Настройка собственного ресурса службы "Речь" хранилища (BYOS)

Использование собственного хранилища (BYOS) — это технология ИИ Azure для клиентов, которые имеют высокие требования к безопасности данных и конфиденциальности. Основной частью технологии является возможность связать учетную запись служба хранилища Azure, которую пользователь владеет и полностью управляет ресурсом "Речь". Затем ресурс службы "Речь" использует эту учетную запись хранения для хранения различных артефактов, связанных с обработкой пользовательских данных, вместо хранения одних и тех же артефактов в локальной службе "Речь", как это делается в обычном случае. Этот подход позволяет использовать все наборы функций безопасности учетной записи служба хранилища Azure, включая шифрование данных с помощью ключей, управляемых клиентом, с помощью частных конечных точек для доступа к данным и т. д.

В сценариях BYOS весь трафик между ресурсом службы "Речь" и учетной записью хранения поддерживается с помощью глобальной сети Azure, иными словами, все взаимодействие выполняется с помощью частной сети, полностью обходя общедоступный Интернет. Ресурс службы "Речь" в сценарии BYOS использует механизм доверенных служб Azure для доступа к учетной записи хранения, используя управляемые удостоверения, назначаемые системой, как метод проверки подлинности , и управление доступом на основе ролей (RBAC) в качестве метода авторизации.

Существует одно исключение: если вы используете текст для речи, а ресурс "Речь" и связанная учетная запись хранения находятся в разных регионах Azure, то общедоступный Интернет используется для операций, включая SAS делегирования пользователей. Дополнительные сведения см. в этом разделе.

BYOS можно использовать с несколькими службами ИИ Azure. Для службы "Речь" его можно использовать в следующих сценариях:

Речь к тексту

• Пакетное транскрибирование
• Транскрибирование в режиме реального времени с включенным ведением журнала результатов аудио и транскрибирования
• Настраиваемая речь (пользовательские модели для распознавания речи)

Текст в речь

• Создание звукового содержимого
• Пользовательский нейронный голос (пользовательские модели для синтеза речи)

Один ресурс службы "Речь" — сочетание учетной записи хранения можно использовать для всех четырех сценариев одновременно во всех сочетаниях.

В этой статье описывается создание и обслуживание ресурса службы "Речь с поддержкой BYOS" и применимое ко всем упомянутым сценариям. Дополнительные сведения о сценарии см. в соответствующих статьях.

Ресурс службы "Речь с поддержкой BYOS": основные правила

При планировании конфигурации ресурсов службы "Речь с поддержкой BYOS" следует учитывать следующие правила:

• Ресурс службы "Речь" может быть включен только во время создания. Существующий ресурс службы "Речь" не может быть преобразован в включенный BYOS. Ресурс службы "Речь с поддержкой BYOS" нельзя преобразовать в обычный (non-BYOS).
• Связь учетной записи хранения с ресурсом "Речь" объявляется во время создания ресурса "Речь". Этот параметр нельзя изменить. То есть вы не можете изменить учетную запись хранения, связанную с существующим ресурсом службы "Речь с поддержкой BYOS". Чтобы использовать другую учетную запись хранения, необходимо создать другой ресурс службы "Речь с поддержкой BYOS".
• При создании ресурса службы "Речь с поддержкой BYOS" можно использовать существующую учетную запись хранения или создать ее автоматически во время подготовки ресурсов службы "Речь" (последний действителен только при использовании портал Azure).
• Одна учетная запись хранения может быть связана со многими ресурсами службы "Речь". Рекомендуется использовать одну учетную запись хранения для одного ресурса службы "Речь".
• Учетная запись хранения и связанный ресурс службы "Речь с поддержкой BYOS" могут находиться в одном или разных регионах Azure. Мы рекомендуем использовать тот же регион, чтобы свести к минимуму задержку. По той же причине мы не рекомендуем выбирать слишком удаленные регионы для конфигурации с несколькими регионами. (Например, не рекомендуется размещать учетную запись хранения в восточной части США и связанный ресурс "Речь" в Западной Европе.

Создание и настройка ресурса службы "Речь с поддержкой BYOS"

В этом разделе описывается создание ресурса службы "Речь с поддержкой BYOS".

