Nastavení prostředku Služby Speech přineste si vlastní úložiště (BYOS)
Přineste si vlastní úložiště (BYOS) je technologie Azure AI pro zákazníky, kteří mají vysoké požadavky na zabezpečení dat a ochranu osobních údajů. Jádrem technologie je možnost přidružit účet Azure Storage, který uživatel vlastní a plně řídí s prostředkem služby Speech. Prostředek služby Speech pak používá tento účet úložiště k ukládání různých artefaktů souvisejících se zpracováním uživatelských dat místo ukládání stejných artefaktů v místním prostředí služby Speech, jak se provádí v běžném případě. Tento přístup umožňuje používat všechny sady funkcí zabezpečení účtu Azure Storage, včetně šifrování dat pomocí klíčů spravovaných zákazníkem, použití privátních koncových bodů pro přístup k datům atd.
Ve scénářích BYOS se veškerý provoz mezi prostředkem služby Speech a účtem úložiště udržuje pomocí globální sítě Azure, jinými slovy veškerá komunikace se provádí pomocí privátní sítě a zcela obchází veřejný internet. Prostředek služby Speech ve scénáři BYOS používá mechanismus důvěryhodných služeb Azure pro přístup k účtu úložiště, spoléhá na spravované identity přiřazené systémem jako metodu ověřování a řízení přístupu na základě role (RBAC) jako metodu autorizace.
Existuje jedna výjimka: pokud používáte převod textu na řeč a váš prostředek služby Speech a přidružený účet úložiště se nacházejí v různých oblastech Azure, pak se pro operace používá veřejný internet, který zahrnuje SAS delegování uživatele. Podrobnosti najdete v této části.
BYOS je možné použít s několika službami Azure AI. Pro službu Speech ji můžete použít v následujících scénářích:
Převod řeči na text
- Dávkový přepis
- Přepis v reálném čase s povoleným protokolováním výsledků zvuku a přepisu
- Vlastní řeč (vlastní modely pro rozpoznávání řeči)
Převod textu na řeč
- Vytváření zvukového obsahu
- Vlastní neurální hlas (vlastní modely pro syntezizaci řeči)
Jeden prostředek služby Speech – Kombinace účtu úložiště se dá použít pro všechny čtyři scénáře současně ve všech kombinacích.
Tento článek popisuje, jak vytvořit a udržovat prostředek služby Speech s podporou BYOS a použitelný pro všechny uvedené scénáře. Informace specifické pro scénář najdete v odpovídajících článcích.
Prostředek služby Speech s podporou BYOS: Základní pravidla
Při plánování konfigurace prostředků služby Speech s podporou BYOS zvažte následující pravidla:
- Prostředek služby Speech může být povolený pouze při vytváření BYOS. Existující prostředek služby Speech se nedá převést na byos s povoleným prostředím. Prostředek služby Speech s podporou BYOS se nedá převést na "konvenční" prostředek (jiný než BYOS).
- Přidružení účtu úložiště k prostředku služby Speech se deklaruje během vytváření prostředku služby Speech. Potom už ji nelze změnit. To znamená, že nemůžete změnit účet úložiště přidružený k existujícímu prostředku služby Speech s podporou BYOS. Pokud chcete použít jiný účet úložiště, musíte vytvořit další prostředek služby Speech s podporou BYOS.
- Při vytváření prostředku služby Speech s podporou BYOS můžete použít existující účet úložiště nebo ho vytvořit automaticky během zřizování prostředků služby Speech (ten je platný jenom při použití webu Azure Portal).
- Jeden účet úložiště může být přidružený k mnoha prostředkům služby Speech. Doporučujeme použít jeden účet úložiště na jeden prostředek služby Speech.
- Účet úložiště a související prostředek služby Speech s podporou BYOS se dají nacházet ve stejných nebo různých oblastech Azure. K minimalizaci latence doporučujeme použít stejnou oblast. Ze stejného důvodu nedoporučujeme vybírat příliš vzdálené oblasti pro konfiguraci více oblastí. (Například nedoporučujeme umisťovat účet úložiště do oblasti USA – východ a přidružený prostředek služby Speech v oblasti Západní Evropa).
Vytvoření a konfigurace prostředku služby Speech s podporou BYOS
Tato část popisuje, jak vytvořit prostředek služby Speech s podporou BYOS.
