonto dann zum Speichern verschiedener Artefakte im Zusammenhang mit der Benutzerdatenverarbeitung, anstatt die gleichen Artefakte in den Räumlichkeiten des Speech-Diensts zu speichern wie im regulären Fall. Dieser Ansatz ermöglicht die Verwendung aller Sicherheitsfeatures des Azure Storage-Kontos, einschließlich der Verschlüsselung der Daten mit den vom Kunden verwalteten Schlüsseln, der Verwendung privater Endpunkte für den Zugriff auf die Daten usw.

In BYOS-Szenarien wird der gesamte Datenverkehr zwischen der Speech-Ressource und dem Speicherkonto über das globale Azure-Netzwerk verwaltet, d. h. die gesamte Kommunikation erfolgt über ein privates Netzwerk, wobei das öffentliche Internet vollständig umgangen wird. Die Speech-Ressource im BYOS-Szenario verwendet den Azure Trusted Services-Mechanismus für den Zugriff auf das Speicherkonto, wobei systemseitig zugewiesene verwaltete Identitäten als Authentifizierungsmethode und rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) als Autorisierungsmethode verwendet werden.

Es gibt eine Ausnahme: Wenn Sie Text-zu-Sprache verwenden und sich Ihre Speech-Ressource und das zugehörige Speicherkonto in verschiedenen Azure-Regionen befinden, wird das öffentliche Internet für die Vorgänge verwendet, wobei die SAS für die Benutzerdelegierung beteiligt ist. Details finden Sie in diesem Abschnitt.

BYOS kann mit mehreren Azure KI-Diensten verwendet werden. Für Speech kann es in folgenden Szenarien verwendet werden:

Spracherkennung

• Batch-Transkription
• Echtzeittranskription mit aktivierter Audio- und Transkriptionsergebnisprotokollierung
• Benutzerdefinierte Spracherkennung (Benutzerdefinierte Modelle für die Spracherkennung)

Sprachsynthese

• Audioinhaltserstellung
• Benutzerdefinierte neuronale Stimme (Benutzerdefinierte Modelle für die Sprachsynthese)

Eine Speech-Ressource: Die Speicherkontokombination kann für alle vier Szenarien gleichzeitig in allen Kombinationen verwendet werden.

In diesem Artikel wird beschrieben, wie Sie eine BYOS-fähige Speech-Ressource erstellen und verwalten, die für alle genannten Szenarien gilt. Die szenariospezifischen Informationen finden Sie in den entsprechenden Artikeln.

BYOS-fähige Speech-Ressource: grundlegende Regeln

Beachten Sie die folgenden Regeln beim Planen der Konfiguration von BYOS-fähigen Speech-Ressource:

• Die Speech-Ressource kann nur während der Erstellung für BYOS aktiviert werden. Eine vorhandene Speech-Ressource kann nicht in BYOS-fähige Ressourcen konvertiert werden. Die BYOS-fähige Speech-Ressource kann nicht in eine „herkömmliche“ (nicht BYOS)-Ressource konvertiert werden.
• Die Zuordnung des Speicherkontos zur Speech-Ressource wird während der Erstellung der Speech-Ressource deklariert. Diese Einstellung kann später nicht mehr geändert werden. Das heißt, Sie können nicht ändern, welches Speicherkonto der vorhandenen BYOS-fähigen Speech-Ressource zugeordnet ist. Um ein anderes Speicherkonto zu verwenden, müssen Sie eine weitere BYOS-fähige Speech-Ressource erstellen.
• Beim Erstellen einer BYOS-fähigen Speech-Ressource können Sie ein vorhandenes Speicherkonto verwenden oder eins während der Bereitstellung von Speech-Ressourcen automatisch erstellen (letzteres ist nur bei Verwendung des Azure-Portals möglich).
• Ein Speicherkonto kann vielen Speech-Ressourcen zugeordnet werden. Es wird empfohlen, ein Speicherkonto pro Speech-Ressource zu verwenden.
• Das Speicherkonto und die zugehörige BYOS-fähige Speech-Ressource können sich entweder in derselben oder in verschiedenen Azure-Regionen befinden. Es wird empfohlen, dieselbe Region zu verwenden, um die Latenz zu minimieren. Aus demselben Grund wird nicht empfohlen, zu viele Remote-Regionen für die Konfiguration mit mehreren Regionen auszuwählen. (Beispielsweise wird davon abgeraten, das Speicherkonto in USA, Osten und die zugehörige Speech-Ressource in Europa, Westen zu platzieren.)

Erstellen und Konfigurieren einer BYOS-fähigen Speech-Ressource

In diesem Abschnitt wird beschrieben, wie Sie eine BYOS-fähige Speech-Ressource erstellen.