Запрос доступа к BYOS для подписок Azure

Необходимо запросить доступ к функциям BYOS для каждой из подписок Azure, которые вы планируете использовать. Чтобы запросить доступ, заполнить и отправить приложения Cognitive Services и применить управляемые клиентами ИИ ключи и создать форму запроса доступа к хранилищу. Дождитесь утверждения запроса.

(Необязательно) Проверьте, имеет ли подписка Azure доступ к BYOS

Вы можете быстро проверить, имеет ли подписка Azure доступ к BYOS. Эта проверка использует функции предварительной версии Azure.

Портал Azure

Эта функция недоступна через портал Azure.

Примечание.

Вы можете просмотреть список предварительных версий для данной подписки Azure, как описано в этой статье, однако обратите внимание, что не все предварительные версии функций, включая BYOS, видны таким образом.

PowerShell

Чтобы проверить, имеет ли подписка Azure доступ к BYOS с помощью PowerShell, мы используем команду Get-AzProviderFeature .

Вы можете установить PowerShell локально или использовать Azure Cloud Shell.

Если вы используете локальную установку PowerShell, подключитесь к учетной записи Azure с помощью Connect-AzAccount команды, прежде чем попробовать следующий сценарий.

# Target subscription parameters
# REPLACE WITH YOUR CONFIGURATION VALUES
$azureSubscriptionId = "XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX"

# Select the right subscription
Set-AzContext -SubscriptionId $azureSubscriptionId 

# Check whether the Azure subscription has access to BYOS
Get-AzProviderFeature -ListAvailable -ProviderNamespace "Microsoft.CognitiveServices" | where-object FeatureName -Match byox

Если вы получите такой ответ, ваша подписка имеет доступ к BYOS.

FeatureName ProviderName                RegistrationState
----------- ------------                -----------------
byoxPreview Microsoft.CognitiveServices Registered

Если вы получаете пустой ответ или RegistrationState значение NotRegistered , ваша подписка Azure не имеет доступа к BYOS и вам нужно запросить его.

Azure CLI

Чтобы проверить, имеет ли подписка Azure доступ к BYOS с помощью Azure CLI, мы используем команду az feature show .

Вы можете установить Azure CLI локально или использовать Azure Cloud Shell.

Примечание.

Следующий скрипт не использует переменные, так как использование переменных отличается в зависимости от платформы, в которой выполняется Azure CLI. Сведения об использовании переменных Azure CLI см. в этой статье.

Если вы используете локальную установку Azure CLI, подключитесь к учетной записи Azure с помощью az login команды, прежде чем попробовать следующий сценарий.

az account set --subscription "XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX"

az feature show --name byoxPreview --namespace  Microsoft.CognitiveServices --output table

Если вы получите такой ответ, ваша подписка имеет доступ к BYOS.

Name                                     RegistrationState
---------------------------------------  -------------------
Microsoft.CognitiveServices/byoxPreview  Registered

Если вы получаете пустой ответ или RegistrationState значение NotRegistered , ваша подписка Azure не имеет доступа к BYOS и вам нужно запросить его.

Совет

Дополнительные команды, связанные с описанием функций предварительной версии подписки Azure в этой статье.

REST

Чтобы проверить, имеет ли подписка Azure доступ к функциям BYOS с помощью функций — запрос списка из REST API Azure Resource Manager.

Если у вашей подписки есть доступ к BYOS, ответ REST будет содержать следующий элемент:

{
  "properties": {
    "state": "Registered"
  },
  "id": "/subscriptions/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX/providers/Microsoft.Features/providers/Microsoft.CognitiveServices/features/byoxPreview",
  "type": "Microsoft.Features/providers/features",
  "name": "Microsoft.CognitiveServices/byoxPreview"
}

Если ответ REST не содержит ссылку на byoxPreview функцию или его состояние NotRegistered , подписка Azure не имеет доступа к BYOS и вам нужно запросить ее.

Планирование и подготовка учетной записи хранения

Если вы используете портал Azure для создания ресурса службы "Речь с поддержкой BYOS", связанная учетная запись хранения может быть создана автоматически. Для всех других методов подготовки (Azure CLI, PowerShell, запрос REST API) необходимо использовать существующую учетную запись хранения.