Vyžádání přístupu k BYOS pro předplatná Azure
Potřebujete požádat o přístup k funkcím BYOS pro každé předplatné Azure, které plánujete použít. Pokud chcete požádat o přístup, vyplňte a odešlete kognitivní služby a použité klíče spravované zákazníkem AI a formulář žádosti o přístup k vlastnímu úložišti. Počkejte na schválení žádosti.
(Volitelné) Kontrola, jestli má předplatné Azure přístup k BYOS
Můžete rychle zkontrolovat, jestli má vaše předplatné Azure přístup k BYOS. Tato kontrola používá funkce Azure ve verzi Preview.
Tato funkce není dostupná prostřednictvím webu Azure Portal.
Poznámka:
Můžete zobrazit seznam funkcí preview pro dané předplatné Azure, jak je vysvětleno v tomto článku, ale všimněte si, že tímto způsobem nejsou viditelné všechny funkce preview, včetně FUNKCE BYOS.
Plánování a příprava účtu úložiště
Pokud k vytvoření prostředku služby Speech s podporou BYOS použijete Azure Portal, můžete automaticky vytvořit přidružený účet úložiště. Pro všechny ostatní metody zřizování (Azure CLI, PowerShell, požadavek rozhraní REST API) musíte použít existující účet úložiště.
Pokud chcete použít existující účet úložiště a nemáte v úmyslu používat metodu webu Azure Portal pro zřizování prostředků služby Speech s podporou BYOS, mějte na paměti následující informace týkající se tohoto účtu úložiště:
- Potřebujete úplné ID prostředku Azure účtu úložiště. Pokud ho chcete získat, přejděte na web Azure Portal k účtu úložiště a pak ve skupině Nastavení vyberte nabídku Koncové body. Zkopírujte a uložte hodnotu pole ID prostředku účtu úložiště.
- Pokud chcete plně nakonfigurovat BYOS, potřebujete alespoň právo vlastníka prostředku pro vybraný účet úložiště.
Poznámka:
K použití prostředku služby Speech s podporou BYOS se nevyžaduje oprávnění vlastníka prostředku účtu úložiště nebo vyšší. Vyžaduje se však během jednorázové počáteční konfigurace účtu úložiště pro použití ve scénáři BYOS. Podrobnosti najdete v této části.
Vytvoření prostředku služby Speech s podporou BYOS
Než se pokusíte vytvořit prostředek služby Speech, ujistěte se, že je pro vaše předplatné Azure povolené používání BYOS. Podívejte se na tuto část.
Existují dva způsoby vytvoření prostředku služby Speech s podporou BYOS:
- Pomocí webu Azure Portal.
- S využitím rozhraní API služeb Cognitive Services (PowerShell, Azure CLI, požadavek REST)
Možnost webu Azure Portal má přísnější požadavky:
- Účet používaný pro zřizování prostředků služby Speech s podporou BYOS by měl mít právo vlastníka předplatného.
- Účet úložiště přidružený k BYOS by měl být umístěn pouze ve stejné oblasti jako prostředek služby Speech.
Pokud některé z těchto dodatečných požadavků nevyhovují vašemu scénáři, použijte možnost rozhraní API služeb Cognitive Services (PowerShell, Azure CLI, požadavek REST).
Pokud chcete použít některou z výše uvedených metod, potřebujete účet Azure, který má přiřazenou roli, která umožňuje vytvářet prostředky ve vašem předplatném, jako je Přispěvatel předplatného.
Poznámka:
Pokud k vytvoření prostředku služby Speech s podporou BYOS používáte Azure Portal, doporučujeme vybrat možnost vytvoření nového účtu úložiště.
Pokud chcete vytvořit prostředek služby Speech s podporou BYOS pomocí webu Azure Portal, musíte získat přístup k některým funkcím ve verzi Preview portálu. Proveďte následující kroky:
- Pomocí tohoto odkazu přejděte na stránku Vytvořit řeč.
- Všimněte si oddílu Účet úložiště v dolní části stránky.
- U možnosti Přineste si vlastní úložiště vyberte Ano.
- Nakonfigurujte požadovaná nastavení účtu úložiště a pokračujte vytvořením prostředku služby Speech.
Pokud jste k vytvoření prostředku služby Speech s podporou BYOS použili Azure Portal, je plně připravený k použití. Pokud jste použili jakoukoli jinou metodu, musíte provést přiřazení role pro spravovanou identitu prostředku služby Speech v rozsahu přidruženého účtu úložiště. Ve všech případech je také potřeba zkontrolovat různá nastavení účtu úložiště související se zabezpečením dat. Podívejte se na tuto část.