Anfordern des Zugriffs auf BYOS für Ihre Azure-Abonnements

Sie müssen für jedes Azure-Abonnement, das Sie verwenden möchten, Zugriff auf die BYOS-Funktionalität anfordern. Um den Zugang anzufordern, füllen Sie das Antragsformular für Cognitive Services und Applied AI Customer Managed Keys und Bring Your Own Storage aus und senden es ab. Warten Sie, bis die Anforderung genehmigt wurde.

(Optional) Überprüfen, ob das Azure-Abonnement Zugriff auf BYOS hat

Sie können schnell überprüfen, ob Ihr Azure-Abonnement Zugriff auf BYOS hat. Bei dieser Überprüfung werden Vorschaufeatures von Azure verwendet.

Azure portal

Diese Funktionalität ist nicht über das Azure-Portal verfügbar.

Hinweis

Sie können die Liste der Vorschaufeatures für ein bestimmtes Azure-Abonnement anzeigen, wie in diesem Artikelerläutert. Beachten Sie jedoch, dass nicht alle Vorschaufeatures, einschließlich BYOS, auf diese Weise sichtbar sind.

PowerShell

Um zu überprüfen, ob ein Azure-Abonnement Zugriff auf BYOS mit PowerShell hat, verwenden wir den Befehl Get-AzProviderFeature.

Sie können PowerShell lokal installieren oder Azure Cloud Shell verwenden.

Wenn Sie die lokale Installation von PowerShell verwenden, stellen Sie mithilfe des Befehls Connect-AzAccount eine Verbindung mit Ihrem Azure-Konto her, bevor Sie das folgende Skript ausprobieren.

# Target subscription parameters
# REPLACE WITH YOUR CONFIGURATION VALUES
$azureSubscriptionId = "XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX"

# Select the right subscription
Set-AzContext -SubscriptionId $azureSubscriptionId 

# Check whether the Azure subscription has access to BYOS
Get-AzProviderFeature -ListAvailable -ProviderNamespace "Microsoft.CognitiveServices" | where-object FeatureName -Match byox

Wenn Sie die Antwort wie folgt erhalten, hat Ihr Abonnement Zugriff auf BYOS.

FeatureName ProviderName                RegistrationState
----------- ------------                -----------------
byoxPreview Microsoft.CognitiveServices Registered

Wenn Sie eine leere Antwort erhalten oder wenn der RegistrationStateWert NotRegistered ist, hat Ihr Azure-Abonnement keinen Zugriff auf BYOS, und Sie müssen diesen anfordern.

Azure-Befehlszeilenschnittstelle

Um zu überprüfen, ob ein Azure-Abonnement Zugriff auf BYOS mit der Azure CLI hat, verwenden wir den Befehl az feature show.

Sie können Azure CLI lokal installieren oder Azure Cloud Shell nutzen.

Hinweis

Das folgende Skript verwendet keine Variablen, da die Verwendung von Variablen abhängig von der Plattform ist, auf der die Azure CLI ausgeführt wird. Informationen zur Verwendung von Azure CLI-Variablen finden Sie in diesem Artikel.

Wenn Sie die lokale Installation von Azure CLI verwenden, stellen Sie mithilfe des Befehls az login eine Verbindung mit Ihrem Azure-Konto her, bevor Sie das folgende Skript ausprobieren.

az account set --subscription "XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX"

az feature show --name byoxPreview --namespace  Microsoft.CognitiveServices --output table

Wenn Sie die Antwort wie folgt erhalten, hat Ihr Abonnement Zugriff auf BYOS.

Name                                     RegistrationState
---------------------------------------  -------------------
Microsoft.CognitiveServices/byoxPreview  Registered

Wenn Sie eine leere Antwort erhalten oder wenn der RegistrationStateWert NotRegistered ist, hat Ihr Azure-Abonnement keinen Zugriff auf BYOS, und Sie müssen diesen anfordern.

Tipp

Weitere Befehle im Zusammenhang mit der Auflistung der Vorschaufeatures für Azure-Abonnements finden Sie in diesem Artikel.

REST

Um über die REST-API zu überprüfen, ob ein Azure-Abonnement Zugriff auf BYOS hat, verwenden Sie die Anforderung Features – Liste aus der Azure Resource Manager REST-API.

Wenn Ihr Abonnement Zugriff auf BYOS hat, enthält die REST-Antwort das folgende Element:

{
  "properties": {
    "state": "Registered"
  },
  "id": "/subscriptions/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX/providers/Microsoft.Features/providers/Microsoft.CognitiveServices/features/byoxPreview",
  "type": "Microsoft.Features/providers/features",
  "name": "Microsoft.CognitiveServices/byoxPreview"
}

Wenn die REST-Antwort nicht den Verweis auf das byoxPreview-Feature enthält oder ihr Status NotRegistered ist, hat Ihr Azure-Abonnement keinen Zugriff auf BYOS, und Sie müssen diesen anfordern.