Если вы хотите использовать существующую учетную запись хранения и не планируете использовать метод портал Azure для подготовки ресурсов службы "Речь с поддержкой BYOS", обратите внимание на следующее:

• Вам потребуется полный идентификатор ресурса Azure учетной записи хранения. Чтобы получить его, перейдите к учетной записи хранения в портал Azure, а затем выберите пункт "Конечные точки" в группе "Параметры". Скопируйте и сохраните значение поля идентификатора ресурса учетной записи хранения.
• Чтобы полностью настроить BYOS, вам потребуется по крайней мере право владельца ресурса для выбранной учетной записи хранения.

Примечание.

Право владельца ресурса учетной записи хранения или более поздней версии не требуется для использования ресурса службы "Речь с поддержкой BYOS". Однако это необходимо в однократной начальной конфигурации учетной записи хранения для использования в сценарии BYOS. Дополнительные сведения см. в этом разделе.

Создание ресурса службы "Речь с поддержкой BYOS"

Убедитесь, что подписка Azure включена для использования BYOS, прежде чем пытаться создать ресурс "Речь". См . этот раздел.

Существует два способа создания ресурса службы "Речь с поддержкой BYOS":

• С портал Azure.
• С ПОМОЩЬЮ API Cognitive Services (PowerShell, Azure CLI, REST-запроса).

параметр портал Azure имеет более жесткие требования:

• Учетная запись, используемая для подготовки ресурсов службы "Речь с поддержкой BYOS", должна иметь право владельца подписки.
• Учетная запись хранения, связанная с BYOS, должна находиться только в том же регионе, что и ресурс "Речь".

Если какие-либо из этих дополнительных требований не соответствуют вашему сценарию, используйте параметр API Cognitive Services (PowerShell, Azure CLI, запрос REST).

Чтобы использовать любой из описанных выше методов, вам потребуется учетная запись Azure, назначаемая ролью, которая позволяет создавать ресурсы в вашей подписке, например участник подписки.

Портал Azure

Примечание.

Если вы используете портал Azure для создания ресурса службы "Речь с поддержкой BYOS", рекомендуется выбрать вариант создания учетной записи хранения.

Чтобы создать ресурс службы "Речь с поддержкой BYOS" с портал Azure, необходимо получить доступ к некоторым функциям предварительного просмотра портала. Выполните следующие шаги:

1. Перейдите на страницу создания речи с помощью этой ссылки.
2. Обратите внимание на раздел учетной записи хранения в нижней части страницы.
3. Выберите "Да ", чтобы использовать собственный параметр хранилища .
4. Настройте необходимые параметры учетной записи хранения и перейдите к созданию ресурса "Речь".

PowerShell

Чтобы создать ресурс службы "Речь с поддержкой BYOS" с помощью PowerShell, мы используем команду New-AzCognitiveServicesAccount .

Вы можете установить PowerShell локально или использовать Azure Cloud Shell.

Если вы используете локальную установку PowerShell, подключитесь к учетной записи Azure с помощью Connect-AzAccount команды, прежде чем попробовать следующий сценарий.

# Target subscription parameters
# REPLACE WITH YOUR CONFIGURATION VALUES
$azureSubscriptionId = "XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX"
$azureResourceGroup = "myResourceGroup"
$azureSpeechResourceName = "myBYOSSpeechResource"
$azureStorageAccount = <Full Storage account Azure Resource ID in the format of "/subscriptions/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX/resourceGroups/<resource_group_name>/providers/Microsoft.Storage/storageAccounts/<storage_account_name>">
$azureLocation = "eastus"

# Select the right subscription
Set-AzContext -SubscriptionId $azureSubscriptionId 

# Create BYOS-enabled Speech resource
New-AzCognitiveServicesAccount -ResourceGroupName $azureResourceGroup  -name $azureSpeechResourceName -Type SpeechServices -SkuName S0 -Location $azureLocation -AssignIdentity -Storage $azureStorageAccount

Azure CLI

Чтобы создать ресурс службы "Речь с поддержкой BYOS" с помощью Azure CLI, мы используем команду az cognitiveservices account create .

Вы можете установить Azure CLI локально или использовать Azure Cloud Shell.

Примечание.

Следующий скрипт не использует переменные, так как использование переменных отличается в зависимости от платформы, в которой выполняется Azure CLI. Сведения об использовании переменных Azure CLI см. в этой статье.

