Contrôle d’accès en fonction du rôle pour les ressources Speech
Vous pouvez gérer l’accès et les autorisations à vos ressources Speech avec le contrôle d’accès en fonction du rôle Azure (RBAC Azure). Les rôles attribués peuvent varier entre les ressources Speech. Par exemple, vous pouvez attribuer un rôle à une ressource AI Services pour Speech qui doit uniquement être utilisée pour former un modèle vocal personnalisé. Vous pouvez attribuer un autre rôle à une ressource AI Services pour Speech utilisée pour transcrire des fichiers audio. Selon qui peut accéder à chaque ressource Speech, vous pouvez définir efficacement un niveau d’accès différent par application ou utilisateur. Pour plus d’informations sur Azure RBAC, consultez la documentation Azure RBAC.
Remarque
Une ressource AI Services for Speech peut hériter ou se voir attribuer plusieurs rôles. Le niveau d’accès final à cette ressource est une combinaison de toutes les autorisations des rôles.
Rôles pour les ressources Speech
Une définition de rôle est un ensemble d’autorisations. Lorsque vous créez une ressource AI Services pour Speech, les rôles intégrés dans le tableau suivant sont disponibles pour l’attribution.
Avertissement
L’architecture du service Speech est différente des autres Azure AI services dans la façon dont elle utilise un plan de données et un plan de contrôle Azure. Le service Speech utilise davantage un plan de données par rapport à d’autres Azure AI services et il nécessite donc une autre configuration pour les rôles. C’est pour cette raison que certains rôles Cognitive Services généraux ont un droit d’accès réel défini qui ne correspond pas exactement à leur nom lorsqu’ils sont utilisés dans un scénario de services Speech. Par exemple, Utilisateur Cognitive Services fournit effectivement les droits Contributeur, alors que Contributeur Cognitive Services ne fournit aucun accès. Il en va de même pour les rôles Propriétaire et Contributeur génériques qui n’ont aucun droit de plan de données et ne fournissent donc pas d’accès à la ressource Speech. Pour maintenir une cohérence, nous vous recommandons d’utiliser des rôles contenant Speech dans leur nom. Ces rôles sont Utilisateur Speech Cognitive Services et Contributeur Speech Cognitive Services. Leurs jeux de droit d’accès ont été spécialement conçus pour le service Speech. Dans le cas où vous souhaitez utilisez des rôles Cognitive Services généraux et des rôles Azure génériques, nous vous demandons d’étudier très attentivement le tableau de droit d’accès suivant.
| Rôle | Peut répertorier les clés de ressource | Accéder aux données, aux modèles et aux points de terminaison dans les projets personnalisés | Accéder aux API de transcription et de synthèse vocale |
|---|---|---|---|
| Propriétaire | Oui | Aucun | Non |
| Contributeur | Oui | Aucun | Non |
| Contributeur Cognitive Services | Oui | Aucun | Non |
| Utilisateur Cognitive Services | Oui | Afficher, créer, modifier et supprimer | Oui |
| Contributeurs des services cognitif Speech | Non | Afficher, créer, modifier et supprimer | Oui |
| Utilisateur des services cognitif Speech | Non | Afficher uniquement | Oui |
| Lecteur de données Cognitive Services (préversion) | Non | Afficher uniquement | Oui |
Important
Si un rôle peut répertorier les clés de ressources est important pour l’authentification Speech Studio. Pour répertorier les clés de ressource, un rôle doit avoir l’autorisation d’exécuter l’opération Microsoft.CognitiveServices/accounts/listKeys/action . Notez que si l’authentification par clé est désactivée dans le portail Azure, aucun des rôles ne peut répertorier les clés.
Conservez les rôles intégrés si votre ressource Speech peut avoir un accès en lecture et écriture complet aux projets.
Pour le contrôle d’accès aux ressources plus fin, vous pouvez ajouter ou supprimer des rôles à l’aide du Portail Azure. Par exemple, vous pouvez créer un rôle personnalisé avec l’autorisation de charger des jeux de données de reconnaissance vocale personnalisée, mais sans l’autorisation de déployer un modèle de reconnaissance vocale personnalisée à un point de terminaison.
Authentification avec des clés et des jetons
Les rôles définissent les autorisations dont vous disposez. L’authentification est requise pour utiliser la ressource Speech.
Pour vous authentifier auprès des clés de ressources Speech, vous avez besoin de la clé et de la région. Pour vous authentifier avec un jeton Microsoft Entra, la ressource Speech doit avoir un sous-domaine personnalisé.
Authentification du Kit de développement logiciel (SDK) Speech
Pour le SDK, vous configurez si vous souhaitez vous authentifier avec une clé API ou un jeton Microsoft Entra. Pour plus d’informations, consultez Authentification Microsoft Entra avec le kit de développement logiciel (SDK) Speech.
Authentification Speech Studio
Une fois connecté à Speech Studio, vous sélectionnez un abonnement et une ressource Speech. Vous ne choisissez pas de vous authentifier avec une clé API ou un jeton Microsoft Entra. Speech Studio obtient automatiquement la clé ou le jeton à partir de la ressource Speech. Si l’un des rôles attribués est autorisé à répertorier les clés de ressource et que l’authentification par clé n’est pas désactivée, Speech Studio s’authentifie avec la clé. Sinon, Speech Studio s’authentifie avec le jeton Microsoft Entra.
Si Speech Studio utilise votre jeton Microsoft Entra et si votre ressource Speech ne dispose pas d’un sous-domaine personnalisé correctement configuré, le contrôle d’accès en fonction du rôle (RBAC) n’est pas activé et vous ne pouvez pas accéder aux fonctionnalités de Speech Studio. RBAC détermine votre accès aux fonctionnalités en fonction du rôle qui vous est attribué et des autorisations associées à ce rôle. Si votre rôle n’autorise pas l’accès à une fonctionnalité spécifique, un message d’avertissement s’affiche sur la page. Vérifiez que vous disposez du rôle approprié pour accéder à la fonctionnalité souhaitée.
| Informations d’identification d’authentification | Disponibilité des fonctionnalités |
|---|---|
| Clé de ressource Speech | Accès complet. La configuration du rôle est ignorée si la clé de ressource est utilisée. |
| Jeton Microsoft Entra avec sous-domaine personnalisé | Accès total limité uniquement par les autorisations de rôle attribuées. |
| Jeton Microsoft Entra sans sous-domaine personnalisé | Aucun accès. |