(Volitelné) Ověření konfigurace BYOS prostředku služby Speech
Vždy můžete zkontrolovat, jestli je některý z prostředků služby Speech povolený BYOS a jaký je přidružený účet úložiště. Můžete to udělat buď přes Azure Portal, nebo přes rozhraní API služeb Cognitive Services.
Pokud chcete zkontrolovat konfiguraci prostředku služby Speech pomocí webu Azure Portal, potřebujete získat přístup k některým funkcím ve verzi Preview portálu. Proveďte následující kroky:
- Pomocí tohoto odkazu přejděte na stránku Vytvořit řeč.
- Zavřete obrazovku Vytvořit řeč stisknutím klávesy X v pravém horním rohu.
- Pokud se zobrazí výzva, že souhlasíte s tím, že zahodíte neuložené změny.
- Přejděte k prostředku služby Speech, který chcete zkontrolovat.
- Ve skupině Správa prostředků vyberte nabídku Úložiště.
- Zkontrolujte, že:
- Pole Připojené úložiště obsahuje ID prostředku Azure přidruženého účtu úložiště BYOS.
- Typ identity má vybranou možnost Přiřazeno systémem.
Pokud ve skupině Správa prostředků chybí položka nabídky Úložiště, vybraný prostředek služby Speech není povolený pro BYOS.
Konfigurace účtu úložiště přidruženého k BYOS
Pokud chcete dosáhnout vysokého zabezpečení a ochrany osobních údajů vašich dat, musíte správně nakonfigurovat nastavení účtu úložiště přidruženého k BYOS. Pokud jste k vytvoření prostředku služby Speech s podporou BYOS nepoužíli Azure Portal, musíte také provést povinný krok přiřazení role.
Přiřazení role přístupu k prostředkům
Tento krok je povinný, pokud jste k vytvoření prostředku služby Speech s podporou BYOS nepoužíli Azure Portal.
BYOS používá úložiště objektů blob účtu úložiště. Z tohoto důvodu potřebuje spravovaná identita prostředku služby Speech s podporou BYOS přiřazení role Přispěvatel dat objektů blob služby Storage v rámci rozsahu účtu úložiště přidruženého k BYOS.
Upozornění
Nepoužívejte vlastní přiřazení rolí místo předdefinované role Přispěvatel dat v objektech blob služby Storage.
Pokud to neuděláte, bude velmi pravděpodobné, že bude obtížné ladit chyby služby a problémy související s přístupem k účtu úložiště přidruženému k BYOS.
Pokud jste k vytvoření prostředku služby Speech s podporou BYOS použili Azure Portal, můžete zbývající část tohoto pododdílu přeskočit. Přiřazení role je už hotové. V opačném případě postupujte podle těchto kroků.
Důležité
Abyste mohli provést operaci v dalších krocích, musíte mít přiřazenou roli Vlastník účtu úložiště nebo vyšší obor (například Předplatné). Důvodem je to, že pouze role Vlastník může přiřazovat role ostatním. Další podrobnosti najdete tady.
- Přejděte na Azure Portal a přihlaste se ke svému účtu Azure.
- Vyberte účet úložiště.
- V levém podokně vyberte nabídku Řízení přístupu (IAM ).
- V dlaždici Udělit přístup k tomuto prostředku vyberte Přidat přiřazení role.
- V části Role vyberte Přispěvatel dat objektů blob úložiště a pak vyberte Další.
- V části Členové>přiřaďte přístup, vyberte spravovanou identitu.
- Přiřaďte spravovanou identitu prostředku služby Speech a pak vyberte Zkontrolovat a přiřadit.
- Po potvrzení nastavení vyberte Zkontrolovat a přiřadit.
Konfigurace nastavení zabezpečení účtu úložiště pro převod řeči na text
Tato část popisuje, jak nastavit nastavení zabezpečení účtu úložiště, pokud máte v úmyslu používat účet úložiště přidružený k BYOS pouze pro scénáře převodu řeči na text. V případě použití účtu úložiště přidruženého k modelu BYOS pro převod textu na řeč nebo kombinaci řeči na text a převod textu na řeč použijte tuto část.
Pro převod řeči na text byOS používá důvěryhodný mechanismus zabezpečení služeb Azure ke komunikaci s účtem úložiště. Mechanismus umožňuje nastavit pravidla přístupu k datům účtu úložiště s omezeným přístupem.