Если вы используете локальную установку Azure CLI, подключитесь к учетной записи Azure с помощью az login команды, прежде чем попробовать следующий сценарий.

az account set --subscription "XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX"

az cognitiveservices account create -n "myBYOSSpeechResource" -g "myResourceGroup" --assign-identity --kind SpeechServices --sku S0 -l eastus --yes --storage '[{"resourceId": "/subscriptions/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX/resourceGroups/<resource_group_name>/providers/Microsoft.Storage/storageAccounts/<storage_account_name>"}]'

Внимание

Этот скрипт будет работать в Azure Cloud Shell Bash. Если вы хотите использовать его в любой --storage другой среде, обратите особое внимание на формат значения параметра. См. следующие сведения.

Разные командные оболочки имеют разные правила для интерпретации кавычки в значениях параметров командной строки. Например, чтобы запустить тот же сценарий из командной строки Windows, --storage часть команды должна быть отформатирована следующим образом:

--storage "[{""resourceId"": ""/subscriptions/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX/resourceGroups/<resource_group_name>/providers/Microsoft.Storage/storageAccounts/<storage_account_name>""}]"

Общее правило заключается в том, что необходимо передать эту строку JSON в качестве значения --storage параметра:

[{"resourceId": "/subscriptions/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX/resourceGroups/<resource_group_name>/providers/Microsoft.Storage/storageAccounts/<storage_account_name>"}]

REST

Чтобы создать ресурс службы "Речь с поддержкой BYOS" с помощью REST Request to Cognitive Services API, мы используем учетные записи — создание запроса.

Необходимо иметь средства проверки подлинности. В этом разделе используется токен Microsoft Entra.

Этот фрагмент кода создает маркер Microsoft Entra с помощью интерактивного входа в браузер. Для нее требуется клиентская библиотека удостоверений Azure:

TokenRequestContext context = new Azure.Core.TokenRequestContext(new string[] { "https://management.azure.com/.default" });
InteractiveBrowserCredential browserCredential = new InteractiveBrowserCredential();
var aadToken = browserCredential.GetToken(context);
var token = aadToken.Token;

Теперь выполните запрос REST:

@ECHO OFF

curl -v -X PUT "https://management.azure.com/subscriptions/{AzureSubscriptionId}/resourceGroups/{myResourceGroup}/providers/Microsoft.CognitiveServices/accounts/{myBYOSSpeechResource}?api-version=2021-10-01"
-H "Content-Type: application/json"
-H "Authorization: Bearer {Value_of_token_variable}"

--data-ascii "{body}" 

Ниже приведен текст запроса:

{
  "location": "East US",
  "kind": "SpeechServices",
  "sku": {

  "name": "S0"
  },
  "properties": {
    "userOwnedStorage": [
    {
      "resourceId": "/subscriptions/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX/resourceGroups/<resource_group_name>/providers/Microsoft.Storage/storageAccounts/<storage_account_name>"
    }
  ]
  },
  "identity": {
    "type": "SystemAssigned"
  }
}

Если вы использовали портал Azure для создания ресурса службы "Речь с поддержкой BYOS", он полностью готов к использованию. Если вы использовали любой другой метод, необходимо выполнить назначение ролей для управляемого удостоверения ресурса "Речь" в пределах связанной учетной записи хранения. Во всех случаях также необходимо просмотреть различные параметры учетной записи хранения, связанные с безопасностью данных. См . этот раздел.

(Необязательно) Проверка конфигурации BYOS ресурса службы "Речь"

Вы всегда можете проверить, включен ли любой ресурс службы "Речь" и связанную учетную запись хранения. Это можно сделать с помощью портал Azure или через API Cognitive Services.

Портал Azure

Чтобы проверить конфигурацию ресурса службы "Речь" с портал Azure, необходимо получить доступ к некоторым функциям предварительного просмотра портала. Выполните следующие шаги:

1. Перейдите на страницу создания речи с помощью этой ссылки.
2. Закройте экран создания речи , нажав клавишу X в правом верхнем углу.
3. Если будет предложено отказаться от несохраненных изменений.
4. Перейдите к ресурсу службы "Речь", которую вы хотите проверить.
5. Выберите меню хранилища в группе управления ресурсами.
6. Убедитесь, что:
   1. Подключенное поле хранилища содержит идентификатор ресурса Azure связанной с BYOS учетной записи хранения.
   2. Тип удостоверения имеет выбранный параметр System Assigned .

