Condividi tramite


Configurare la risorsa Bring Your Own Storage (BYOS) Speech

Bring Your Own Storage (BYOS) è una tecnologia di intelligenza artificiale di Azure per i clienti che hanno requisiti elevati per la sicurezza e la privacy dei dati. Il nucleo della tecnologia è la possibilità di associare un account di archiviazione di Azure, di cui l'utente è proprietario e controlla completamente la risorsa Voce. La risorsa Voce usa quindi questo account di archiviazione per archiviare elementi diversi correlati all'elaborazione dei dati utente, invece di archiviare gli stessi artefatti all'interno del servizio Voce locale, come avviene nel caso normale. Questo approccio consente di usare tutte le funzionalità di sicurezza dell'account di archiviazione di Azure, inclusa la crittografia dei dati con le chiavi gestite dal cliente, l'uso di endpoint privati per accedere ai dati e così via.

Negli scenari BYOS, tutto il traffico tra la risorsa Voce e l'account di archiviazione viene mantenuto usando la rete globale di Azure, in altre parole tutte le comunicazioni vengono eseguite usando la rete privata, ignorando completamente Internet pubblico. La risorsa Voce nello scenario BYOS usa il meccanismo dei servizi attendibili di Azure per accedere all'account di archiviazione, basandosi su identità gestite assegnate dal sistema come metodo di autenticazione e sul controllo degli accessi in base al ruolo (RBAC) come metodo di autorizzazione.

Esiste un'eccezione: se si usa la sintesi vocale e la risorsa Voce e l'account di archiviazione associato si trovano in aree di Azure diverse, per le operazioni viene usato Internet pubblico, che implica l'uso di una firma di accesso condiviso di delega utente. Vedere i dettagli in questa sezione.

BYOS può essere usato con diversi Servizi di Azure AI. Per la Voce, può essere usato negli scenari seguenti:

Riconoscimento vocale

Sintesi vocale

Una combinazione di risorsa Voce e account di archiviazione può essere usata contemporaneamente per tutti e quattro gli scenari in tutte le combinazioni.

Questo articolo descrive come creare e gestire la risorsa Voce abilitata per BYOS ed è applicabile a tutti gli scenari menzionati. Vedere le informazioni specifiche dello scenario negli articoli corrispondenti.

Risorsa Voce abilitata per BYOS: regole di base

Quando si pianifica la configurazione della risorsa Voce abilitata per BYOS, prendere in considerazione le regole seguenti:

  • La risorsa Voce può essere abilitata per BYOS solo durante la creazione. La risorsa Voce esistente non può essere convertita in una abilitata per BYOS. La risorsa Voce abilitata per BYOS non può essere convertita in una convenzionale (non BYOS).
  • L'associazione dell'account di archiviazione alla risorsa Voce viene dichiarata durante la creazione della risorsa Voce. In seguito non potranno essere modificate. In altre parole, non è possibile modificare l'account di archiviazione associato alla risorsa Voce abilitata per BYOS esistente. Per usare un altro account di archiviazione, è necessario creare un'altra risorsa Voce abilitata per BYOS.
  • Quando si crea una risorsa Voce abilitata per BYOS, è possibile usare un account di archiviazione esistente o crearne uno automaticamente durante il provisioning della risorsa (quest'ultimo approccio è valido solo quando si usa il portale di Azure).
  • Un account di archiviazione può essere associato a molte risorse Voce. È consigliabile usare un account di archiviazione per una risorsa Voce.
  • L'account di archiviazione e la risorsa Voce abilitata per BYOS correlata possono trovarsi nella stessa area o in aree di Azure diverse. È consigliabile usare la stessa area per ridurre al minimo la latenza. Per lo stesso motivo, non è consigliabile selezionare aree troppo remote per la configurazione in più aree. Ad esempio, non è consigliabile inserire l'account di archiviazione negli Stati Uniti orientali e la risorsa Voce associata in Europa occidentale.

Creare e configurare la risorsa Voce abilitata per BYOS

Questa sezione descrive come creare una risorsa Voce abilitata per BYOS.