Planen und Vorbereiten Ihres Speicherkontos

Wenn Sie das Azure-Portal verwenden, um eine BYOS-fähige Speech-Ressource zu erstellen, kann automatisch ein zugeordnetes Speicherkonto erstellt werden. Für alle anderen Bereitstellungsmethoden (Azure CLI, PowerShell, REST-API-Anforderung) müssen Sie ein vorhandenes Speicherkonto verwenden.

Wenn Sie ein vorhandenes Speicherkonto verwenden möchten und nicht beabsichtigen, die Azure-Portal-Methode für die Bereitstellung von BYOS-fähigen Speech-Ressourcen zu verwenden, beachten Sie Folgendes in Bezug auf dieses Speicherkonto:

• Sie benötigen die vollständige Azure-Ressourcen-ID des Speicherkontos. Navigieren Sie zum Abrufen des Speicherkontos zum Azure-Portal, und wählen Sie dann in der Gruppe Einstellungen das Menü Endpunkte aus. Kopieren und speichern Sie den Wert des Felds Ressourcen-ID des Speicherkontos.
• Zum vollständigen Konfigurieren von BYOS benötigen Sie mindestens die Berechtigung Ressourcenbesitzer für das ausgewählte Speicherkonto.

Hinweis

Die Berechtigung Ressourcenbesitzer oder höher für das Speicherkonto ist nicht erforderlich, um eine BYOS-fähige Speech-Ressource zu verwenden. Sie ist jedoch während der einmaligen Erstkonfiguration des Speicherkontos für die Verwendung im BYOS-Szenario erforderlich. Details finden Sie in diesem Abschnitt.

Erstellen einer BYOS-fähigen Speech-Ressource

Stellen Sie sicher, dass Ihr Azure-Abonnement für die Verwendung von BYOS aktiviert ist, bevor Sie versuchen, die Speech-Ressource zu erstellen. Weitere Informationen finden Sie in diesem Abschnitt.

Es gibt zwei Möglichkeiten, eine BYOS-fähige Speech-Ressource zu erstellen:

• Mit dem Azure-Portal.
• Mit der Cognitive Services-API (PowerShell, Azure CLI, REST-Anforderung).

Bei Verwendung des Azure-Portals gelten strengere Anforderungen:

• Das Konto, das für die Bereitstellung von BYOS-fähigen Speech-Ressourcen verwendet wird, sollte über die Berechtigung Abonnementbesitzer verfügen.
• Das Speicherkonto, das BYOS zugeordnet ist, sollte sich in derselben Region wie die Speech-Ressource befinden.

Wenn eine dieser zusätzlichen Anforderungen nicht zu Ihrem Szenario passt, verwenden Sie die Cognitive Services-API-Option (PowerShell, Azure CLI, REST-Anforderung).

Um eine der oben genannten Methoden verwenden zu können, benötigen Sie ein Azure-Konto, dem eine Rolle zugewiesen ist, mit der Ressourcen in Ihrem Abonnement erstellt werden können, z. B. Abonnementmitwirkender.

Azure portal

Hinweis

Wenn Sie das Azure-Portal verwenden, um eine BYOS-fähige Speech-Ressource zu erstellen, empfiehlt es sich, die Option zum Erstellen eines neuen Speicherkontos auszuwählen.

Um eine BYOS-fähige Speech-Ressource mit dem Azure-Portal zu erstellen, müssen Sie auf einige Portalpreviewfunktionen zugreifen. Führen Sie die folgenden Schritte aus:

1. Navigieren Sie über diesen Link zur Seite Sprache erstellen.
2. Beachten Sie den Abschnitt Speicherkonto am unteren Rand der Seite.
3. Wählen Sie Ja für die Option Bring Your Own Storage aus.
4. Konfigurieren Sie die erforderlichen Speicherkontoeinstellungen, und fahren Sie mit der Erstellung der Speech-Ressource fort.

PowerShell

Um eine BYOS-fähige Speech-Ressource mit PowerShell zu erstellen, verwenden wir den Befehl New-AzCognitiveServicesAccount.

Sie können PowerShell lokal installieren oder Azure Cloud Shell verwenden.

Wenn Sie die lokale Installation von PowerShell verwenden, stellen Sie mithilfe des Befehls Connect-AzAccount eine Verbindung mit Ihrem Azure-Konto her, bevor Sie das folgende Skript ausprobieren.