Если элемент меню хранилища отсутствует в группе управления ресурсами, выбранный ресурс службы "Речь" не включен.

PowerShell

Используйте команду Get-AzCognitiveServicesAccount:

Get-AzCognitiveServicesAccount -ResourceGroupName "myResourceGroup" -name "myBYOSSpeechResource"

В выходных данных команды найдите userOwnedStorage группу параметров. Если ресурс службы "Речь" включен с поддержкой BYOS, группа имеет идентификатор ресурса Azure связанной учетной записи хранения. userOwnedStorage Если группа пуста или отсутствует, выбранный ресурс службы "Речь" не включен.

Azure CLI

Используйте команду az cognitiveservices account show:

az cognitiveservices account show -g "myResourceGroup" -n "myBYOSSpeechResource"

В выходных данных команды найдите userOwnedStorage группу параметров. Если ресурс службы "Речь" включен с поддержкой BYOS, группа имеет идентификатор ресурса Azure связанной учетной записи хранения. userOwnedStorage Если группа пуста или отсутствует, выбранный ресурс службы "Речь" не включен.

REST

Используйте учетные записи — получение запроса. В выходных данных запроса найдите userOwnedStorage группу параметров. Если ресурс службы "Речь" включен с поддержкой BYOS, группа имеет идентификатор ресурса Azure связанной учетной записи хранения. userOwnedStorage Если группа пуста или отсутствует, выбранный ресурс службы "Речь" не включен.

Настройка учетной записи хранения, связанной с BYOS

Чтобы обеспечить высокую безопасность и конфиденциальность данных, необходимо правильно настроить параметры связанной с BYOS учетной записи хранения. Если вы не использовали портал Azure для создания ресурса службы "Речь с поддержкой BYOS", необходимо также выполнить обязательный шаг назначения ролей.

Назначение роли доступа к ресурсам

Этот шаг является обязательным, если вы не использовали портал Azure для создания ресурса службы "Речь с поддержкой BYOS".

BYOS использует хранилище BLOB-объектов учетной записи хранения. Из-за этого управляемому удостоверению с поддержкой BYOS требуется назначение роли участника данных BLOB-объектов хранилища в пределах связанной с BYOS учетной записи хранения.

Внимание

Не используйте пользовательские назначения ролей вместо встроенной роли участника данных BLOB-объектов хранилища.

Сбой этого, скорее всего, приведет к сложной отладке ошибок службы и проблем, связанных с доступом к учетной записи хранения, связанной с BYOS.

Если вы использовали портал Azure для создания ресурса службы "Речь с поддержкой BYOS", можно пропустить остальную часть этого подраздела. Назначение роли уже выполнено. В противном случае выполните следующие действия.

Внимание

Для выполнения операции необходимо назначить роль владельца учетной записи хранения или более поздней области (например, подписку), чтобы выполнить операцию в следующих шагах. Это связано с тем, что только роль владельца может назначать роли другим пользователям. Дополнительные сведения см. здесь.

1. Откройте портал Azure и войдите в свою учетную запись Azure.
2. Выберите учетную запись хранения.
3. Выберите меню контроль доступа (IAM) в левой области.
4. Выберите " Добавить назначение ролей" в плитке "Предоставить доступ к этому ресурсу ".
5. Выберите участника данных BLOB-объектов хранилища в разделе "Роль " и нажмите кнопку "Далее".
6. Выберите управляемое удостоверение в разделе "Участники>" Назначить доступ.
7. Назначьте управляемое удостоверение ресурса "Речь" и выберите " Проверить и назначить".
8. После подтверждения параметров нажмите кнопку "Проверить и назначить".

Настройка параметров безопасности учетной записи хранения для преобразования речи в текст

В этом разделе описывается настройка параметров безопасности учетной записи хранения, если вы планируете использовать учетную запись хранения, связанную с BYOS, только для сценариев преобразования речи в текст. Если вы используете учетную запись хранения, связанную с BYOS, для преобразования текста в речь или сочетание речи в текст и текст, используйте этот раздел.

Для преобразования речи в текст BYOS используется доверенный механизм безопасности служб Azure для взаимодействия с учетной записью хранения. Механизм позволяет задать правила доступа к данным с ограниченным доступом к учетным записям хранения.

