Configurar o recurso de Fala para Traga seu próprio armazenamento (BYOS)
Traga seu próprio armazenamento (BYOS) é uma tecnologia de IA do Azure para clientes que têm altos requisitos de segurança e privacidade de dados. A base da tecnologia é a capacidade de associar uma conta de Armazenamento do Microsoft Azure, que o usuário possui e controla totalmente, com o recurso de Fala. Em seguida, o recurso de Fala usa essa conta de armazenamento para armazenar artefatos diferentes relacionados ao processamento de dados do usuário, em vez de armazenar os mesmos artefatos dentro das instalações do serviço de Fala, como é feito no caso regular. Essa abordagem permite usar todo o conjunto de recursos de segurança da conta de Armazenamento do Microsoft Azure, incluindo a criptografia de dados com as chaves gerenciadas pelo cliente, o uso dos pontos de extremidade privados para acessar os dados etc.
Em cenários BYOS, todo o tráfego entre o recurso de Fala e a Conta de armazenamento é mantido usando a Rede global do Azure, ou seja, toda a comunicação é realizada usando a rede privada, ignorando completamente a Internet pública. O recurso de fala no cenário BYOS está usando o mecanismo de Serviços confiáveis do Azure para acessar a Conta de armazenamento, contando com Identidades gerenciadas atribuídas pelo sistema como um método de autenticação e Controle de acesso baseado em função (RBAC) como um método de autorização.
Há uma exceção: se você usar a Conversão de texto em fala e o recurso de Fala e a Conta de armazenamento associada estiverem localizadas em regiões diferentes do Azure, a Internet pública será usada para as operações, envolvendo a Delegação de usuário SAS. Confira os detalhes nesta seção.
O BYOS pode ser usado com vários serviços de IA do Azure. Para Fala, ele pode ser usada nos seguintes cenários:
Conversão de fala em texto
- Transcrição em lote
- Transcrição em tempo real com registro em log de resultados de áudio e transcrição habilitado
- Fala personalizada (Modelos personalizados para reconhecimento de Fala)
Conversão de texto em fala
- Criação de Conteúdo de Áudio
- Voz neural personalizada (Modelos personalizados para sintetização de Fala)
Um recurso de Fala - a combinação de Conta de armazenamento pode ser usada para todos os quatro cenários simultaneamente em todas as combinações.
Este artigo descreve como criar e manter o recurso de Fala habilitado para BYOS e é aplicável a todos os cenários mencionados. Consulte as informações específicas do cenário nos artigos correspondentes.
Recurso de Fala habilitado para BYOS: Regras básicas
Considere as seguintes regras ao planejar a configuração de recursos de Fala habilitados para BYOS:
- O recurso de Fala pode ser habilitado para BYOS somente durante a criação. O recurso de Fala existente não pode ser convertido em habilitado para BYOS. O recurso de Fala habilitado para BYOS não pode ser convertido em um recurso "convencional" (não BYOS).
- A associação da conta de armazenamento com o recurso de Fala é declarada durante a criação do recurso de Fala. Ela não pode ser alterada posteriormente. Ou seja, você não pode alterar qual conta de armazenamento está associada ao recurso de Fala habilitado para BYOS existente. Para usar outra Conta de armazenamento, você precisa criar outro recurso de Fala habilitado para BYOS.
- Ao criar um recurso de Fala habilitado para BYOS, você pode usar uma Conta de armazenamento existente ou criar uma automaticamente durante o provisionamento do recursos de Fala (o último é válido somente ao usar o portal do Azure).
- Uma Conta de armazenamento pode ser associada a vários recursos de Fala. Recomendamos o uso de uma Conta de armazenamento para cada recurso de Fala.
- A conta de armazenamento e o recurso de Fala habilitado para BYOS relacionado podem estar localizados na mesma região do Azure ou em regiões diferentes. Recomendamos usar a mesma região para minimizar a latência. Pelo mesmo motivo, não recomendamos a seleção de regiões muito remotas para a configuração de várias regiões. (Por exemplo, não recomendamos colocar a conta de armazenamento no Leste dos EUA e o recurso de Fala associado no Oeste da Europa).
Criar e configurar o recurso de Fala habilitado para BYOS
Esta seção descreve como criar um recurso de Fala habilitado para BYOS.
