Control de acceso basado en rol para recursos de voz
Puede administrar el acceso y los permisos a los recursos de voz con el control de acceso basado en roles de Azure (RBAC de Azure). Los roles asignados pueden variar entre los recursos de voz. Por ejemplo, puede asignar un rol a un recurso de Voz que solo se debe usar para entrenar un modelo de voz personalizado. Puede asignar otro rol a un recurso de voz que se use para transcribir archivos de audio. En función de quién pueda acceder a cada recurso de voz, puede establecer eficazmente un nivel de acceso diferente por aplicación o usuario. Para obtener más información sobre Azure RBAC, consulte la documentación de Azure RBAC.
Nota:
Un recurso de voz puede heredar o asignar varios roles. El nivel final de acceso al recurso es una combinación de todos los permisos de rol.
Roles para recursos de voz
Una definición de roles es una colección de permisos. Al crear un recurso de Voz, los roles integrados de la tabla siguiente están disponibles para la asignación.
Advertencia
La arquitectura del servicio Voz difiere de otros servicios de Azure AI en la forma en que usa el plano de control y el plano de datos de Azure. El servicio Voz usa ampliamente el plano de datos en comparación con otros servicios de Azure AI y esto requiere una configuración diferente para los roles. Debido a esto, algunos roles generales de Cognitive Services tienen un conjunto de derechos de acceso real que no coincide exactamente con su nombre cuando se usa en el escenario de servicios de Voz. Por ejemplo, el usuario de Cognitive Services proporciona derechos de colaborador, mientras que el colaborador de Cognitive Services no proporciona acceso alguno. Lo mismo sucede con los roles genéricos de Propietario y Colaborador, que no tienen derechos de plano de datos y, por lo tanto, no proporcionan acceso al recurso Voz. Para mantener la coherencia, se recomienda usar roles que contengan Voz en sus nombres. Estos roles son el usuario de Voz de Cognitive Services y el colaborador de Voz de Cognitive Services. Sus conjuntos de derechos de acceso se diseñaron específicamente para el servicio Voz. En caso de que quiera usar roles generales de Cognitive Services y roles genéricos de Azure, le pedimos que estudie detenidamente la tabla de derechos de acceso siguiente.
Role | Puede mostrar las claves de los recursos | Acceso a datos, modelos y puntos de conexión en proyectos personalizados | Acceso a las API de transcripción y síntesis de voz |
---|---|---|---|
Propietario | Sí | None | No |
Colaborador | Sí | None | No |
Colaborador de Cognitive Services | Sí | None | No |
Usuario de Cognitive Services | Sí | Visualizar, crear, editar y eliminar | Sí |
Colaborador de voz de Cognitive Services | No | Visualizar, crear, editar y eliminar | Sí |
Usuario de voz de Cognitive Services | No | Ver solo | Sí |
Lector de datos de Cognitive Services (versión preliminar) | No | Ver solo | Sí |
Importante
El hecho de que un rol pueda mostrar las claves de los recursos es importante para la autenticación de Speech Studio. Para mostrar las claves de los recursos, un rol debe tener permiso para ejecutar la operación Microsoft.CognitiveServices/accounts/listKeys/action
. Tenga en cuenta que si la autenticación de claves está deshabilitada en Azure Portal, ninguno de los roles podrá mostrar las claves.
Mantenga los roles integrados si el recurso de voz puede tener acceso completo de lectura y escritura a los proyectos.
Para un control de acceso a recursos más preciso, puede agregar o eliminar roles mediante Azure Portal. Por ejemplo, podría crear un rol personalizado con permiso para cargar conjuntos de datos de voz personalizados, pero sin permiso para implementar un modelo de voz personalizado en un punto de conexión.
Autenticación con claves y tokens
Los roles definen qué permisos tiene. La autenticación es necesaria para usar el recurso de voz.
Para autenticarse con claves de recursos de voz, lo único que necesita es la clave y la región. Para autenticarse con un token de Microsoft Entra, el recurso de voz debe tener un subdominio personalizado y usar un punto de conexión privado. El servicio de Voz usa subdominios personalizados únicamente con puntos de conexión privados.
Autenticación del SDK de Voz
Para el SDK, puede configurar si se autenticará con una clave de recurso de voz o con un token de Microsoft Entra. Para obtener más información, consulte Autenticación de Microsoft Entra con el SDK de voz.
Autenticación de Speech Studio
Una vez que haya iniciado sesión en Speech Studio, seleccione una suscripción y un recurso de voz. No elige si desea autenticarse con una clave de recurso de voz o un token de Microsoft Entra. Speech Studio obtiene automáticamente la clave o el token del recurso de voz. Si uno de los roles asignados tiene permiso para enumerar las claves de recursos, Speech Studio se autentica con la clave. De lo contrario, Speech Studio se autentica con el token de Microsoft Entra.
Si Speech Studio usa el token de Microsoft Entra, pero el recurso de voz no tiene un subdominio personalizado y un punto de conexión privado, no podrá usar algunas características de Speech Studio. En este caso, por ejemplo, el recurso voz se puede usar para entrenar un modelo de voz personalizado, pero no puede usar un modelo de voz personalizado para transcribir archivos de audio.
Credencial de autenticación | Disponibilidad de características |
---|---|
Clave de recurso de Voz | Acceso completo. La configuración del rol se omite si se usa la clave de recurso. |
Token de Microsoft Entra con subdominio personalizado y punto de conexión privado | Acceso total limitado solo por los permisos de rol asignados. |
Token de Microsoft Entra sin subdominio personalizado y punto de conexión privado (no recomendable) | Las características son limitadas. Por ejemplo, el recurso voz se puede usar para entrenar un modelo de voz personalizado o una voz neuronal personalizada. Pero no puede usar un modelo de voz personalizado ni una voz neuronal personalizada. |