При выполнении всех действий в разделе учетная запись хранения находится в следующей конфигурации:

• Доступ ко всему внешнему сетевому трафику запрещен.
• Доступ к учетной записи хранения с помощью ключа учетной записи хранения запрещен.
• Доступ к хранилищу BLOB-объектов учетной записи хранения с помощью подписанных URL-адресов (SAS) запрещен. (За исключением SAS делегирования пользователей)
• Доступ к ресурсу службы "Речь с поддержкой BYOS" разрешен с помощью управляемого удостоверения, назначенного системой ресурсов.

Таким образом, ваша учетная запись хранения становится полностью заблокированной и может получить доступ только к ресурсу службы "Речь", который сможет:

• Написание артефактов обработки данных службы "Речь" (см. подробные сведения в статьях корреспондента).
• Прочитайте файлы, которые уже присутствовали на момент применения новой конфигурации. Например, исходные звуковые файлы для транскрибирования пакетной службы или файлов набора данных для обучения и тестирования пользовательской модели.

Эту конфигурацию следует рассматривать как модель, так как безопасность ваших данных обеспокоена и настраивать ее в соответствии с вашими потребностями.

Например, можно разрешить трафик из выбранных общедоступных IP-адресов и виртуальных сетей Azure. Вы также можете настроить доступ к учетной записи хранения с помощью частных конечных точек (см. также это руководство), повторно включить доступ с помощью ключа учетной записи хранения, разрешить доступ к другим доверенным службам Azure и т. д.

Примечание.

Использование частных конечных точек для службы "Речь" не требуется для защиты учетной записи хранения. Частные конечные точки для службы "Речь" защищают каналы для запросов API службы "Речь" и могут использоваться в качестве дополнительного компонента в решении.

Ограничение доступа к учетной записи хранения

1. Откройте портал Azure и войдите в свою учетную запись Azure.
2. Выберите учетную запись хранения.
3. В группе "Параметры" в левой области выберите "Конфигурация".
4. Выберите "Отключено " для предоставления общедоступного доступа к BLOB-объектам.
5. Выберите "Отключено " для разрешения доступа к ключу учетной записи хранения
6. Выберите Сохранить.

Дополнительные сведения см. в разделе "Запрет анонимного общедоступного доступа на чтение" к контейнерам и большим двоичным объектам и запрету авторизации общего ключа для учетной записи служба хранилища Azure.

Настройка брандмауэра служба хранилища Azure

Имея ограниченный доступ к учетной записи хранения, необходимо предоставить сетевой доступ к управляемому удостоверению ресурса "Речь". Выполните следующие действия, чтобы добавить доступ к ресурсу "Речь".

1. Откройте портал Azure и войдите в свою учетную запись Azure.

2. Выберите учетную запись хранения.

3. В группе "Безопасность и сеть" в левой области выберите "Сеть".

4. На вкладке "Брандмауэры и виртуальные сети" выберите "Включено" из выбранных виртуальных сетей и IP-адресов.

5. Отмените выбор всех флажков.

6. Убедитесь, что выбрана маршрутизация сети Майкрософт.

7. В разделе "Экземпляры ресурсов" выберите Microsoft.CognitiveServices/accounts в качестве типа ресурса и выберите ресурс службы "Речь" в качестве имени экземпляра.

8. Выберите Сохранить.

   Примечание.

   Для распространения изменений сети может потребоваться до 5 минут.

Настройка параметров безопасности учетной записи хранения для преобразования текста в речь

В этом разделе описывается настройка параметров безопасности учетной записи хранения, если вы планируете использовать учетную запись хранения, связанную с BYOS, для преобразования текста в речь или сочетание речи с речью и "Речь" и "Текст". Если вы используете учетную запись хранения, связанную с BYOS, только для преобразования речи в текст, используйте этот раздел.

Примечание.

Текст для речи требует более расслабленных параметров брандмауэра учетной записи хранения по сравнению с речью и текстом. Если вы используете речь как для текста, так и для текста и требуется максимально ограниченные параметры безопасности учетной записи хранения для защиты данных, можно рассмотреть возможность использования различных учетных записей хранения и соответствующих ресурсов службы "Речь" для задач "Речь в текст" и "Текст" для речи.