Richiedere l'accesso a BYOS per le sottoscrizioni di Azure

È necessario richiedere l'accesso alla funzionalità BYOS per ognuna delle sottoscrizioni di Azure che si prevede di usare. Per richiedere l'accesso, compilare e inviare il modulo di richiesta di accesso Servizi cognitivi e Chiavi gestite dal cliente per IA applicata e Bring Your Own Storage. Attendere l'approvazione della richiesta.

(Facoltativo) Controllare se la sottoscrizione di Azure ha accesso a BYOS

È possibile verificare rapidamente se la sottoscrizione di Azure ha accesso a BYOS. Questo controllo usa funzionalità di anteprima di Azure.

Questa funzionalità non è disponibile tramite il portale di Azure.

Nota

È possibile visualizzare l'elenco delle funzionalità di anteprima per una determinata sottoscrizione di Azure, come illustrato in questo articolo, ma non tutte le funzionalità di anteprima, tra cui BYOS, sono visibili in questo modo.

Pianificare e preparare l'account di archiviazione

Se si usa il portale di Azure per creare una risorsa voce abilitata per BYOS, è possibile creare automaticamente un account di archiviazione associato. Per tutti gli altri metodi di provisioning (interfaccia della riga di comando di Azure, PowerShell, richiesta API REST) è necessario usare l'account di archiviazione esistente.

Se si vuole usare l'account di archiviazione esistente e non si intende usare il metodo del portale di Azure per il provisioning delle risorse vocali abilitate per BYOS, tenere presente quanto segue per questo account di archiviazione:

  • È necessario l'ID risorsa di Azure completo dell'account di archiviazione. Per ottenerlo, passare all'account di archiviazione nel portale di Azure, quindi selezionare il menu Endpoint dal gruppo Impostazioni. Copiare e archiviare il valore del campo ID risorsa dell'account di archiviazione.
  • Per configurare completamente BYOS, è necessario almeno avere il diritto di Proprietario della risorsa per l'account di archiviazione selezionato.

Nota

Il diritto Proprietario della risorsa o superiore per l'account di archiviazione non è necessario per usare una risorsa Voce abilitata per BYOS. Tuttavia, è necessario durante la configurazione iniziale monouso dell'account di archiviazione per l'utilizzo nello scenario BYOS. Vedere i dettagli in questa sezione.

Creare una risorsa Voce abilitata per BYOS

Assicurarsi che la sottoscrizione di Azure sia abilitata per l'uso di BYOS prima di tentare di creare la risorsa Voce. Vedere questa sezione.

Esistono due modi per creare una risorsa Voce abilitata per BYOS:

  • Con il portale di Azure.
  • Con l'API Servizi cognitivi (PowerShell, interfaccia della riga di comando di Azure, richiesta REST).

L'opzione del portale di Azure presenta requisiti più rigorosi:

  • L'account usato per il provisioning della risorsa Voce abilitata per BYOS deve avere il diritto Proprietario della sottoscrizione.
  • L'account di archiviazione associato a BYOS può trovarsi solo nella stessa area della risorsa Voce.

Se uno di questi requisiti aggiuntivi non rientra nello scenario, usare l'opzione API Servizi cognitivi (PowerShell, interfaccia della riga di comando di Azure, richiesta REST).

Per usare uno dei metodi precedenti, è necessario un account Azure assegnato a un ruolo che consenta di creare risorse nella sottoscrizione, ad esempio Collaboratore sottoscrizione.

Nota

Se si usa il portale di Azure per creare una risorsa Voce abilitata per BYOS, è consigliabile selezionare l'opzione di creazione di un nuovo account di archiviazione.

Per creare una risorsa Voce abilitata per BYOS con il portale di Azure, è necessario accedere ad alcune funzionalità di anteprima del portale. Procedi come segue:

  1. Passare alla pagina Crea Voce usando questo collegamento.
  2. Si noti la sezione Account di archiviazione nella parte inferiore della pagina.
  3. Selezionare per l'opzione Bring Your Own Storage.
  4. Configurare le impostazioni dell'account di archiviazione necessarie e procedere con la creazione della risorsa Voce.

Se è stato usato il portale di Azure per creare una risorsa Voce abilitata per BYOS, è completamente pronta per l'uso. Se è stato usato un altro metodo, è necessario eseguire l'assegnazione di ruolo per l'identità gestita della risorsa Voce nell'ambito dell'account di archiviazione associato. In tutti i casi, è anche necessario esaminare le diverse impostazioni dell'account di archiviazione correlate alla sicurezza dei dati. Vedere questa sezione.