Pokud provedete všechny akce v této části, váš účet úložiště je v následující konfiguraci:
- Přístup ke všem externím síťovým přenosům je zakázán.
- Přístup k účtu úložiště pomocí klíče účtu úložiště je zakázán.
- Přístup k úložišti objektů blob účtu úložiště pomocí sdílených přístupových podpisů (SAS) je zakázán. (S výjimkou SAS delegování uživatele)
- Přístup k prostředku služby Speech s podporou BYOS je povolený pomocí spravované identity přiřazené systémem prostředků.
Váš účet úložiště se tak stane zcela "uzamčený" a bude k němu mít přístup jenom váš prostředek služby Speech, který bude moct:
- Zápis artefaktů zpracování dat služby Speech (viz podrobnosti v odpovídajících článcích)
- Přečtěte si soubory, které už byly přítomny v době, kdy byla použita nová konfigurace. Například zdrojové zvukové soubory pro dávkový přepis nebo soubory datové sady pro trénování a testování vlastního modelu.
Tuto konfiguraci byste měli zvážit jako model, pokud jde o zabezpečení vašich dat, a přizpůsobit ji podle svých potřeb.
Můžete například povolit provoz z vybraných veřejných IP adres a virtuálních sítí Azure. Můžete také nastavit přístup k účtu úložiště pomocí privátních koncových bodů (viz tento kurz), znovu povolit přístup pomocí klíče účtu úložiště, povolit přístup k jiným důvěryhodným službám Azure atd.
Poznámka:
K zabezpečení účtu úložiště se nevyžaduje použití privátních koncových bodů pro službu Speech . Privátní koncové body pro službu Speech zabezpečují kanály pro požadavky rozhraní Speech API a dají se použít jako další komponenta ve vašem řešení.
Omezení přístupu k účtu úložiště
- Přejděte na Azure Portal a přihlaste se ke svému účtu Azure.
- Vyberte účet úložiště.
- Ve skupině Nastavení v levém podokně vyberte Konfigurace.
- Vyberte Zakázáno pro veřejný přístup k objektům blob.
- Výběr možnosti Zakázáno pro povolení přístupu k klíči účtu úložiště
- Zvolte Uložit.
Další informace najdete v tématu Zabránění anonymnímu veřejnému přístupu pro čtení ke kontejnerům a objektům blob a zabránění autorizaci sdíleného klíče pro účet služby Azure Storage.
Konfigurace brány firewall služby Azure Storage
Pokud máte omezený přístup k účtu úložiště, musíte udělit síťový přístup ke spravované identitě prostředku služby Speech. Pokud chcete přidat přístup k prostředku služby Speech, postupujte podle těchto kroků.
Přejděte na Azure Portal a přihlaste se ke svému účtu Azure.
Vyberte účet úložiště.
V levém podokně skupiny Zabezpečení a sítě vyberte Sítě.
Na kartě Brány firewall a virtuální sítě vyberte Povoleno z vybraných virtuálních sítí a IP adres.
Zrušte výběr všech zaškrtávacích políček.
Ujistěte se, že je vybrané síťové směrování Microsoftu.
V části Instance prostředků vyberte jako typ prostředku Microsoft.CognitiveServices/accounts a jako název instance vyberte prostředek služby Speech.
Zvolte Uložit.
Poznámka:
Rozšíření změn sítě může trvat až 5 minut.
Konfigurace nastavení zabezpečení účtu úložiště pro převod textu na řeč
Tato část popisuje, jak nastavit nastavení zabezpečení účtu úložiště, pokud máte v úmyslu použít účet úložiště přidruženého k modelu BYOS pro převod textu na řeč nebo kombinaci řeči na text a převod textu na řeč. V případě, že používáte účet úložiště přidružený k BYOS pouze pro převod textu na text, použijte tuto část.
Poznámka:
Text na řeč vyžaduje uvolněnější nastavení brány firewall účtu úložiště v porovnání s převodem řeči na text. Pokud používáte službu Speech k převodu textu na řeč i text na řeč a potřebujete k ochraně dat maximálně omezená nastavení zabezpečení účtu úložiště, můžete zvážit použití různých účtů úložiště a odpovídajících prostředků služby Speech pro převod řeči na text a převod textu na řeč.
Pokud provedete všechny akce v této části, váš účet úložiště je v následující konfiguraci:
- Je povolený externí síťový provoz.