# Target subscription parameters
# REPLACE WITH YOUR CONFIGURATION VALUES
$azureSubscriptionId = "XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX"
$azureResourceGroup = "myResourceGroup"
$azureSpeechResourceName = "myBYOSSpeechResource"
$azureStorageAccount = <Full Storage account Azure Resource ID in the format of "/subscriptions/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX/resourceGroups/<resource_group_name>/providers/Microsoft.Storage/storageAccounts/<storage_account_name>">
$azureLocation = "eastus"

# Select the right subscription
Set-AzContext -SubscriptionId $azureSubscriptionId 

# Create BYOS-enabled Speech resource
New-AzCognitiveServicesAccount -ResourceGroupName $azureResourceGroup  -name $azureSpeechResourceName -Type SpeechServices -SkuName S0 -Location $azureLocation -AssignIdentity -Storage $azureStorageAccount

Azure-Befehlszeilenschnittstelle

Zum Erstellen einer BYOS-fähigen Speech-Ressource mit der Azure CLI verwenden wir den Befehl az cognitiveservices account create.

Sie können Azure CLI lokal installieren oder Azure Cloud Shell nutzen.

Hinweis

Das folgende Skript verwendet keine Variablen, da die Verwendung von Variablen abhängig von der Plattform ist, auf der die Azure CLI ausgeführt wird. Informationen zur Verwendung von Azure CLI-Variablen finden Sie in diesem Artikel.

Wenn Sie die lokale Installation von Azure CLI verwenden, stellen Sie mithilfe des Befehls az login eine Verbindung mit Ihrem Azure-Konto her, bevor Sie das folgende Skript ausprobieren.

az account set --subscription "XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX"

az cognitiveservices account create -n "myBYOSSpeechResource" -g "myResourceGroup" --assign-identity --kind SpeechServices --sku S0 -l eastus --yes --storage '[{"resourceId": "/subscriptions/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX/resourceGroups/<resource_group_name>/providers/Microsoft.Storage/storageAccounts/<storage_account_name>"}]'

Wichtig

Dieses Skript funktioniert in Azure Cloud Shell Bash. Wenn Sie es in einer anderen Umgebung verwenden möchten, achten Sie besonders auf das Format des Parameterwerts --storage. Beachten Sie die folgenden Informationen.

Verschiedene Befehlsshells verfügen über unterschiedliche Regeln für die Interpretation von Anführungszeichen in Befehlszeilenparameterwerten. Um beispielsweise dasselbe Skript über die Windows-Eingabeaufforderung auszuführen, sollte der Teil --storage des Befehls wie folgt formatiert sein:

--storage "[{""resourceId"": ""/subscriptions/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX/resourceGroups/<resource_group_name>/providers/Microsoft.Storage/storageAccounts/<storage_account_name>""}]"

Die allgemeine Regel ist, dass Sie diese JSON-Zeichenfolge als Wert des Parameters --storage übergeben müssen:

[{"resourceId": "/subscriptions/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX/resourceGroups/<resource_group_name>/providers/Microsoft.Storage/storageAccounts/<storage_account_name>"}]

REST

Um eine BYOS-fähige Speech-Ressource mit einer REST-Anforderung an die Cognitive Services-API zu erstellen, verwenden wir die Anforderung Konten – Erstellen.

Sie benötigen eine Authentifizierungsmöglichkeit. Das Beispiel in diesem Abschnitt verwendet Microsoft Entra Token.

Dieser Codeausschnitt generiert ein Microsoft Entra-Token mithilfe der interaktiven Browseranmeldung. Dafür ist die Azure Identity-Clientbibliothek erforderlich:

TokenRequestContext context = new Azure.Core.TokenRequestContext(new string[] { "https://management.azure.com/.default" });
InteractiveBrowserCredential browserCredential = new InteractiveBrowserCredential();
var aadToken = browserCredential.GetToken(context);
var token = aadToken.Token;

Führen Sie nun die REST-Anforderung aus:

@ECHO OFF

curl -v -X PUT "https://management.azure.com/subscriptions/{AzureSubscriptionId}/resourceGroups/{myResourceGroup}/providers/Microsoft.CognitiveServices/accounts/{myBYOSSpeechResource}?api-version=2021-10-01"
-H "Content-Type: application/json"
-H "Authorization: Bearer {Value_of_token_variable}"

--data-ascii "{body}" 

Das ist der Text der Anforderung:

{
  "location": "East US",
  "kind": "SpeechServices",
  "sku": {

  "name": "S0"
  },
  "properties": {
    "userOwnedStorage": [
    {
      "resourceId": "/subscriptions/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX/resourceGroups/<resource_group_name>/providers/Microsoft.Storage/storageAccounts/<storage_account_name>"
    }
  ]
  },
  "identity": {
    "type": "SystemAssigned"
  }
}

Wenn Sie das Azure-Portal zum Erstellen einer BYOS-fähigen Speech-Ressource verwendet haben, ist diese vollständig einsatzbereit. Wenn Sie eine andere Methode verwendet haben, müssen Sie die Rollenzuweisung für die verwaltete Identität der Speech-Ressource im Bereich des zugeordneten Speicherkontos ausführen. In allen Fällen müssen Sie auch die verschiedenen Speicherkontoeinstellungen im Zusammenhang mit der Datensicherheit überprüfen. Weitere Informationen finden Sie in diesem Abschnitt.

