Konfigurera BYOS-talresursen (Bring Your Own Storage)
Bring Your Own Storage (BYOS) är en Azure AI-teknik för kunder som har höga krav på datasäkerhet och sekretess. Kärnan i tekniken är möjligheten att associera ett Azure Storage-konto, som användaren äger och helt kontrollerar med Speech-resursen. Speech-resursen använder sedan det här lagringskontot för att lagra olika artefakter relaterade till bearbetning av användardata, i stället för att lagra samma artefakter i Speech-tjänstens lokaler som det görs i det vanliga fallet. Med den här metoden kan du använda alla säkerhetsfunktioner i Azure Storage-kontot, inklusive att kryptera data med kundhanterade nycklar, använda privata slutpunkter för att komma åt data osv.
I BYOS-scenarier underhålls all trafik mellan Speech-resursen och lagringskontot med hjälp av det globala Azure-nätverket, med andra ord all kommunikation utförs med privat nätverk, vilket helt kringgår offentligt Internet. Talresursen i BYOS-scenariot använder Azure Trusted Services-mekanismen för att komma åt lagringskontot, förlitar sig på systemtilldelade hanterade identiteter som en autentiseringsmetod och rollbaserad åtkomstkontroll (RBAC) som auktoriseringsmetod.
Det finns ett undantag: om du använder Text till tal och din Speech-resurs och det associerade lagringskontot finns i olika Azure-regioner, används offentligt Internet för åtgärderna, med SAS för användardelegering. Mer information finns i det här avsnittet.
BYOS kan användas med flera Azure AI-tjänster. För Speech kan det användas i följande scenarier:
Tal till text
- Batch-transkription
- Transkription i realtid med loggning av ljud- och transkriptionsresultat aktiverat
- Anpassat tal (anpassade modeller för taligenkänning)
Text till tal
- Skapa ljudinnehåll
- Anpassad neural röst (anpassade modeller för talsyntetisering)
En Speech-resurs – Kombination av lagringskonto kan användas för alla fyra scenarier samtidigt i alla kombinationer.
Den här artikeln beskriver hur du skapar och underhåller BYOS-aktiverad talresurs och gäller för alla nämnda scenarier. Se scenariospecifik information i motsvarande artiklar.
BYOS-aktiverad Talresurs: Grundläggande regler
Tänk på följande regler när du planerar BYOS-aktiverad talresurskonfiguration:
- Talresursen kan endast vara BYOS-aktiverad när den skapas. Det går inte att konvertera den befintliga Speech-resursen till BYOS-aktiverad. BYOS-aktiverad Talresurs kan inte konverteras till den "konventionella" (icke-BYOS) en.
- Lagringskontoassociation med Speech-resursen deklareras när talresursen skapas. Du kan inte ändra den här inställningen senare. Du kan alltså inte ändra vilket lagringskonto som är associerat med den befintliga BYOS-aktiverade Speech-resursen. Om du vill använda ett annat Lagringskonto måste du skapa en annan BYOS-aktiverad Speech-resurs.
- När du skapar en BYOS-aktiverad Speech-resurs kan du använda ett befintligt lagringskonto eller skapa ett automatiskt under etablering av Speech-resurser (det senare är endast giltigt när du använder Azure Portal).
- Ett lagringskonto kan associeras med många Speech-resurser. Vi rekommenderar att du använder ett lagringskonto per en Speech-resurs.
- Lagringskontot och den relaterade BYOS-aktiverade Speech-resursen kan finnas i samma eller olika Azure-regioner. Vi rekommenderar att du använder samma region för att minimera svarstiden. Av samma anledning rekommenderar vi inte att du väljer för fjärranslutna regioner för konfiguration av flera regioner. (Vi rekommenderar till exempel inte att du placerar lagringskontot i USA, östra och den associerade Speech-resursen i Europa, västra).
Skapa och konfigurera BYOS-aktiverad Speech-resurs
I det här avsnittet beskrivs hur du skapar en BYOS-aktiverad Speech-resurs.