- Přístup k účtu úložiště pomocí klíče účtu úložiště je zakázán.
- Přístup k úložišti objektů blob účtu úložiště pomocí sdílených přístupových podpisů (SAS) je zakázán. (S výjimkou SAS delegování uživatele)
- Přístup k prostředku služby Speech s podporou BYOS je povolený pomocí spravované identity přiřazené systémem prostředků a SAS delegování uživatele.
Toto jsou nejvíce omezená nastavení zabezpečení pro scénář převodu textu na řeč. Můžete je dále přizpůsobit podle svých potřeb.
Omezení přístupu k účtu úložiště
- Přejděte na Azure Portal a přihlaste se ke svému účtu Azure.
- Vyberte účet úložiště.
- Ve skupině Nastavení v levém podokně vyberte Konfigurace.
- Vyberte Zakázáno pro veřejný přístup k objektům blob.
- Výběr možnosti Zakázáno pro povolení přístupu k klíči účtu úložiště
- Zvolte Uložit.
Další informace najdete v tématu Zabránění anonymnímu veřejnému přístupu pro čtení ke kontejnerům a objektům blob a zabránění autorizaci sdíleného klíče pro účet služby Azure Storage.
Konfigurace brány firewall služby Azure Storage
Vlastní neurální hlas používá SAS delegování uživatele ke čtení dat pro trénování vlastních neurálních hlasových modelů. Vyžaduje povolení přístupu k externímu síťovému provozu k účtu úložiště.
- Přejděte na Azure Portal a přihlaste se ke svému účtu Azure.
- Vyberte účet úložiště.
- V levém podokně skupiny Zabezpečení a sítě vyberte Sítě.
- Na kartě Brány firewall a virtuální sítě vyberte Povoleno ze všech sítí.
- Zvolte Uložit.
Konfigurace účtu úložiště přidruženého k BYOS pro použití se sadou Speech Studio
Mnoho operací sady Speech Studio , jako je nahrávání datových sad nebo trénování a testování vlastních modelů, nevyžaduje žádnou speciální konfiguraci prostředku služby Speech s podporou BYOS.
Pokud ale potřebujete číst data uložená pomocí účtu úložiště přidruženého k BYOS prostřednictvím webového rozhraní sady Speech Studio, musíte nakonfigurovat další nastavení účtu úložiště přidruženého k BYOS. Například je potřeba zobrazit obsah datové sady.
Konfigurace sdílení prostředků mezi zdroji (CORS)
Speech Studio potřebuje oprávnění k odesílání požadavků do úložiště objektů blob účtu úložiště přidruženého k BYOS. K udělení takového oprávnění použijete sdílení prostředků mezi zdroji (CORS). Postupujte podle těchto kroků.
- Přejděte na Azure Portal a přihlaste se ke svému účtu Azure.
- Vyberte účet úložiště.
- Ve skupině Nastavení v levém podokně vyberte Sdílení prostředků (CORS).
- Ujistěte se, že je vybraná karta Úložiště objektů blob.
- Nakonfigurujte následující záznam:
- Povolené původy:
https://speech.microsoft.com
- Povolené metody:
GET
,OPTIONS
- Povolené hlavičky:
*
- Vystavené hlavičky:
*
- Maximální věk:
1000
- Povolené původy:
- Zvolte Uložit.
Upozorňující
Povolené pole původu by mělo obsahovat adresu URL bez koncového lomítka. To by mělo být https://speech.microsoft.com
, a ne https://speech.microsoft.com/
. Přidání koncového lomítka způsobí, že Speech Studio nezobrazuje podrobnosti datových sad a testů modelů.
Konfigurace brány firewall služby Azure Storage
Potřebujete povolit přístup k počítači, ve kterém spouštíte prohlížeč pomocí sady Speech Studio. Pokud nastavení brány firewall účtu úložiště povoluje veřejný přístup ze všech sítí, můžete tento pododdíl přeskočit. V opačném případě postupujte podle těchto kroků.
- Přejděte na Azure Portal a přihlaste se ke svému účtu Azure.
- Vyberte účet úložiště.
- V levém podokně skupiny Zabezpečení a sítě vyberte Sítě.
- V části Brána firewall zadejte IP adresu počítače, na kterém spouštíte webový prohlížeč nebo podsíť PROTOKOLU IP, do které patří IP adresa počítače.
- Vyberte Uložit.