(Optional) Überprüfen der BYOS-Konfiguration der Speech-Ressource

Sie können immer überprüfen, ob eine bestimmte Speech-Ressource BYOS-fähig ist und was das zugeordnete Speicherkonto ist. Sie können dies entweder über das Azure-Portal oder über die Cognitive Services-API tun.

Azure portal

Um die BYOS-Konfiguration einer Speech-Ressource mit dem Azure-Portal zu überprüfen, müssen Sie auf einige Portalpreviewfunktionen zugreifen. Führen Sie die folgenden Schritte aus:

1. Navigieren Sie über diesen Link zur Seite Sprache erstellen.
2. Schließen Sie den Bildschirm Sprache erstellen, indem Sie in der rechten oberen Ecke auf X klicken.
3. Wenn Sie dazu aufgefordert werden, stimmen Sie zu, nicht gespeicherte Änderungen zu verwerfen.
4. Navigieren Sie zu der Speech-Ressource, die Sie überprüfen möchten.
5. Wählen Sie in der Gruppe Ressourcenverwaltung das Menü Speicher aus.
6. Überprüfen Sie Folgendes:
   1. Das Feld Angefügter Speicher enthält die Azure-Ressourcen-ID des Speicherkontos, das BYOS zugeordnet ist.
   2. Für Identitätstyp ist Systemseitig zugewiesen ausgewählt.

Wenn das Menüelement Speicher in der Gruppe Ressourcenverwaltung fehlt, ist die ausgewählte Speech-Ressource nicht BYOS-fähig.

PowerShell

Verwenden Sie den Befehl Get-AzCognitiveServicesAccount:

Get-AzCognitiveServicesAccount -ResourceGroupName "myResourceGroup" -name "myBYOSSpeechResource"

Suchen Sie in der Befehlsausgabe nach der Parametergruppe userOwnedStorage. Wenn die Speech-Ressource BYOS-fähig ist, verfügt die Gruppe über die Azure-Ressourcen-ID des zugeordneten Speicherkontos. Wenn die userOwnedStorage-Gruppe leer ist oder fehlt, ist die ausgewählte Speech-Ressource nicht BYOS-fähig.

Azure-Befehlszeilenschnittstelle

Verwenden Sie den Befehl az cognitiveservices account show:

az cognitiveservices account show -g "myResourceGroup" -n "myBYOSSpeechResource"

Suchen Sie in der Befehlsausgabe nach der Parametergruppe userOwnedStorage. Wenn die Speech-Ressource BYOS-fähig ist, verfügt die Gruppe über die Azure-Ressourcen-ID des zugeordneten Speicherkontos. Wenn die userOwnedStorage-Gruppe leer ist oder fehlt, ist die ausgewählte Speech-Ressource nicht BYOS-fähig.

REST

Verwenden Sie die Anforderung Konten – Abrufen. Suchen Sie in der Anforderungsausgabe nach der Parametergruppe userOwnedStorage. Wenn die Speech-Ressource BYOS-fähig ist, verfügt die Gruppe über die Azure-Ressourcen-ID des zugeordneten Speicherkontos. Wenn die userOwnedStorage-Gruppe leer ist oder fehlt, ist die ausgewählte Speech-Ressource nicht BYOS-fähig.

Konfigurieren eines Speicherkontos, das BYOS zugeordnet ist

Um hohe Sicherheit und Schutz Ihrer Daten zu erreichen, müssen Sie die Einstellungen des Speicherkontos, das BYOS zugeordnet ist, ordnungsgemäß konfigurieren. Falls Sie ihre BYOS-fähige Speech-Ressource nicht mit dem Azure-Portal erstellt haben, müssen Sie auch einen obligatorischen Schritt der Rollenzuweisung ausführen.

Zuweisen einer Ressourcenzugriffsrolle

Dieser Schritt ist obligatorisch, wenn Sie ihre BYOS-fähige Speech-Ressource nicht mit dem Azure-Portal erstellt haben.

BYOS verwendet den Blobspeicher eines Speicherkontos. Aus diesem Grund benötigt die verwaltete Identität der BYOS-fähigen Speech-Ressource die Rollenzuweisung Storage-Blobdatenmitwirkender innerhalb des Bereichs des Speicherkontos, das BYOS zugeordnet ist.