Solicitar acesso ao BYOS para suas assinaturas do Azure
Você precisa solicitar acesso à funcionalidade BYOS para cada uma das assinaturas do Azure que planeja usar. Para solicitar o acesso, preencha e envie o formulário de solicitação de acesso para Chaves Gerenciadas pelo Cliente de IA Aplicada e Serviços Cognitivos e para o Traga Seu Próprio Armazenamento . Aguarde a aprovação da solicitação.
(Opcional) Verificar se a assinatura do Azure tem acesso ao BYOS
Você pode verificar rapidamente se sua assinatura do Azure tem acesso ao BYOS. Essa verificação usa a funcionalidade versão prévia dos recursos do Azure.
Essa funcionalidade não está disponível no portal do Microsoft Azure.
Observação
Você pode exibir a lista de versão prévia dos recursos de uma determinada assinatura do Azure, conforme explicado neste artigo; no entanto, observe que nem todos os versão prévia dos recursos, incluindo o BYOS, estão visíveis dessa forma.
Planejar e preparar sua Conta de armazenamento
Se você usar o portal do Azure para criar um recurso de Fala habilitado para BYOS, uma Conta de armazenamento associada poderá ser criada automaticamente. Para todos os outros métodos de provisionamento (CLI do Azure, PowerShell, Solicitação da API REST), você precisa usar a Conta de armazenamento existente.
Se você deseja usar a Conta de armazenamento existente e não pretende usar o método do portal do Azure para provisionamento de recursos de Fala habilitado para BYOS, observe o seguinte com relação a essa Conta de armazenamento:
- Você precisa da ID completa do recurso do Azure da Conta de armazenamento. Para obtê-la, navegue até a Conta de armazenamento no portal do Azure e selecione o menu Pontos de Extremidade no grupo Configurações. Copie e armazene o valor do campo ID do recurso da Conta de armazenamento.
- Para configurar totalmente o BYOS, você precisa ter pelo menos a permissão de Proprietário do Recurso para a Conta de armazenamento selecionada.
Observação
A permissão de Proprietário do Recurso da Conta de armazenamento ou superior não é necessária para usar um recurso de Fala habilitado para BYOS. No entanto, ela é necessária durante a configuração inicial única da Conta de armazenamento para o uso no cenário BYOS. Confira os detalhes nesta seção.
Criar recurso de Fala habilitado para BYOS
Certifique-se de que sua assinatura do Azure esteja habilitada para o uso de BYOS antes de tentar criar o recurso de Fala. Consulte esta seção.
Há duas maneiras de criar um recurso de Fala habilitado para BYOS:
- Com o portal do Azure.
- Com a API de Serviços Cognitivos (PowerShell, CLI do Azure, solicitação REST).
A opção do portal do Azure tem requisitos mais rígidos:
- A conta usada para o provisionamento de recursos de Fala habilitados para BYOS deve ter a permissão de Proprietário da Assinatura.
- A Conta de armazenamento associada ao BYOS só deve estar localizada na mesma região que o recurso de Fala.
Se algum desses requisitos extras não se encaixar em seu cenário, use a opção de API dos Serviços Cognitivos (PowerShell, CLI do Azure, solicitação REST).
Para usar qualquer um dos métodos acima, é necessário ter uma conta do Azure atribuída a uma função que permita criar recursos na assinatura, como Colaborador de assinatura.
Observação
Se você usar o portal do Azure para criar um recurso de Fala habilitado para BYOS, recomendamos selecionar a opção de criar uma nova Conta de armazenamento.
Para criar um recurso de Fala habilitado para BYOS com o portal do Azure, você precisa acessar alguns recursos da versão prévia no portal. Execute as seguintes etapas:
- Navegue até a página Criar Fala usando este link.
- Observe a seção Conta de armazenamento na parte inferior da página.
- Selecione Sim para a opção Traga seu próprio armazenamento.
- Defina as configurações necessárias da Conta de armazenamento e prossiga com a criação do recurso de Fala.
Se você usou o portal do Azure para criar um recurso de Fala habilitado para BYOS, ele está totalmente pronto para o uso. Se tiver usado qualquer outro método, você precisará executar a atribuição de função para a identidade gerenciada do recurso de Fala dentro do escopo da Conta de armazenamento associada. Em todos os casos, você também precisa examinar as diferentes configurações da Conta de armazenamento relacionadas à segurança dos dados. Veja esta seção.
