Управление доступом на основе ролей для ресурсов службы "Речь"
Доступ и разрешения для ресурсов службы "Речь" можно контролировать с помощью управления доступом на основе ролей Azure (Azure RBAC). Назначенные роли в разных ресурсах службы "Речь" могут различаться. Например, можно назначить роль ресурсу службы "Речь", который следует использовать только для обучения пользовательской модели речи. Вы можете назначить ресурсу службы "Речь", который используется для транскрибирования звуковых файлов, другую роль. В зависимости от того, кто может получить доступ к каждому ресурсу службы "Речь", вы можете задавать разные уровни доступа для каждого приложения или пользователя. Дополнительные сведения об Azure RBAC см. в документации по Azure RBAC.
Примечание.
Ресурс службы "Речь" может наследовать несколько ролей, или их можно ему назначить. Окончательный уровень доступа к ресурсу — это сочетание всех разрешений ролей.
Роли для ресурсов службы "Речь"
Определение роли представляет собой коллекцию разрешений. При создании ресурса "Речь" встроенные роли в следующей таблице доступны для назначения.
Предупреждение
Архитектура службы "Речь" отличается от других служб ИИ Azure так, как она использует плоскость управления Azure и плоскость данных. Служба "Речь" широко использует плоскость данных по сравнению с другими службами ИИ Azure, поэтому для ролей требуется другая настройка. Из-за этого некоторые общие роли Cognitive Services имеют фактический набор прав доступа, который точно не соответствует их имени при использовании в сценарии служб распознавания речи. Например, пользователь Cognitive Services предоставляет права участника, а участник Cognitive Services не предоставляет никакого доступа. То же самое верно для универсальных ролей владельца и участника , которые не имеют прав на плоскость данных и поэтому не предоставляют доступ к ресурсу службы "Речь". Чтобы обеспечить согласованность, рекомендуется использовать роли, содержащие речь в их именах. Эти роли — участник речи Cognitive Services и участник речи Cognitive Services. Их наборы прав доступа были разработаны специально для службы "Речь". Если вы хотите использовать общие роли Cognitive Services и универсальные роли Azure, мы просим вас тщательно изучить следующую таблицу доступа.
| Роль | Разрешение на получение списка ключей ресурсов | Доступ к данным, моделям и конечным точкам в пользовательских проектах | Доступ к API транскрибирования речи и синтеза |
|---|---|---|---|
| Ответственное лицо | Да | Не допускается | No |
| Участник | Да | Не допускается | No |
| Участник служб Cognitive Services | Да | Не допускается | No |
| Пользователь служб Cognitive Services | Да | Просмотр, создание, изменение и удаление | Да |
| Участник службы "Речь" в Cognitive Services | No | Просмотр, создание, изменение и удаление | Да |
| Пользователь службы "Речь" в Cognitive Services | No | Только просмотр | Да |
| Модуль чтения данных Cognitive Services (предварительная версия) | No | Только просмотр | Да |
Внимание
Наличие у роли разрешений на получение списка ключей ресурсов важно для проверки подлинности в Speech Studio. Чтобы получить список ключей ресурсов, роль должна иметь разрешение на выполнение операции Microsoft.CognitiveServices/accounts/listKeys/action. Обратите внимание: если проверка подлинности с использованием ключа отключена на портале Azure, ни одна из ролей не сможет получить список ключей.
Если ресурс службы "Речь" может иметь полный доступ на чтение и запись к проектам, оставьте встроенные роли без изменений.
Для более точного управления доступом к ресурсам можно добавлять или удалять роли с помощью портала Azure. Например, можно создать пользовательскую роль с разрешением на отправку пользовательских наборов данных речи, но без разрешения на развертывание пользовательской модели речи в конечной точке.
Проверка подлинности с помощью ключей и маркеров
Предоставляемые вам разрешения определяются ролями. Для использования ресурса службы "Речь" требуется проверка подлинности.
Для проверки подлинности с помощью ключей ресурсов службы "Речь" необходимо указать ключ и регион. Для проверки подлинности с помощью маркера Microsoft Entra ресурс "Речь" должен иметь настраиваемый поддомен и использовать частную конечную точку. Служба "Речь" использует пользовательские поддомены только с частными конечными точками.
Проверка подлинности с использованием пакета SDK службы "Речь"
Для пакета SDK можно настроить проверку подлинности с помощью ключа ресурса службы "Речь" или маркера Microsoft Entra. Дополнительные сведения см. в разделе проверки подлинности Microsoft Entra с помощью пакета SDK службы "Речь".
Проверка подлинности в Speech Studio
После входа в Speech Studio выберите подписку и ресурс службы "Речь". Вы не выбираете, следует ли проходить проверку подлинности с помощью ключа ресурса службы "Речь" или маркера Microsoft Entra. Speech Studio получает ключ или маркер из ресурса службы "Речь" автоматически. Если одна из назначенных ролей имеет разрешение на перечисление ключей ресурсов, Speech Studio проходит проверку подлинности с помощью ключа. В противном случае Speech Studio проходит проверку подлинности с помощью маркера Microsoft Entra.
Если Speech Studio использует маркер Microsoft Entra, но ресурс службы "Речь" не имеет настраиваемого поддомена и частной конечной точки, вы не можете использовать некоторые функции в Speech Studio. Например, ресурс "Речь" можно использовать для обучения пользовательской модели речи, но вы не можете использовать пользовательскую модель речи для транскрибирования звуковых файлов.
| Учетные данные для проверки подлинности | Доступность функций |
|---|---|
| Ключ ресурса службы "Речь" | Полный доступ. Конфигурация роли игнорируется, если используется ключ ресурса. |
| Токен Microsoft Entra с пользовательским поддоменом и частной конечной точкой | Полный доступ ограничен только разрешениями назначенной роли. |
| Токен Microsoft Entra без настраиваемого поддомена и частной конечной точки (не рекомендуется) | Возможности ограничены. Например, ресурс "Речь" можно использовать для обучения пользовательской модели речи или пользовательского нейронного голоса. Но вы не можете использовать пользовательскую модель речи или пользовательский нейронный голос. |