Begär åtkomst till BYOS för dina Azure-prenumerationer
Du måste begära åtkomst till BYOS-funktioner för var och en av de Azure-prenumerationer som du planerar att använda. Om du vill begära åtkomst fyller du i och skickar Cognitive Services & Applied AI Customer Managed Keys och Bring Your Own Storage-formuläret för åtkomstbegäran. Vänta tills begäran har godkänts.
(Valfritt) Kontrollera om Azure-prenumerationen har åtkomst till BYOS
Du kan snabbt kontrollera om din Azure-prenumeration har åtkomst till BYOS. I den här kontrollen används funktioner för förhandsgranskningsfunktioner i Azure.
Den här funktionen är inte tillgänglig via Azure Portal.
Kommentar
Du kan visa listan över förhandsversionsfunktioner för en viss Azure-prenumeration enligt beskrivningen i den här artikeln, men observera att inte alla förhandsversionsfunktioner, inklusive BYOS, är synliga på det här sättet.
Planera och förbereda ditt lagringskonto
Om du använder Azure Portal för att skapa en BYOS-aktiverad Speech-resurs kan ett associerat lagringskonto skapas automatiskt. För alla andra etableringsmetoder (Azure CLI, PowerShell, REST API Request) måste du använda ett befintligt lagringskonto.
Om du vill använda ett befintligt lagringskonto och inte tänker använda Azure Portal metod för BYOS-aktiverad speech-resursetablering bör du tänka på följande om det här lagringskontot:
- Du behöver det fullständiga Azure-resurs-ID:t för lagringskontot. Om du vill hämta det navigerar du till lagringskontot i Azure Portal och väljer sedan Menyn Slutpunkter från gruppen Inställningar. Kopiera och lagra värdet för resurs-ID-fältet för lagringskontot.
- För att fullständigt konfigurera BYOS behöver du minst resursägarrätt för det valda lagringskontot.
Kommentar
Lagringskontots resursägare eller högre krävs inte för att använda en BYOS-aktiverad Speech-resurs. Det krävs dock under den första engångskonfigurationen av lagringskontot för användningen i BYOS-scenariot. Mer information finns i det här avsnittet.
Skapa BYOS-aktiverad Speech-resurs
Kontrollera att din Azure-prenumeration är aktiverad för användning av BYOS innan du försöker skapa Speech-resursen. Se det här avsnittet.
Det finns två sätt att skapa en BYOS-aktiverad Speech-resurs:
- Med Azure Portal.
- Med Cognitive Services API (PowerShell, Azure CLI, REST-begäran).
Azure Portal alternativet har strängare krav:
- Kontot som används för BYOS-aktiverad speech-resursetablering ska ha rätt till prenumerationsägaren.
- BYOS-associerat lagringskonto bör endast finnas i samma region som Speech-resursen.
Om något av dessa extra krav inte passar ditt scenario använder du api-alternativet Cognitive Services (PowerShell, Azure CLI, REST-begäran).
Om du vill använda någon av metoderna ovan behöver du ett Azure-konto som har tilldelats en roll som gör det möjligt att skapa resurser i din prenumeration, till exempel Prenumerationsdeltagare.
Kommentar
Om du använder Azure Portal för att skapa en BYOS-aktiverad Speech-resurs rekommenderar vi att du väljer alternativet att skapa ett nytt lagringskonto.
Om du vill skapa en BYOS-aktiverad Speech-resurs med Azure Portal måste du komma åt vissa funktioner för portalförhandsgranskning. Utför följande steg:
- Gå till sidan Skapa tal med den här länken.
- Observera avsnittet Lagringskonto längst ned på sidan.
- Välj Ja för Alternativet Ta med egen lagring .
- Konfigurera nödvändiga inställningar för lagringskontot och fortsätt med att skapa Tal-resursen.
Om du använde Azure Portal för att skapa en BYOS-aktiverad talresurs är den helt redo att användas. Om du använde någon annan metod måste du utföra rolltilldelningen för den hanterade identiteten för Speech-resursen inom omfånget för det associerade lagringskontot. I samtliga fall måste du också granska olika inställningar för lagringskonto som rör datasäkerhet. Se det här avsnittet.