(Opcional) Verificar a configuração BYOS do recurso de Fala
Sempre será possível verificar se um determinado recurso de Fala está habilitado para BYOS e qual é a conta de armazenamento associada. Você pode fazer isso pelo portal do Azure ou pela API de Serviços Cognitivos.
Para verificar a configuração BYOS de um recurso de Fala com o portal do Azure, você precisa acessar alguns recursos da versão prévia no portal. Execute as seguintes etapas:
- Navegue até a página Criar Fala usando este link.
- Feche a tela Criar Fala pressionando X no canto superior direito.
- Se solicitado, concorde em descartar as alterações não salvas.
- Navegue até o recurso de Fala que você deseja verificar.
- Selecione o menu Armazenamento no grupo Gerenciamento de Recursos.
- Verifique o seguinte:
- O campo de armazenamento anexado contém a ID de recurso do Azure da Conta de armazenamento associada ao BYOS.
- O tipo de identidade tem a opção Atribuído pelo Sistema selecionada.
Se o item de menu Armazenamento não estiver presente no grupo Gerenciamento de Recursos, o recurso de Fala selecionado não está habilitado para BYOS.
Configurar a Conta de armazenamento associada ao BYOS
Para obter alta segurança e privacidade de seus dados, é necessário definir corretamente as configurações da conta de armazenamento associada ao BYOS. Caso não tenha usado o portal do Azure para criar seu recurso de Fala habilitado para BYOS, você também precisará executar uma etapa obrigatória da atribuição de função.
Atribuir função de acesso a recursos
Essa etapa será obrigatória se você não usou o portal do Azure para criar seu recurso de Fala habilitado para BYOS.
O BYOS usa o Armazenamento blob de uma Conta de armazenamento. Por esse motivo, a identidade gerenciada de recurso de Fala habilitada para BYOS precisa de atribuição de função de Colaborador de Dados de Blob de Armazenamento no escopo da Conta de armazenamento associada ao BYOS.
Cuidado
Não use atribuições de função personalizadas em vez de a função interna Colaborador de Dados de Blobs de Armazenamento.
Se isso não for feito, muito provavelmente resultará em erros de serviço difíceis de serem depurados e problemas relacionados ao acesso à conta de Armazenamento associada ao BYOS.
Se você usou o portal do Azure para criar seu recurso de Fala habilitado para BYOS, pode ignorar o restante desta subseção. Sua atribuição de função já está concluída. Caso contrário, siga as etapas a seguir.
Importante
Você precisa receber a função Proprietário da conta de Armazenamento ou escopo superior (como Assinatura) para executar a operação nas próximas etapas. Isso ocorre porque somente a função Proprietário pode atribuir funções a outras pessoas. Veja os detalhes aqui.
- Vá para o portal do Azure e entre em sua conta do Azure.
- Selecione a conta de armazenamento.
- Selecione Controle de Acesso menu (IAM) no painel esquerdo.
- Selecione Adicionar atribuições de função no bloco Permitir acesso a esse recurso.
- Selecione Colaborador de Dados de Blob de Armazenamento em Função e, em seguida, selecione Avançar.
- Selecione Identidade Gerenciada em Membros>Atribuir acesso a.
- Atribua a identidade gerenciada do recurso de Fala e então selecione Examinar + atribuir.
- Depois de confirmar as configurações, selecione Examinar + atribuir.
Configurar as definições de segurança da Conta de armazenamento para a Conversão de fala em texto
Esta seção descreve como definir as configurações de segurança da Conta de armazenamento, se você pretende usar a Conta de armazenamento associada ao BYOS somente para cenários de Conversão de fala em texto. Caso você use a Conta de armazenamento associada ao BYOS para Conversão de texto em fala ou uma combinação de Conversão de fala em texto e Conversão de texto em fala, use esta seção.
Para a Conversão de fala em texto, o BYOS está usando o mecanismo de segurança confiável dos serviços do Azure para se comunicar com a Conta de armazenamento. O mecanismo permite definir regras restritas de acesso aos dados da conta de armazenamento.
