Azure Cognitive Service for Speech リソースのロールベースのアクセス制御
Azure ロールベースのアクセス制御 (Azure RBAC) を使用して、Azure Cognitive Service for Speech リソースへのアクセスとアクセス許可を管理できます。 割り当てられるロールは、Azure Cognitive Service for Speech リソースによって異なる場合があります。 たとえば、Custom Speech モデルのトレーニングにのみ使用する必要がある Speech 用の AI サービス リソースをにロールを割り当てることができます。 オーディオ ファイルの文字起こしに使用される Speech 用の AI サービス リソースに別のロールを割り当てることができます。 各 Azure Cognitive Service for Speech リソースにアクセスできるユーザーに応じて、アプリケーションまたはユーザーごとに異なるレベルのアクセスを効果的に設定できます。 Azure RBAC の詳細については、「Azure RBAC のドキュメント」を参照してください。
Note
Speech 用の AI サービス リソースは、複数のロールを継承するか、複数のロールが割り当てられることができます。 このリソースへの最終レベルのアクセス権は、すべてのロールのアクセス許可の組み合わせです。
Azure Cognitive Service for Speech リソースのロール
ロールの定義はアクセス許可のコレクションです。 Speech 用の AI サービス リソースを作成すると、次の表の組み込みロールを割り当てに使用できます。
警告
Azure Cognitive Service for Speech サービスのアーキテクチャは、Azure コントロール プレーンとデータ プレーンの使用方法が他の Azure AI サービスとは異なります。 Azure Cognitive Service for Speech サービスは他の Azure AI サービスと比較してデータ プレーンを広範囲に使用しているため、ロールに対して異なる設定が必要です。 このため、Azure Cognitive Service for Speech サービス シナリオで使用される場合、一部の一般的な Cognitive Services ロールに、その名前と正確に一致しない実際のアクセス権セットが設定されます。 たとえば、"Cognitive Services ユーザー" は実質的に共同作成者権限を提供しますが、"Cognitive Services 共同作成者" はアクセスをまったく提供しません。 汎用の "所有者" ロールと "共同作成者" ロールにも同じことが当てはまります。共同作成者ロールは、データ プレーン権限がなく、その結果、Azure Cognitive Service for Speech リソースへのアクセスを提供しません。 一貫性を維持するために、名前に Speech を含むロールを使用することをお勧めします。 これらのロールは、"Cognitive Services Speech ユーザー" および "Cognitive Services Speech 共同作成者" です。 これらのロールのアクセス権セットは、Azure Cognitive Service for Speech サービス専用に設計されています。 一般的な Cognitive Services ロールおよび Azure の汎用ロールを使用したい場合は、次のアクセス権の表を入念に検討してください。
| ロール | リソース キーを一覧表示できます | カスタム プロジェクトのデータ、モデル、エンドポイントへのアクセス | 音声の文字起こしと合成 API へのアクセス |
|---|---|---|---|
| 所有者 | はい | なし | いいえ |
| Contributor | はい | なし | いいえ |
| Cognitive Services 共同作成者 | はい | なし | いいえ |
| Cognitive Services ユーザー | はい | 表示、作成、編集、削除 | はい |
| Cognitive Services Speech 共同作成者 | いいえ | 表示、作成、編集、削除 | はい |
| Cognitive Services Speech ユーザー | いいえ | 表示のみ | はい |
| Cognitive Services データ閲覧者 (プレビュー) | いいえ | 表示のみ | はい |
重要
ロールがリソース キーを一覧表示できるかどうかは、 Speech Studio 認証にとって重要です。 リソース キーを一覧表示するには、ロールに Microsoft.CognitiveServices/accounts/listKeys/action 操作を実行するためのアクセス許可が必要です。 Azure Portal でキー認証が無効になっている場合、どのロールもキーを一覧表示できません。
Azure Cognitive Service for Speech リソースがプロジェクトへの完全な読み取りおよび書き込みアクセス許可を持つ場合は、組み込みのロールを保持します。
より詳細なリソース アクセスの制御を行うには、Azure portal を使用してロールを追加または削除できます。 たとえば、Custom Speech データセットをアップロードするアクセス許可は持つが、エンドポイントに Custom Speech モデルを配置するアクセス許可は持たないカスタム ロールを作成できます。
キーとトークンを使用した認証
ロールは、ユーザーが持つアクセス許可を定義します。 Azure Cognitive Service for Speech リソースを使用するには認証が必要です。
Azure Cognitive Service for Speech リソース キーを使用して認証するために必要なのは、キーとリージョンだけです。 Microsoft Entra トークンを使用して認証するには、Azure Cognitive Service for Speech リソースにカスタム サブドメインが必要です。
Speech SDK 認証
SDK の場合は、API キーと Microsoft Entra トークンのどちらで認証するかを構成します。 詳細については、「Speech SDK を使用した Microsoft Entra 認証」を参照してください。
Speech Studio の認証
Speech Studio にサインインしたら、サブスクリプションと Azure Cognitive Service for Speech リソースを選択します。 API キーと Microsoft Entra トークンのどちらで認証するかは選択しません。 Speech Studio は、Azure Cognitive Service for Speech リソースから自動的にキーまたはトークンを取得します。 割り当てられたロールのいずれかにリソース キーの一覧を取得するアクセス許可があり、キー認証が無効になっていない場合、Speech Studio はそのキーを使って認証を行います。 そうでない場合、Speech Studio は Microsoft Entra トークンを使って認証を行います。
Speech Studio が Microsoft Entra トークンを利用していて、Speech リソースに適切に構成されたカスタム サブドメインがない場合、ロールベースのアクセス制御 (RBAC) はアクティブ化されず、Speech Studio の機能にアクセスできなくなります。 RBAC は、割り当てられたロールとそのロールに関連付けられているアクセス許可に基づいて、機能へのアクセスを決定します。 ロールが特定の機能へのアクセスを許可しない場合は、ページに警告メッセージが表示されます。 必要な機能にアクセスするための適切なロールがあることを確認してください。
| 認証資格情報 | 使用可能な機能 |
|---|---|
| Azure Cognitive Service for Speech リソース キー | 機能制限なし。 リソース キーが使用されている場合、ロールの構成は無視されます。 |
| カスタム サブドメインを使用する Microsoft Entra トークン | フル アクセスは、割り当てられたロールのアクセス許可によってのみ制限されます。 |
| カスタム サブドメインを使用しない Microsoft Entra トークン | アクセスはありません。 |