Controle de acesso baseado em função para recursos de fala
Você pode gerenciar o acesso e as permissões aos seus recursos de Fala com o controle de acesso baseado em função do Azure (Azure RBAC). As funções atribuídas podem variar entre os recursos de Fala. Por exemplo, você pode atribuir uma função a um recurso de Serviços de IA para Fala que só deve ser usado para treinar um modelo de fala personalizado. Você pode atribuir outra função a um recurso de Serviços de IA para Fala que é usado para transcrever arquivos de áudio. Dependendo de quem pode acessar cada recurso de fala, você pode efetivamente definir um nível diferente de acesso por aplicativo ou usuário. Para obter mais informações sobre o RBAC do Azure, consulte a documentação do RBAC do Azure.
Nota
Um recurso de Serviços de IA para Fala pode herdar ou receber várias funções. O nível final de acesso ao recurso é uma combinação de todas as permissões de função.
Funções para recursos de fala
Uma definição de função é uma coleção de permissões. Quando você cria um recurso de Serviços de IA para Fala, as funções internas na tabela a seguir ficam disponíveis para atribuição.
Aviso
A arquitetura do serviço de fala difere de outros serviços de IA do Azure na maneira como usa o plano de controle e o plano de dados do Azure. O serviço de fala está usando extensivamente o plano de dados em comparação com outros serviços de IA do Azure, e isso requer uma configuração diferente para as funções. Por isso, algumas funções gerais dos Serviços Cognitivos têm um conjunto de direitos de acesso real que não corresponde exatamente ao seu nome quando usadas no cenário de serviços de Fala. Por exemplo , o Usuário de Serviços Cognitivos fornece de fato os direitos de Colaborador, enquanto o Colaborador de Serviços Cognitivos não fornece nenhum acesso. O mesmo é válido para funções genéricas de Proprietário e Colaborador que não têm direitos de plano de dados e, consequentemente, não fornecem acesso ao recurso de Fala. Para manter a consistência, recomendamos o uso de funções que contenham Fala em seus nomes. Essas funções são Cognitive Services Speech User e Cognitive Services Speech Contributor. Seus conjuntos de direitos de acesso foram projetados especificamente para o serviço de fala. Caso pretenda utilizar funções gerais dos Serviços Cognitivos e funções genéricas do Azure, pedimos-lhe que estude cuidadosamente a seguinte tabela de direitos de acesso.
| Role | Pode listar chaves de recurso | Acesso a dados, modelos e pontos de extremidade em projetos personalizados | Acesso a APIs de transcrição e síntese de fala |
|---|---|---|---|
| Proprietário | Sim | Nenhuma | Não |
| Contribuinte | Sim | Nenhuma | Não |
| Colaborador de Serviços Cognitivos | Sim | Nenhuma | Não |
| Utilizador de Serviços Cognitivos | Sim | Exibir, criar, editar e excluir | Sim |
| Colaborador de Fala dos Serviços Cognitivos | Não | Exibir, criar, editar e excluir | Sim |
| Serviços Cognitivos Usuário de Fala | Não | Visualizar apenas | Sim |
| Leitor de Dados de Serviços Cognitivos (Pré-visualização) | Não | Visualizar apenas | Sim |
Importante
Se uma função pode listar chaves de recursos é importante para a autenticação do Speech Studio. Para listar chaves de recurso, uma função deve ter permissão para executar a Microsoft.CognitiveServices/accounts/listKeys/action operação. Observe que, se a autenticação de chave estiver desabilitada no Portal do Azure, nenhuma das funções poderá listar chaves.
Mantenha as funções internas se o recurso de Fala puder ter acesso total de leitura e gravação aos projetos.
Para um controle de acesso a recursos mais refinado, você pode adicionar ou remover funções usando o portal do Azure. Por exemplo, você pode criar uma função personalizada com permissão para carregar conjuntos de dados de fala personalizados, mas sem permissão para implantar um modelo de fala personalizado em um ponto de extremidade.
Autenticação com chaves e tokens
As funções definem quais permissões você tem. A autenticação é necessária para usar o recurso de fala.
Para autenticar com chaves de recurso de fala, tudo o que você precisa é a chave e a região. Para autenticar com um token do Microsoft Entra, o recurso de fala deve ter um subdomínio personalizado.
Autenticação do SDK de fala
Para o SDK, você configura se deseja autenticar com uma chave de API ou token do Microsoft Entra. Para obter detalhes, consulte Autenticação do Microsoft Entra com o SDK de fala.
Autenticação do Speech Studio
Depois de iniciar sessão no Speech Studio, selecione uma subscrição e um recurso de Voz. Você não escolhe se deseja autenticar com uma chave de API ou token do Microsoft Entra. O Speech Studio obtém a chave ou o token automaticamente do recurso Speech. Se uma das funções atribuídas tiver permissão para listar chaves de recurso e a autenticação de chave não estiver desabilitada, o Speech Studio será autenticado com a chave. Caso contrário, o Speech Studio será autenticado com o token do Microsoft Entra.
Se o Speech Studio utilizar seu token do Microsoft Entra e seu recurso de Fala não tiver um subdomínio personalizado configurado corretamente, o RBAC (controle de acesso baseado em função) não será ativado e você não poderá acessar nenhum recurso no Speech Studio. O RBAC determina seu acesso aos recursos com base na função atribuída a você e nas permissões associadas a essa função. Se sua função não conceder acesso a um recurso específico, uma mensagem de aviso será exibida na página. Certifique-se de ter a função apropriada para acessar o recurso desejado.
| Credencial de autenticação | Disponibilidade de caraterísticas |
|---|---|
| Chave de recurso de fala | Acesso total. A configuração da função será ignorada se a chave de recurso for usada. |
| Token Microsoft Entra com subdomínio personalizado | Acesso total limitado apenas pelas permissões de função atribuídas. |
| Token Microsoft Entra sem subdomínio personalizado | Sem acesso. |