Se você executar todas as ações da seção, sua conta de armazenamento terá a seguinte configuração:
- O acesso a todo o tráfego de rede externo é proibido.
- O acesso à conta de armazenamento usando a chave de conta de armazenamento é proibido.
- O acesso ao armazenamento de blobs da conta de armazenamento usando SAS (assinaturas de acesso compartilhado) é proibido. (Exceto para a Delegação de usuário SAS)
- O acesso ao recurso de Fala habilitado para BYOS é permitido usando o recurso identidade gerenciada atribuída ao sistema.
Portanto, na prática, a sua Conta de armazenamento fica completamente "bloqueada" e só pode ser acessada pelo recurso de Fala, que será capaz de:
- Escrever artefatos de seu processamento de dados de Fala (veja detalhes nos artigos correspondentes),
- Ler os arquivos que já estavam presentes no momento em que a nova configuração foi aplicada. Por exemplo, arquivos de áudio de origem para a transcrição em lote ou arquivos de conjunto de dados para treinamento e teste de modelos personalizados.
Você deve considerar essa configuração como um modelo no que diz respeito à segurança de seus dados e personalizá-la de acordo com suas necessidades.
Por exemplo, é possível permitir o tráfego de endereços IP públicos selecionados e redes virtuais do Azure. Você também pode configurar o acesso à sua conta de armazenamento usando pontos de extremidade privados (consulte também este tutorial), reativar o acesso usando a chave da conta de armazenamento, permitir o acesso a outros serviços confiáveis do Azure, etc.
Observação
O uso de pontos de extremidade privados para Fala não é necessário para proteger a Conta de armazenamento. Os pontos de extremidade privados para Fala protegem os canais para solicitações de API de Fala e podem ser usados como um componente extra em sua solução.
Restringir o acesso à Conta de armazenamento
- Vá para o portal do Azure e entre em sua conta do Azure.
- Selecione a conta de armazenamento.
- No grupo Configurações no painel esquerdo, selecione Configuração.
- Selecione Desabilitado para Permitir o acesso público do Blob.
- Selecionar Desabilitado para Permitir acesso à chave de conta de armazenamento
- Selecione Salvar.
Para obter mais informações, confira Impedir o acesso de leitura pública anônimo a contêineres e blobs e Impedir a autorização de chave compartilhada para uma conta de Armazenamento do Azure.
Configurar o firewall do Armazenamento do Azure
Depois de restringir o acesso à Conta de armazenamento, você precisa conceder acesso de rede à sua identidades gerenciada pelo recurso de Fala. Siga estas etapas para adicionar acesso ao recurso de Fala.
Vá para o portal do Azure e entre em sua conta do Azure.
Selecione a conta de armazenamento.
No grupo Segurança + sistema de rede no painel esquerdo, selecione Sistema de Rede.
Na guia Firewalls e redes virtuais, selecione Habilitado entre redes virtuais selecionadas e endereços IP.
Desmarque todas as caixas de seleção.
Verifique se o Roteamento de rede da Microsoft está selecionado.
Na seção Instâncias de Recurso, selecione Microsoft.CognitiveServices/accounts como o tipo de recurso e selecione o recurso de Fala como o nome da instância.
Selecione Salvar.
Observação
Pode levar até 5 minutos para que as alterações na rede sejam propagadas.
Configurar as definições de segurança da Conta de armazenamento para a Conversão de Texto em Fala
Esta seção descreve como definir as configurações de segurança da Conta de armazenamento, se você pretende usar a Conta de armazenamento associada ao BYOS para Conversão de texto em fala ou uma combinação de Conversão de fala em texto e Conversão de texto em fala. Se você use a Conta de armazenamento associada ao BYOS apenas para Conversão de fala em texto, use esta seção.
Observação
A Conversão de texto em fala requer configurações mais flexíveis do firewall da conta de armazenamento, em comparação com a Conversão de fala em texto. Se você usar tanto a conversão de fala em texto quanto a conversão de texto em fala e precisar de configurações de segurança da conta de armazenamento com restrição máxima para proteger seus dados, você pode considerar o uso de contas de armazenamento diferentes e os recursos de Fala correspondentes para tarefas de conversão de fala em texto e conversão de texto em fala.
Se você executar todas as ações da seção, sua conta de armazenamento terá a seguinte configuração:
- O tráfego de rede externa é permitido.