Achtung

Verwenden Sie keine benutzerdefinierten Rollenzuweisungen anstelle der integrierten Rolle Mitwirkender an Storage-Blobdaten.

Andernfalls führt dies sehr wahrscheinlich zu schwierigen Debugfehlern und Problemen im Zusammenhang mit dem Zugriff auf das BYOS-zugeordnete Speicherkonto.

Wenn Sie das Azure-Portal verwendet haben, um Ihre BYOS-fähige Speech-Ressource zu erstellen, können Sie den Rest dieses Unterabschnitts überspringen. Ihre Rollenzuweisung ist bereits abgeschlossen. Führen Sie andernfalls die folgenden Schritte aus.

Wichtig

Ihnen muss die Rolle Besitzer für das Speicherkonto oder für einen übergeordneten Bereich (beispielsweise das Abonnement) zugewiesen sein, um den Vorgang in den nächsten Schritten ausführen zu können. Das liegt daran, dass nur die Rolle Besitzer anderen Benutzern Rollen zuweisen kann. Ausführlichere Informationen finden Sie hier.

1. Navigieren Sie zum Azure-Portal, und melden Sie sich bei Ihrem Azure-Konto an.
2. Wählen Sie das Speicherkonto aus.
3. Wählen Sie im linken Bereich das Menü Zugriffssteuerung (IAM) aus.
4. Wählen Sie auf der Kachel Zugriff auf diese Gruppe gewähren die Option Rollenzuweisung hinzufügen aus.
5. Wählen Sie unter Rolle die Option Storage-Blobdatenmitwirkender und anschließend Weiter aus.
6. Wählen Sie unter Mitglieder>Zugriff zuweisen zu die Option Verwaltete Identität aus.
7. Weisen Sie die verwaltete Identität Ihrer Speech-Ressource zu, und wählen Sie anschließend Überprüfen + zuweisen aus.
8. Überprüfen Sie die Einstellungen, und wählen Sie anschließend Überprüfen + zuweisen aus.

Konfigurieren der Sicherheitseinstellungen des Speicherkontos für Sprache-in-Text

In diesem Abschnitt wird beschrieben, wie Sie Sicherheitseinstellungen für das Speicherkonto einrichten, wenn Sie das Speicherkonto, das BYOS zugeordnet ist, nur für Sprache-in-Text-Szenarien verwenden möchten. Falls Sie das Speicherkonto, das BYOS zugeordnet ist, für Text-zu-Sprache oder eine Kombination aus Sprache-in-Text und Text-zu-Sprache verwenden, lesen Sie diesen Abschnitt.

Für Sprache-in-Text verwendet BYOS den vertrauenswürdigen Azure-Dienstsicherheitsmechanismus für die Kommunikation mit dem Speicherkonto. Der Mechanismus ermöglicht das Festlegen eingeschränkter Datenzugriffsregeln für Speicherkonten.

Wenn Sie alle Aktionen im Abschnitt ausführen, ist Ihr Speicherkonto wie folgt konfiguriert:

• Der Zugriff auf externen Netzwerkdatenverkehr ist unzulässig.
• Der Zugriff auf das Speicherkonto unter Verwendung des Speicherkontoschlüssels ist unzulässig.
• Der Zugriff auf den Speicherkonto-Blobspeicher mit Shared Access Signatures (SAS) ist unzulässig. (Mit Ausnahme der SAS für die Benutzerdelegierung)
• Auf die BYOS-fähige Speech-Ressource kann über die systemseitig zugewiesene verwaltete Identität der Ressource zugegriffen werden.

Ihr Speicherkonto wird also vollständig „gesperrt“ und kann nur noch von Ihrer Speech-Ressource aufgerufen werden, die zu Folgendem in der Lage sein wird:

• Schreiben von Artefakten Ihrer Speech-Datenverarbeitung (siehe Details in den entsprechenden Artikeln),
• Lesen der Dateien, die zum Zeitpunkt der Anwendung der neuen Konfiguration bereits vorhanden waren. Beispiel: Quellaudiodateien für die Batchtranskription oder Datasetdateien für das Training und Testen des benutzerdefinierten Modells.

Diese Konfiguration kann als Modell für die Sicherheit Ihrer Daten betrachtet und an Ihre Anforderungen angepasst werden.

So können Sie beispielsweise Datenverkehr von ausgewählten öffentlichen IP-Adressen und virtuellen Azure-Netzwerken zulassen. Sie können auch den Zugriff auf Ihr Speicherkonto mithilfe von privaten Endpunkten einrichten (wie in diesem Tutorial gezeigt), den Zugriff per Speicherkontoschlüssel wieder aktivieren, den Zugriff auf andere vertrauenswürdige Azure-Dienste zulassen usw.