(Facoltativo) Verificare la configurazione BYOS della risorsa Voce

È sempre possibile verificare se una determinata risorsa Voce è abilitata per BYOS e qual è l'account di archiviazione associato. È possibile farlo tramite il portale di Azure o tramite l'API Servizi cognitivi.

Per controllare la configurazione BYOS di una risorsa Voce con il portale di Azure, è necessario accedere ad alcune funzionalità di anteprima del portale. Procedi come segue:

  1. Passare alla pagina Crea Voce usando questo collegamento.
  2. Chiudere la schermata Crea Voce premendo la X nell'angolo superiore destro.
  3. Se viene chiesto, accettare di annullare le modifiche non salvate.
  4. Passare alla risorsa Voce da controllare.
  5. Selezionare il menu Archiviazione nel gruppo Gestione risorse.
  6. Verificare quanto segue:
    1. Il campo Archiviazione associata contiene l'ID risorsa di Azure dell'account di archiviazione associato a BYOS.
    2. Tipo di identità ha l'opzione Assegnata dal sistema selezionata.

Se la voce di menu Archiviazione non è presente nel gruppo Gestione risorse, la risorsa Voce selezionata non è abilitata per BYOS.

Configurare l'account di archiviazione associato a BYOS

Per ottenere sicurezza elevata e privacy dei dati, è necessario configurare correttamente le impostazioni dell'account di archiviazione associato a BYOS. Se non è stato usato il portale di Azure per creare la risorsa Voce abilitata per BYOS, è anche necessario eseguire un passaggio obbligatorio dell'assegnazione di ruolo.

Assegnare il ruolo di accesso alle risorse

Questo passaggio è obbligatorio se non è stato usato il portale di Azure per creare la risorsa Voce abilitata per BYOS.

BYOS usa l'archiviazione BLOB di un account di archiviazione. Per questo motivo, l'identità gestita della risorsa Voce abilitata per BYOS deve avere l'assegnazione di ruolo Collaboratore ai dati dei BLOB di archiviazione nell'ambito dell'account di archiviazione associato a BYOS.

Attenzione

Non usare le assegnazioni di ruolo personalizzare al posto del ruolo predefinito Collaboratore ai dati del BLOB di archiviazione.

In caso contrario, molto probabilmente verranno restituiti errori del servizio di cui sarà difficile eseguire il debug e problemi correlati all'accesso all'account di archiviazione associato a BYOS.

Se è stato usato il portale di Azure per creare la risorsa Voce abilitata per BYOS, è possibile ignorare il resto di questa sottosezione. L'assegnazione di ruolo è già stata effettuata. Altrimenti, eseguire le seguenti operazioni.

Importante

Per eseguire l'operazione nei passaggi successivi è necessario che ti venga assegnato il ruolo Proprietario dell’account di archiviazione o un ambito superiore (ad esempio Sottoscrizione). Ciò è dovuto al fatto che solo il ruolo Proprietario può assegnare ruoli ad altri utenti. Vedere i dettagli qui.

  1. Passare al portale di Azure e accedere all'account Azure.
  2. Seleziona l'account di archiviazione.
  3. Seleziona il menu Controllo di accesso (IAM) nel riquadro sinistro.
  4. Seleziona Aggiungi assegnazione di ruolo nel riquadro Concedi accesso a questa risorsa.
  5. Selezionare Collaboratore ai dati del BLOB di archiviazione in Ruolo e quindi selezionare Avanti.
  6. Seleziona Identità gestita in Membri>Assegna accesso a.
  7. Assegna l'identità gestita della risorsa Voce, quindi seleziona Rivedi e assegna.
  8. Dopo aver controllato le impostazioni, selezionare Rivedi e assegna.

Configurare le impostazioni di sicurezza dell'account di archiviazione per il riconoscimento vocale

Questa sezione descrive come configurare le impostazioni di sicurezza dell'account di archiviazione, se si intende usare l'account di archiviazione associato a BYOS solo per scenari di riconoscimento vocale. Se si usa l'account di archiviazione associato a BYOS per la sintesi vocale o una combinazione di sintesi vocale e riconoscimento vocale, usare questa sezione.