(Valfritt) Verifiera BYOS-konfiguration för Speech-resurs
Du kan alltid kontrollera om en viss Speech-resurs är BYOS-aktiverad och vad som är det associerade lagringskontot. Du kan göra det antingen via Azure Portal eller via Cognitive Services API.
Om du vill kontrollera BYOS-konfigurationen av en Speech-resurs med Azure Portal måste du komma åt vissa portalförhandsgranskningsfunktioner. Utför följande steg:
- Gå till sidan Skapa tal med den här länken.
- Stäng Skärmen Skapa tal genom att trycka på X i det högra övre hörnet.
- Om du uppmanas att godkänna att ignorera ändringar som inte har sparats.
- Gå till den Talresurs som du vill kontrollera.
- Välj Lagringsmenyn i gruppen Resurshantering .
- Kontrollera att:
- Det anslutna lagringsfältet innehåller Azure-resurs-ID:t för det BYOS-associerade lagringskontot.
- Identitetstypen har systemtilldelad vald.
Om menyalternativet Lagring saknas i resurshanteringsgruppen är den valda Talresursen inte BYOS-aktiverad.
Konfigurera BYOS-associerat lagringskonto
För att uppnå hög säkerhet och sekretess för dina data måste du konfigurera inställningarna för det BYOS-associerade lagringskontot korrekt. Om du inte använde Azure Portal för att skapa din BYOS-aktiverade Speech-resurs måste du också utföra ett obligatoriskt steg i rolltilldelningen.
Tilldela resursåtkomstroll
Det här steget är obligatoriskt om du inte använde Azure Portal för att skapa din BYOS-aktiverade Speech-resurs.
BYOS använder Blob Storage för ett lagringskonto. Därför behöver BYOS-aktiverad hanterad speechresursidentitet rolltilldelning för Lagringsblobdatadeltagare inom omfånget för BYOS-associerat lagringskonto.
Varning
Använd inte anpassade rolltilldelningar i stället för den inbyggda rollen Storage Blob Data-deltagare .
Om du inte gör det är det mycket troligt att det blir svårt att felsöka tjänstfel och problem som rör åtkomst till BYOS-associerat lagringskonto.
Om du använde Azure Portal för att skapa din BYOS-aktiverade talresurs kan du hoppa över resten av det här underavsnittet. Rolltilldelningen är redan klar. Annars följer du de här stegen.
Viktigt!
Du måste tilldelas rollen Ägare för lagringskontot eller högre omfång (t.ex. prenumeration) för att utföra åtgärden i nästa steg. Det beror på att endast rollen Ägare kan tilldela roller till andra. Mer information finns här
- Gå till Azure-portalen och logga in på ditt Azure-konto.
- Välj lagringskontot.
- Välj menyn Åtkomstkontroll (IAM) i den vänstra rutan.
- Välj Lägg till rolltilldelning i panelen Bevilja åtkomst till den här resursen .
- Välj Lagringsblobdatadeltagare under Roll och välj sedan Nästa.
- Välj Hanterad identitet under Medlemmar>Tilldela åtkomst till.
- Tilldela den hanterade identiteten för din Speech-resurs och välj sedan Granska + tilldela.
- När du har bekräftat inställningarna väljer du Granska + tilldela.
Konfigurera säkerhetsinställningar för lagringskonto för Tal till text
I det här avsnittet beskrivs hur du konfigurerar säkerhetsinställningar för lagringskontot om du tänker använda BYOS-associerat lagringskonto endast för tal till text-scenarier. Om du använder det BYOS-associerade lagringskontot för text till tal eller en kombination av både Tal till text och Text till tal använder du det här avsnittet.
För Tal till text använder BYOS den betrodda Säkerhetsmekanismen för Azure-tjänster för att kommunicera med lagringskontot. Mekanismen gör det möjligt att ange regler för åtkomst till begränsade lagringskonton.
Om du utför alla åtgärder i avsnittet finns lagringskontot i följande konfiguration:
- Åtkomst till all extern nätverkstrafik är förbjuden.