Hinweis

Die Verwendung privater Endpunkte für Speech ist nicht erforderlich, um das Speicherkonto zu schützen. Private Endpunkte für Speech sichern die Kanäle für Speech-API-Anforderungen und können als zusätzliche Komponente in Ihrer Lösung verwendet werden.

Einschränken des Zugriffs auf das Speicherkonto

1. Navigieren Sie zum Azure-Portal, und melden Sie sich bei Ihrem Azure-Konto an.
2. Wählen Sie das Speicherkonto aus.
3. Wählen Sie im linken Bereich in der Gruppe Einstellungen die Option Konfiguration aus.
4. Wählen Sie unter Öffentlichen Blobzugriff gestatten die Option Deaktiviert aus.
5. Wählen Sie unter Zugriff auf Speicherkontoschlüssel erlauben die Option Deaktiviert aus.
6. Wählen Sie Speichern aus.

Weitere Informationen finden Sie unter Verhindern von anonymem öffentlichem Lesezugriff auf Container und Blobs sowie unter Verhindern der Autorisierung mit gemeinsam verwendeten Schlüsseln für ein Azure Storage-Konto.

Konfigurieren der Azure Storage-Firewall

Wenn Sie den Zugriff auf das Speicherkonto eingeschränkt haben, müssen Sie Netzwerkzugriff auf die verwaltete Identität Ihrer Speech-Ressource gewähren. Führen Sie die folgenden Schritte aus, um Zugriff für die Speech-Ressource hinzuzufügen:

1. Navigieren Sie zum Azure-Portal, und melden Sie sich bei Ihrem Azure-Konto an.

2. Wählen Sie das Speicherkonto aus.

3. Wählen Sie im linken Bereich in der Gruppe Sicherheit und Netzwerk die Option Netzwerk aus.

4. Wählen Sie auf der Registerkarte Firewalls und virtuelle Netzwerke die Option Aktivierung von ausgewählten virtuellen Netzwerken und IP-Adressen aus.

5. Deaktivieren Sie alle Kontrollkästchen.

6. Stellen Sie sicher, dass Microsoft-Netzwerkrouting ausgewählt ist.

7. Wählen Sie im Abschnitt Ressourceninstanzen den Ressourcentyp Microsoft.CognitiveServices/accounts und anschließend Ihre Speech-Ressource als Instanzname aus.

8. Wählen Sie Speichern aus.

   Hinweis

   Die Verteilung der Netzwerkänderungen kann bis zu fünf Minuten dauern.

Konfigurieren der Sicherheitseinstellungen des Speicherkontos für Text-zu-Sprache

In diesem Abschnitt wird beschrieben, wie Sie Sicherheitseinstellungen für das Speicherkonto einrichten, wenn Sie ein Speicherkonto, das BYOS zugeordnet ist, für Text-zu-Sprache oder eine Kombination aus Sprache-in-Text und Text-zu-Sprache verwenden möchten. Falls Sie das Speicherkonto, das BYOS zugeordnet ist, nur für Sprache-in-Text verwenden, lesen Sie diesen Abschnitt.

Hinweis

Text-zu-Sprache erfordert im Vergleich zu Sprache-in-Text entspanntere Einstellungen der Speicherkontofirewall. Wenn Sie sowohl Sprache-in-Text (Spracherkennung) als auch Text-zu-Sprache (Sprachsynthese) verwenden und maximal eingeschränkte Speicherkontoeinstellungen zum Schutz Ihrer Daten benötigen, können Sie die Verwendung verschiedener Speicherkonten und der entsprechenden Speech-Ressourcen für Sprache-in-Text und Text-zu-Sprache in Erwägung ziehen.

Wenn Sie alle Aktionen im Abschnitt ausführen, ist Ihr Speicherkonto wie folgt konfiguriert:

• Externer Netzwerkdatenverkehr ist zulässig.
• Der Zugriff auf das Speicherkonto unter Verwendung des Speicherkontoschlüssels ist unzulässig.
• Der Zugriff auf den Speicherkonto-Blobspeicher mit Shared Access Signatures (SAS) ist unzulässig. (Mit Ausnahme der SAS für die Benutzerdelegierung)
• Auf die BYOS-fähige Speech-Ressource kann über die systemseitig zugewiesene verwaltete Identität und SAS für die Benutzerdelegierung der Ressource zugegriffen werden.

Dies sind die am stärksten eingeschränkten Sicherheitseinstellungen, die für Text-zu-Sprache-Szenarios möglich sind. Sie können sie weiter an Ihre Bedürfnisse anpassen.