Per il riconoscimento vocale BYOS usa il meccanismo di sicurezza dei servizi di Azure attendibili per comunicare con l'account di archiviazione. Il meccanismo consente di impostare regole di accesso ai dati dell'account di archiviazione con restrizioni.

Se si eseguono tutte le azioni in questa sezione, l'account di archiviazione sarà configurato come segue:

Di conseguenza, l'account di archiviazione diventa completamente "bloccato" e può accedere solo alla risorsa Voce, che sarà in grado di:

  • Scrivere artefatti dell'elaborazione dei dati Voce (vedere i dettagli negli articoli corrispondenti),
  • Leggere i file già presenti al momento dell'applicazione della nuova configurazione. Ad esempio, i file audio di origine per la trascrizione batch o i file del set di dati per il training e il test del modello personalizzato.

È consigliabile considerare questa configurazione come modello per quanto riguarda la sicurezza dei dati e personalizzarla in base alle tue esigenze.

Ad esempio, è possibile consentire il traffico da reti virtuali di Azure e indirizzi IP pubblici selezionati. È anche possibile configurare l'accesso all'account di archiviazione usando endpoint privati (vedere anche questa esercitazione), riabilitare l'accesso usando la chiave dell'account di archiviazione, consentire l'accesso ad altri servizi attendibili di Azure e così via.

Nota

L'uso di endpoint privati per il servizio Voce non è necessario per proteggere l'account di archiviazione. Gli endpoint privati per Il riconoscimento vocale proteggono i canali per le richieste dell'API Voce e possono essere usati come componente aggiuntivo nella soluzione.

Limitare l'accesso all'account di archiviazione

  1. Passare al portale di Azure e accedere all'account Azure.
  2. Seleziona l'account di archiviazione.
  3. Nel gruppo Impostazioni nel riquadro sinistro, seleziona Configurazione.
  4. Seleziona Disabilitato per Consenti l'accesso pubblico ai BLOB.
  5. Seleziona Disabilitato per Consenti l'accesso alla chiave dell'account di archiviazione
  6. Seleziona Salva.

Per altre informazioni, vedi Impedire l'accesso in lettura pubblico anonimo a contenitori e BLOB e Impedire l'autorizzazione con chiave condivisa per un account di archiviazione di Azure.

Configurare il firewall di Archiviazione di Azure

Poiché si dispone di accesso limitato all'account di archiviazione, è necessario concedere l'accesso di rete all'identità gestita della risorsa Voce. Segui questa procedura per aggiungere l'accesso alla risorsa Voce.

  1. Passare al portale di Azure e accedere all'account Azure.

  2. Seleziona l'account di archiviazione.

  3. Dal gruppo Sicurezza e rete nel riquadro sinistro, seleziona Rete.

  4. Nella scheda Firewall e reti virtuali seleziona Abilitato da reti virtuali e indirizzi IP selezionati.

  5. Deseleziona tutte le caselle di controllo.

  6. Assicurati che Routing di rete Microsoft sia selezionato.

  7. Nella sezione Istanze di risorse, seleziona Microsoft.CognitiveServices/accounts come tipo di risorsa e seleziona la risorsa Voce come nome dell'istanza.

  8. Seleziona Salva.

    Nota

    La propagazione delle modifiche di rete potrebbe richiedere fino a 5 minuti.

Configurare le impostazioni di sicurezza dell'account di archiviazione per la sintesi vocale

Questa sezione descrive come configurare le impostazioni di sicurezza dell'account di archiviazione, se si intende usare l'account di archiviazione associato a BYOS per la sintesi vocale o una combinazione di sintesi vocale e riconoscimento vocale. Se si usa solo l'account di archiviazione BYOS associato per il riconoscimento vocale, usare questa sezione.

Nota

La sintesi vocale richiede impostazioni meno rigorose del firewall dell'account di archiviazione rispetto al riconoscimento vocale. Se si usano sia riconoscimento vocale che sintesi vocale e sono necessarie impostazioni di sicurezza dell'account di archiviazione con limitazioni massime per proteggere i dati, è possibile prendere in considerazione l'uso di account di archiviazione diversi e delle risorse di riconoscimento vocale corrispondenti per le attività di riconoscimento vocale e sintesi vocale.