- Åtkomst till lagringskonto med hjälp av lagringskontonyckeln är förbjuden.
- Åtkomst till Lagringskontots bloblagring med hjälp av signaturer för delad åtkomst (SAS) är förbjuden. (Med undantag för SAS för användardelegering)
- Åtkomst till den BYOS-aktiverade Speech-resursen tillåts med hjälp av resurssystemets tilldelade hanterade identitet.
I själva verket blir ditt Lagringskonto helt "låst" och kan endast nås av din Speech-resurs, vilket kommer att kunna:
- Skriva artefakter från din taldatabearbetning (se information i korrespondentartiklarna),
- Läs de filer som redan fanns när den nya konfigurationen tillämpades. Till exempel källljudfiler för Batch-transkription eller Datauppsättningsfiler för anpassad modellträning och testning.
Du bör betrakta den här konfigurationen som en modell när det gäller säkerheten för dina data och anpassa den efter dina behov.
Du kan till exempel tillåta trafik från valda offentliga IP-adresser och virtuella Azure-nätverk. Du kan också konfigurera åtkomst till ditt Lagringskonto med hjälp av privata slutpunkter (se även den här självstudien), återaktivera åtkomst med hjälp av lagringskontonyckel, tillåta åtkomst till andra betrodda Azure-tjänster osv.
Kommentar
Det krävs inte att du använder privata slutpunkter för Speech för att skydda lagringskontot. Privata slutpunkter för Speech skyddar kanalerna för Speech API-begäranden och kan användas som en extra komponent i din lösning.
Begränsa åtkomsten till lagringskontot
- Gå till Azure-portalen och logga in på ditt Azure-konto.
- Välj lagringskontot.
- I gruppen Inställningar i den vänstra rutan väljer du Konfiguration.
- Välj Inaktiverad för Tillåt offentlig blobåtkomst.
- Välj Inaktiverad för Tillåt åtkomst till lagringskontonyckel
- Välj Spara.
Mer information finns i Förhindra anonym offentlig läsåtkomst till containrar och blobar och Förhindra auktorisering av delad nyckel för ett Azure Storage-konto.
Konfigurera Azure Storage-brandväggen
Om du har begränsad åtkomst till lagringskontot måste du bevilja nätverksåtkomst till din hanterade identitet för Speech-resursen. Följ de här stegen för att lägga till åtkomst för Speech-resursen.
Gå till Azure-portalen och logga in på ditt Azure-konto.
Välj lagringskontot.
I gruppen Säkerhet + nätverk i den vänstra rutan väljer du Nätverk.
På fliken Brandväggar och virtuella nätverk väljer du Aktiverad från valda virtuella nätverk och IP-adresser.
Avmarkera alla kryssrutor.
Kontrollera att Microsofts nätverksroutning är markerad.
Under avsnittet Resursinstanser väljer du Microsoft.CognitiveServices/accounts som resurstyp och väljer din Speech-resurs som instansnamn.
Välj Spara.
Kommentar
Det kan ta upp till 5 minuter innan nätverksändringarna sprids.
Konfigurera säkerhetsinställningar för lagringskonto för text till tal
I det här avsnittet beskrivs hur du konfigurerar säkerhetsinställningar för lagringskontot, om du tänker använda BYOS-associerat lagringskonto för text till tal eller en kombination av både Tal till text och Text till tal. Om du endast använder det BYOS-associerade lagringskontot för Tal till text använder du det här avsnittet.
Kommentar
Text till tal kräver mer avslappnade inställningar av brandväggen för lagringskontot jämfört med Tal till text. Om du använder både Tal till text och Text till tal och behöver maximalt begränsade säkerhetsinställningar för lagringskontot för att skydda dina data kan du överväga att använda olika lagringskonton och motsvarande Speech-resurser för tal till text och text till tal-uppgifter.
Om du utför alla åtgärder i avsnittet finns lagringskontot i följande konfiguration:
- Extern nätverkstrafik tillåts.