При выполнении всех действий в разделе учетная запись хранения находится в следующей конфигурации:

• Разрешен внешний сетевой трафик.
• Доступ к учетной записи хранения с помощью ключа учетной записи хранения запрещен.
• Доступ к хранилищу BLOB-объектов учетной записи хранения с помощью подписанных URL-адресов (SAS) запрещен. (За исключением SAS делегирования пользователей)
• Доступ к ресурсу службы "Речь с поддержкой BYOS" разрешен с помощью управляемого удостоверения, назначенного системой ресурсов, и SAS делегирования пользователей.

Это самые ограниченные параметры безопасности, возможные для сценария преобразования текста в речь. Их можно настроить в соответствии с вашими потребностями.

Ограничение доступа к учетной записи хранения

1. Откройте портал Azure и войдите в свою учетную запись Azure.
2. Выберите учетную запись хранения.
3. В группе "Параметры" в левой области выберите "Конфигурация".
4. Выберите "Отключено " для предоставления общедоступного доступа к BLOB-объектам.
5. Выберите "Отключено " для разрешения доступа к ключу учетной записи хранения
6. Выберите Сохранить.

Дополнительные сведения см. в разделе "Запрет анонимного общедоступного доступа на чтение" к контейнерам и большим двоичным объектам и запрету авторизации общего ключа для учетной записи служба хранилища Azure.

Настройка брандмауэра служба хранилища Azure

Настраиваемый нейронный голос использует SAS делегирования пользователей для чтения данных для обучения пользовательской модели нейронного голоса. Для этого требуется разрешить доступ внешнего сетевого трафика к учетной записи хранения.

1. Откройте портал Azure и войдите в свою учетную запись Azure.
2. Выберите учетную запись хранения.
3. В группе "Безопасность и сеть" в левой области выберите "Сеть".
4. На вкладке "Брандмауэры и виртуальные сети " выберите "Включено" из всех сетей.
5. Выберите Сохранить.

Настройка учетной записи хранения, связанной с BYOS, для использования с Speech Studio

Для многих операций Speech Studio , таких как отправка набора данных, или обучение и тестирование пользовательской модели, не требуется специальная конфигурация ресурса службы "Речь с поддержкой BYOS".

Однако если необходимо считывать данные, хранящиеся с учетной записью хранения, связанной с BYOS, через веб-интерфейс Speech Studio, необходимо настроить дополнительные параметры связанной с BYOS учетной записи хранения. Например, необходимо просмотреть содержимое набора данных.

Настройка общего доступа к ресурсам независимо от источника (CORS)

Для выполнения запросов к хранилищу BLOB-объектов связанной с BYOS учетной записи хранения, связанной с Speech Studio, требуется разрешение. Чтобы предоставить такое разрешение, используйте совместное использование ресурсов между источниками (CORS). Выполните следующие действия.

1. Откройте портал Azure и войдите в свою учетную запись Azure.
2. Выберите учетную запись хранения.
3. В группе "Параметры" в левой области выберите "Общий доступ к ресурсам" (CORS).
4. Убедитесь, что выбрана вкладка хранилища BLOB-объектов.
5. Настройте следующую запись:
   • Допустимые источники: https://speech.microsoft.com
   • Разрешенные методы: GET, OPTIONS
   • Разрешенные заголовки: *
   • Открытые заголовки: *
   • Максимальный возраст: 1000
6. Выберите Сохранить.

Предупреждение

Поле разрешенных источников должно содержать URL-адрес без косой черты. Это должно быть https://speech.microsoft.com, а не https://speech.microsoft.com/. Добавление конечной косой черты приведет к тому, что Speech Studio не отображает подробные сведения о наборах данных и тестах модели.

Настройка брандмауэра служба хранилища Azure

Необходимо разрешить доступ к компьютеру, где вы запускаете браузер с помощью Speech Studio. Если параметры брандмауэра учетной записи хранения разрешают общедоступный доступ из всех сетей, можно пропустить этот подраздел. В противном случае выполните следующие действия.

1. Откройте портал Azure и войдите в свою учетную запись Azure.
2. Выберите учетную запись хранения.
3. В группе "Безопасность и сеть" в левой области выберите "Сеть".
4. В разделе брандмауэра введите IP-адрес компьютера, на котором выполняется веб-браузер или IP-подсеть, к которой принадлежит IP-адрес компьютера.
5. Выберите Сохранить.

Следующие шаги

• Использование собственного ресурса службы "Речь" (BYOS) для преобразования речи в текст