Se si eseguono tutte le azioni in questa sezione, l'account di archiviazione sarà configurato come segue:

Queste sono le impostazioni di sicurezza più limitate possibili per lo scenario di sintesi vocale. È possibile personalizzarle ulteriormente in base alle proprie esigenze.

Limitare l'accesso all'account di archiviazione

  1. Passare al portale di Azure e accedere all'account Azure.
  2. Seleziona l'account di archiviazione.
  3. Nel gruppo Impostazioni nel riquadro sinistro, seleziona Configurazione.
  4. Seleziona Disabilitato per Consenti l'accesso pubblico ai BLOB.
  5. Seleziona Disabilitato per Consenti l'accesso alla chiave dell'account di archiviazione
  6. Seleziona Salva.

Per altre informazioni, vedi Impedire l'accesso in lettura pubblico anonimo a contenitori e BLOB e Impedire l'autorizzazione con chiave condivisa per un account di archiviazione di Azure.

Configurare il firewall di Archiviazione di Azure

La voce neurale personalizzata usa la firma di accesso condiviso di delega utente per leggere i dati per il training del modello di sintesi vocale neurale. Richiede l'accesso al traffico di rete esterno all'account di archiviazione.

  1. Passare al portale di Azure e accedere all'account Azure.
  2. Seleziona l'account di archiviazione.
  3. Dal gruppo Sicurezza e rete nel riquadro sinistro, seleziona Rete.
  4. Nella scheda Firewall e reti virtuali scegliere Abilitato da tutte le reti.
  5. Seleziona Salva.

Configurare l'account di archiviazione associato a BYOS per l'uso con Speech Studio

Molte operazioni di Speech Studio come il caricamento del set di dati o il training e i test del modello personalizzato non richiedono alcuna configurazione speciale di una risorsa Voce abilitata per BYOS.

Tuttavia, se è necessario leggere i dati archiviati con l'account di archiviazione associato a BYOS tramite l'interfaccia Web di Speech Studio, è necessario configurare altre impostazioni dell'account di archiviazione associato a BYOS. Ad esempio, è necessario visualizzare il contenuto di un set di dati.

Configurare Condivisione di risorse tra le origini (CORS)

Speech Studio richiede l'autorizzazione per effettuare richieste all'archiviazione BLOB dell'account di archiviazione associato a BYOS. Per concedere tale autorizzazione, usare CORS (Cross-Origin Resource Sharing). Effettuare i passaggi seguenti.

  1. Passare al portale di Azure e accedere all'account Azure.
  2. Seleziona l'account di archiviazione.
  3. Nel gruppo Impostazioni nel riquadro sinistro, selezionare Condivisione di risorse (CORS).
  4. Assicurarsi che sia selezionata la scheda Archiviazione BLOB.
  5. Configurare il record seguente:
    • Origini consentite: https://speech.microsoft.com
    • Metodi consentiti: GET, OPTIONS
    • Intestazioni consentite: *
    • Intestazioni esposte: *
    • Validità massima: 1000
  6. Seleziona Salva.

Avviso

Il campo Origini consentite deve contenere URL senza barra finale. Ovvero devono essere https://speech.microsoft.com e non https://speech.microsoft.com/. L'aggiunta di una barra finale comporterà la mancata visualizzazione dei dettagli dei set di dati e dei test del modello in Speech Studio.

Configurare il firewall di Archiviazione di Azure

È necessario consentire l'accesso per il computer in cui si esegue il browser con Speech Studio. Se le impostazioni del firewall dell'account di archiviazione consentono l'accesso pubblico da tutte le reti, è possibile ignorare questa sottosezione. Altrimenti, eseguire le seguenti operazioni.

  1. Passare al portale di Azure e accedere all'account Azure.
  2. Seleziona l'account di archiviazione.
  3. Dal gruppo Sicurezza e rete nel riquadro sinistro, seleziona Rete.
  4. Nella sezione Firewall immettere l'indirizzo IP del computer in cui si esegue il Web browser o la subnet IP a cui appartiene l'indirizzo IP del computer.
  5. Seleziona Salva.

Passaggi successivi