- Åtkomst till lagringskonto med hjälp av lagringskontonyckeln är förbjuden.
- Åtkomst till Lagringskontots bloblagring med hjälp av signaturer för delad åtkomst (SAS) är förbjuden. (Med undantag för SAS för användardelegering)
- Åtkomst till den BYOS-aktiverade Speech-resursen tillåts med hjälp av resurssystemets tilldelade hanterade identitet och SAS för användardelegering.
Det här är de mest begränsade säkerhetsinställningarna som är möjliga för text till tal-scenariot. Du kan anpassa dem ytterligare efter dina behov.
Begränsa åtkomsten till lagringskontot
- Gå till Azure-portalen och logga in på ditt Azure-konto.
- Välj lagringskontot.
- I gruppen Inställningar i den vänstra rutan väljer du Konfiguration.
- Välj Inaktiverad för Tillåt offentlig blobåtkomst.
- Välj Inaktiverad för Tillåt åtkomst till lagringskontonyckel
- Välj Spara.
Mer information finns i Förhindra anonym offentlig läsåtkomst till containrar och blobar och Förhindra auktorisering av delad nyckel för ett Azure Storage-konto.
Konfigurera Azure Storage-brandväggen
Anpassad neural röst använder SAS för användardelegering för att läsa data för anpassad neural röstmodellträning. Det kräver att extern nätverkstrafik får åtkomst till lagringskontot.
- Gå till Azure-portalen och logga in på ditt Azure-konto.
- Välj lagringskontot.
- I gruppen Säkerhet + nätverk i den vänstra rutan väljer du Nätverk.
- På fliken Brandväggar och virtuella nätverk väljer du Aktiverad från alla nätverk.
- Välj Spara.
Konfigurera BYOS-associerat lagringskonto för användning med Speech Studio
Många Speech Studio-åtgärder som uppladdning av datamängder eller träning och testning av anpassade modeller kräver inte någon särskild konfiguration av en BYOS-aktiverad Talresurs.
Men om du behöver läsa data som lagras med ett BYOS-associerat lagringskonto via Speech Studio-webbgränssnittet måste du konfigurera fler inställningar för ditt BYOS-associerade lagringskonto. Det är till exempel nödvändigt att visa innehållet i en datamängd.
Konfigurera resursdelning mellan ursprung (CORS)
Speech Studio behöver behörighet att göra begäranden till Blob Storage för det BYOS-associerade lagringskontot. Om du vill bevilja sådan behörighet använder du CORS (Cross-Origin Resource Sharing). Följ dessa steg.
- Gå till Azure-portalen och logga in på ditt Azure-konto.
- Välj lagringskontot.
- Välj Resursdelning (CORS) i gruppen Inställningar i den vänstra rutan.
- Kontrollera att fliken Blob Storage är markerad.
- Konfigurera följande post:
- Tillåtet ursprung:
https://speech.microsoft.com
- Tillåtna metoder:
GET
,OPTIONS
- Tillåtna rubriker:
*
- Synliga rubriker:
*
- Max ålder:
1000
- Tillåtet ursprung:
- Välj Spara.
Varning
Fältet Tillåtet ursprung ska innehålla URL utan avslutande snedstreck. Det är det ska vara https://speech.microsoft.com
, och inte https://speech.microsoft.com/
. Om du lägger till avslutande snedstreck visas inte information om datauppsättningar och modelltester i Speech Studio.
Konfigurera Azure Storage-brandväggen
Du måste tillåta åtkomst för datorn, där du kör webbläsaren med Speech Studio. Om brandväggsinställningarna för lagringskontot tillåter offentlig åtkomst från alla nätverk kan du hoppa över det här underavsnittet. Annars följer du de här stegen.
- Gå till Azure-portalen och logga in på ditt Azure-konto.
- Välj lagringskontot.
- I gruppen Säkerhet + nätverk i den vänstra rutan väljer du Nätverk.
- I avsnittet Brandvägg anger du antingen IP-adressen för den dator där du kör webbläsaren eller IP-undernätet, som datorns IP-adress tillhör.
- Välj Spara.