- O acesso à conta de armazenamento usando a chave de conta de armazenamento é proibido.
- O acesso ao armazenamento de blobs da conta de armazenamento usando SAS (assinaturas de acesso compartilhado) é proibido. (Exceto para a Delegação de usuário SAS)
- O acesso ao recurso de Fala habilitado para BYOS é permitido usando o recurso identidade gerenciada atribuída ao sistema e a Delegação de Usuário SAS.
Essas são as configurações de segurança mais restritas possíveis para o cenário de conversão de texto em fala. Você pode personalizá-las ainda mais de acordo com suas necessidades.
Restringir o acesso à Conta de armazenamento
- Vá para o portal do Azure e entre em sua conta do Azure.
- Selecione a conta de armazenamento.
- No grupo Configurações no painel esquerdo, selecione Configuração.
- Selecione Desabilitado para Permitir o acesso público do Blob.
- Selecionar Desabilitado para Permitir acesso à chave de conta de armazenamento
- Selecione Salvar.
Para obter mais informações, confira Impedir o acesso de leitura pública anônimo a contêineres e blobs e Impedir a autorização de chave compartilhada para uma conta de Armazenamento do Azure.
Configurar o firewall do Armazenamento do Azure
A voz neural personalizada usa a Delegação de usuário SAS para ler os dados para o treinamento do modelo de voz neural personalizada. É necessário permitir o acesso do tráfego de rede externo à Conta de armazenamento.
- Vá para o portal do Azure e entre em sua conta do Azure.
- Selecione a conta de armazenamento.
- No grupo Segurança + sistema de rede no painel esquerdo, selecione Sistema de Rede.
- Na guia Firewalls e redes virtuais, selecione Habilitado em todas as redes.
- Selecione Salvar.
Configurar a Conta de armazenamento associada ao BYOS para uso com o Speech Studio
Muitas operações do Speech Studio, como upload de conjunto de dados ou treinamento e teste de modelos personalizados, não exigem configurações especiais no caso de um recurso de Fala habilitado para BYOS.
No entanto, se você precisar ler os dados armazenados na conta de armazenamento associada ao BYOS por meio da interface da Web do Speech Studio, será necessário definir mais configurações da conta de armazenamento associada ao BYOS. Por exemplo, é necessário exibir o conteúdo de um conjunto de dados.
Configurar CORS (Compartilhamento de Recursos entre Origens)
O Speech Studio precisa de permissão para fazer solicitações ao Armazenamento blob da Conta de armazenamento associada ao BYOS. Para conceder essa permissão, você usa o Compartilhamento de Recursos entre Origens (CORS). Siga estas etapas.
- Vá para o portal do Azure e entre em sua conta do Azure.
- Selecione a conta de armazenamento.
- No grupo Configurações, no painel esquerdo, selecione Compartilhamento de recursos (CORS).
- Certifique-se de que a guia Armazenamento blob esteja selecionada.
- Configure o seguinte registro:
- Origens permitidas:
https://speech.microsoft.com
- Métodos permitidos:
GET
,OPTIONS
- Cabeçalhos permitidos:
*
- Cabeçalhos expostos:
*
- Idade máxima:
1000
- Origens permitidas:
- Selecione Salvar.
Aviso
O campo Origens permitidas deve conter o URL sem a barra à direita. Ou seja, deveria ser https://speech.microsoft.com
, e não https://speech.microsoft.com/
. A adição da barra à direita fará com que o Speech Studio não mostre os detalhes dos conjuntos de dados e dos testes de modelo.
Configurar o Firewall do Armazenamento do Azure
Você precisa permitir o acesso ao computador, no qual executa o navegador usando o Speech Studio. Se as configurações de firewall da sua conta do armazenamento permitirem o acesso público de todas as redes, é possível ignorar esta subseção. Caso contrário, siga as etapas a seguir.
- Vá para o portal do Azure e entre em sua conta do Azure.
- Selecione a conta de armazenamento.
- No grupo Segurança + sistema de rede no painel esquerdo, selecione Sistema de Rede.
- Na seção Firewall, insira o endereço IP do computador em que você executa o navegador da Web ou a sub-rede IP à qual pertence o endereço IP do computador.
- Selecione Salvar.