Einschränken des Zugriffs auf das Speicherkonto

1. Navigieren Sie zum Azure-Portal, und melden Sie sich bei Ihrem Azure-Konto an.
2. Wählen Sie das Speicherkonto aus.
3. Wählen Sie im linken Bereich in der Gruppe Einstellungen die Option Konfiguration aus.
4. Wählen Sie unter Öffentlichen Blobzugriff gestatten die Option Deaktiviert aus.
5. Wählen Sie unter Zugriff auf Speicherkontoschlüssel erlauben die Option Deaktiviert aus.
6. Wählen Sie Speichern aus.

Weitere Informationen finden Sie unter Verhindern von anonymem öffentlichem Lesezugriff auf Container und Blobs sowie unter Verhindern der Autorisierung mit gemeinsam verwendeten Schlüsseln für ein Azure Storage-Konto.

Konfigurieren der Azure Storage-Firewall

Custom Neural Voice verwendet die SAS für die Benutzerdelegierung, um die Daten für das Training des Custom Neural Voice-Modells zu lesen. Dazu muss der Zugriff auf externen Netzwerkdatenverkehr auf das Speicherkonto zugelassen werden.

1. Navigieren Sie zum Azure-Portal, und melden Sie sich bei Ihrem Azure-Konto an.
2. Wählen Sie das Speicherkonto aus.
3. Wählen Sie im linken Bereich in der Gruppe Sicherheit und Netzwerk die Option Netzwerk aus.
4. Wählen Sie auf der Registerkarte Firewalls und virtuelle Netzwerke die Option Aus allen Netzwerken aktiviert aus.
5. Wählen Sie Speichern aus.

Konfigurieren eines Speicherkontos, das BYOS zugeordnet ist, für die Verwendung mit Speech Studio

Viele Speech Studio-Vorgänge wie das Hochladen von Datasets oder das Training und Testen benutzerdefinierter Modelle erfordern keine spezielle Konfiguration bei einer BYOS-fähigen Speech-Ressource.

Wenn Sie jedoch Daten lesen müssen, die mit einem Speicherkonto, das BYOS zugeordnet ist, über die Speech Studio-Webschnittstelle gespeichert sind, müssen Sie zusätzliche Einstellungen dieses Speicherkontos konfigurieren. Beispielsweise ist es erforderlich, den Inhalt eines Datasets anzuzeigen.

Konfigurieren der Ressourcenfreigabe zwischen verschiedenen Ursprüngen (CORS)

Speech Studio benötigt die Berechtigung, Anforderungen an den Blobspeicher des Speicherkontos, das BYOS zugeordnet ist, zu stellen. Um eine solche Berechtigung zu erteilen, verwenden Sie CORS (Cross-Origin Resource Sharing). Führen Sie die folgenden Schritte aus.

1. Navigieren Sie zum Azure-Portal, und melden Sie sich bei Ihrem Azure-Konto an.
2. Wählen Sie das Speicherkonto aus.
3. Wählen Sie im linken Bereich in der Gruppe Einstellungen die Option Ressourcenfreigabe (CORS) aus.
4. Stellen Sie sicher, dass die Registerkarte Blobspeicher ausgewählt ist.
5. Konfigurieren Sie den folgenden Datensatz:
   • Zulässige Ursprünge: https://speech.microsoft.com
   • Zulässige Methoden: GET, OPTIONS
   • Zulässige Header: *
   • Verfügbar gemachte Header: *
   • Maximales Alter: 1000
6. Wählen Sie Speichern aus.

Warnung

Das Zulässige Ursprünge sollte eine URL ohne nachstehenden Schrägstrich enthalten. Das heißt https://speech.microsoft.com und nicht https://speech.microsoft.com/. Das Hinzufügen eines nachstehenden Schrägstrichs führt dazu, dass Speech Studio die Details von Datasets und Modelltests nicht anzeigt.

Konfigurieren der Azure Storage-Firewall

Sie müssen den Zugriff für den Computer zulassen, auf dem Sie den Browser mit Speech Studio ausführen. Wenn die Firewalleinstellungen Ihres Speicherkontos den öffentlichen Zugriff über alle Netzwerke zulassen, können Sie diesen Unterabschnitt überspringen. Führen Sie andernfalls die folgenden Schritte aus.

1. Navigieren Sie zum Azure-Portal, und melden Sie sich bei Ihrem Azure-Konto an.
2. Wählen Sie das Speicherkonto aus.
3. Wählen Sie im linken Bereich in der Gruppe Sicherheit und Netzwerk die Option Netzwerk aus.
4. Geben Sie im Abschnitt Firewall entweder die IP-Adresse des Computers, auf dem Sie den Webbrowser ausführen, oder das IP-Subnetz ein, zu dem die IP-Adresse des Computers gehört.
5. Wählen Sie Speichern aus.

Nächste Schritte

• Verwenden der BYOS-Ressource (Bring Your Own Storage) für Sprache-in-Text