Rollenbasierte Zugriffssteuerung für Speech-Ressourcen
Sie können den Zugriff und Berechtigungen für Ihre Speech-Ressourcen mit rollenbasierter Zugriffssteuerung in Azure (Azure RBAC) verwalten. Zugewiesene Rollen können sich je nach Speech-Ressource unterscheiden. Beispielsweise können Sie einer Speech-Ressource eine Rolle zuweisen, die nur zum Trainieren eines Custom Speech-Modells verwendet werden sollte. Sie können einer Speech-Ressource eine andere Rolle zuweisen, die zum Transkribieren von Audiodateien verwendet wird. Je nachdem, wer auf die jeweilige Speech-Ressource zugreifen kann, können Sie effektiv eine andere Zugriffsebene pro Anwendung oder Benutzer festlegen. Weitere Information zur Azure RBAC finden Sie in der Azure RBAC-Dokumentation.
Hinweis
Eine Speech-Ressource kann mehrere Rollen erben oder zugewiesen erhalten. Die letzte Zugriffsebene für die Ressource ist eine Kombination aller Rollenberechtigungen.
Rollen für Speech-Ressourcen
Eine Rollendefinition ist eine Sammlung von Berechtigungen. Wenn Sie eine Sprachausgaberessource erstellen, stehen die integrierten Rollen in der folgenden Tabelle für die Zuordnung zur Verfügung.
Warnung
Die Sprachdienstarchitektur unterscheidet sich von anderen Azure KI Services in der Art und Weise, wie sie Azure-Steuerungsebene und Datenebene verwendet. Der Sprachdienst verwendet umfangreiche Datenebenen, die mit anderen Azure KI Services verglichen werden, und dies erfordert eine andere Einrichtung für die Rollen. Aus diesem Grund verfügen einige allgemeine Cognitive Services-Rollen über einen tatsächlichen Zugriffsberechtigungssatz, der nicht genau mit ihrem Namen übereinstimmt, wenn sie im Szenario mit Spracherkennungsdiensten verwendet wird. Zum Beispiel bietet Cognitive Services-Benutzer im Grunde die Mitwirkendenberechtigung, während Cognitive Services-Mitwirkender überhaupt keinen Zugriff bietet. Das gleiche gilt für generische Besitzer- und Mitwirkenden-Rollen ohne Datenebenenrechte und somit keinen Zugriff auf die Sprachressource. Um die Konsistenz beizubehalten, empfehlen wir, Rollen zu verwenden, die Speech in ihren Namen enthalten. Diese Rollen sind Cognitive Services Speech-Benutzer und Cognitive Services Speech-Mitwirkender. Ihre Zugriffsberechtigungssätze wurden speziell für den Spracherkennungsdienst entwickelt. Falls Sie allgemeine Cognitive Services-Rollen und generische Azure-Rollen verwenden möchten, bitten wir Sie, die folgende Tabelle mit den Zugriffsrechten sehr sorgfältig zu studieren.
Role | Kann Ressourcenschlüssel auflisten. | Zugriff auf Daten, Modelle und Endpunkte in benutzerdefinierten Projekten | Zugriff auf Sprachtranskription und Synthese-APIs |
---|---|---|---|
Bes. | Ja | Keine | Nein |
Mitwirkender | Ja | Keine | Nein |
Mitwirkender für Cognitive Services | Ja | Keine | Nein |
Cognitive Services-Benutzer | Ja | Anzeigen, Erstellen, Bearbeiten und Löschen | Ja |
Cognitive Services Speech: Mitwirkender | Nein | Anzeigen, Erstellen, Bearbeiten und Löschen | Ja |
Cognitive Services Speech: Benutzer | Nein | Nur anzeigen | Ja |
Cognitive Services-Datenleser (Vorschau) | Nein | Nur anzeigen | Ja |
Wichtig
Ob eine Rolle Ressourcenschlüssel auflisten kann, ist für die Speech Studio-Authentifizierung wichtig. Um Ressourcenschlüssel auflisten zu können, muss eine Rolle über die Berechtigung zum Ausführen des Microsoft.CognitiveServices/accounts/listKeys/action
-Vorgangs verfügen. Bitte beachten Sie, dass bei deaktivierter Schlüsselauthentifizierung im Azure-Portal keine der Rollen Schlüssel auflisten kann.
Behalten Sie die integrierten Rollen bei, wenn Ihre Speech-Ressource vollständigen Lese- und Schreibzugriff auf die Projekte haben soll.
Für eine feiner abgestufte Steuerung des Ressourcenzugriffs können Sie Rollen über das Azure-Portal hinzufügen oder entfernen. Ein Beispiel: Sie könnten eine benutzerdefinierte Rolle mit der Berechtigung zum Hochladen von Custom Speech-Datasets erstellen, jedoch ohne die Berechtigung zum Bereitstellen eines Custom Speech-Modells an einem Endpunkt.
Authentifizierung mit Schlüsseln und Token
Die Rollen definieren, welche Berechtigungen Sie haben. Authentifizierung ist erforderlich, um die Speech-Ressource zu verwenden.
Um sich mit Speech-Ressourcenschlüsseln zu authentifizieren, benötigen Sie lediglich den Schlüssel und die Region. Um sich mit einem Microsoft Entra-Token zu authentifizieren, muss die Speech-Ressource über eine benutzerdefinierte Unterdomäne verfügen.
Speech SDK-Authentifizierung
Für das SDK konfigurieren Sie, ob Sie sich mit einem Speech-Ressourcenschlüssel oder einem Microsoft Entra-Token authentifizieren möchten. Weitere Informationen finden Sie unter Microsoft Entra-Authentifizierung mit dem Speech SDK.
Speech Studio-Authentifizierung
Nachdem Sie sich bei Speech Studio angemeldet haben, wählen Sie ein Abonnement und eine Speech-Ressource aus. Sie können nicht wählen, ob Sie sich mit einem Speech-Ressourcenschlüssel oder einem Microsoft Entra-Token authentifizieren möchten. Speech Studio ruft den Schlüssel oder das Token automatisch aus der Speech-Ressource ab. Wenn eine der zugewiesenen Rollen über die Berechtigung zum Auflisten von Ressourcenschlüsseln verfügt und die Schlüsselauthentifizierung nicht deaktiviert ist, authentifiziert sich Speech Studio mit dem Schlüssel. Andernfalls führt Speech Studio die Authentifizierung mit dem Microsoft Entra-Token durch.
Wenn Speech Studio Ihr Microsoft Entra-Token verwendet, die Speech-Ressource aber nicht über eine benutzerdefinierte Unterdomäne verfügt, können Sie keine Features in Speech Studio nicht verwenden. Wenn Sie über keine erforderlichen Rollenberechtigungen für ein Feature in Speech Studio verfügen, können Sie es nicht verwenden, und auf der Seite wird ein Warnbanner für Berechtigungen angezeigt.
Anmeldeinformationen für die Authentifizierung | Verfügbarkeit von Funktionen |
---|---|
Speech-Ressourcenschlüssel | Unbeschränkter Zugriff Die Rollenkonfiguration wird bei Verwendung eines Ressourcenschlüssels ignoriert. |
Microsoft Entra-Token mit benutzerdefinierter Unterdomäne | Vollzugriff, nur durch die zugewiesenen Rollenberechtigungen eingeschränkt. |
Microsoft Entra-Token ohne benutzerdefinierte Unterdomäne | Kein Zugriff. |