Configuración del recurso de voz Bring Your Own Storage (BYOS)
Bring Your Own Storage (BYOS) es una tecnología de Azure AI para los clientes que tienen requisitos elevados para la seguridad y la privacidad de los datos. El núcleo de la tecnología es la capacidad de asociar una cuenta de Azure Storage, que el usuario posee y controla completamente con el recurso de voz. A continuación, el recurso de voz usa esta cuenta de almacenamiento para almacenar diferentes artefactos relacionados con el procesamiento de datos del usuario, en lugar de almacenar los mismos artefactos en el entorno local del servicio de voz, tal como se hace en el caso normal. Este enfoque permite usar todos los conjuntos de características de seguridad de la cuenta de Azure Storage, incluido el cifrado de los datos con las claves administradas por el cliente, el uso de puntos de conexión privados para acceder a los datos, etc.
En escenarios BYOS, todo el tráfico entre el recurso de voz y la cuenta de almacenamiento se mantiene mediante la red global de Azure, es decir, toda la comunicación se realiza mediante la red privada, pasando por completo la red pública de Internet. El recurso de voz en el escenario BYOS usa el mecanismo de servicios de confianza de Azure para acceder a la cuenta de almacenamiento, basándose en identidades administradas asignadas por el sistema como método de autenticación y control de acceso basado en rol (RBAC) como método de autorización.
Hay una excepción: si usa Texto para voz y el recurso de voz y la cuenta de almacenamiento asociada se encuentran en diferentes regiones de Azure, se usa internet público para las operaciones, que implican saS de delegación de usuarios. Consulte los detalles de esta sección.
BYOS se puede usar con varios servicios de Azure AI. Para Voz, se puede usar en los escenarios siguientes:
Speech to Text
- Transcripción de Azure Batch
- Transcripción en tiempo real con el registro de resultados de audio y transcripción habilitado
- Habla personalizada (modelos personalizados para el reconocimiento de voz)
Texto a voz
- Creación de contenido de audio
- Voz neuronal personalizada (modelos personalizados para la síntesis de voz)
Un recurso de voz: la combinación de la cuenta de almacenamiento se puede usar para los cuatro escenarios simultáneamente en todas las combinaciones.
En este artículo se describe cómo crear y mantener el recurso de voz habilitado para BYOS y aplicable a todos los escenarios mencionados. Consulte la información específica del escenario en los artículos correspondientes.
Recurso de voz habilitado para BYOS: reglas básicas
Tenga en cuenta las siguientes reglas al planear la configuración de recursos de voz habilitada para BYOS:
- El recurso de voz solo se puede habilitar con BYOS durante la creación. El recurso de Voz existente no se puede convertir a BYOS habilitado. El recurso de voz habilitado para BYOS no se puede convertir en el "convencional" (no BYOS).
- La asociación de la cuenta de almacenamiento con el recurso de voz se declara durante la creación del recurso de voz. Después no se puede cambiar. Es decir, no puede cambiar qué cuenta de almacenamiento está asociada al recurso de voz habilitado para BYOS existente. Para usar otra cuenta de almacenamiento, debe crear otro recurso de voz habilitado para BYOS.
- Al crear un recurso de voz habilitado para BYOS, puede usar una cuenta de almacenamiento existente o crear una automáticamente durante el aprovisionamiento de recursos de Voz (esta última solo es válida cuando se usa Azure Portal).
- Una cuenta de almacenamiento se puede asociar a muchos recursos de voz. Se recomienda usar una cuenta de almacenamiento por un recurso de Voz.
- La cuenta de almacenamiento y el recurso de voz habilitado para BYOS relacionados se pueden encontrar en las mismas regiones de Azure o en otras. Se recomienda usar la misma región para minimizar la latencia. Por el mismo motivo, no se recomienda seleccionar regiones demasiado remotas para la configuración de varias regiones. (Por ejemplo, no se recomienda colocar la cuenta de almacenamiento en este de EE. UU. y el recurso de voz asociado en el Oeste de Europa).
Creación y configuración del recurso de voz habilitado para BYOS
En esta sección se describe cómo crear un recurso de voz habilitado para BYOS.
Solicitud de acceso a BYOS para las suscripciones de Azure
Debe solicitar acceso a la funcionalidad BYOS para cada una de las suscripciones de Azure que planea usar. Para solicitar acceso, rellene y envíe las claves administradas por el cliente de IA aplicada de Cognitive Services y el formulario de solicitud de acceso Traiga su propio almacenamiento. Espere a que se apruebe la solicitud.
(Opcional) Comprobación de si la suscripción de Azure tiene acceso a BYOS
Puede comprobar rápidamente si la suscripción de Azure tiene acceso a BYOS. Esta comprobación usa características en vista previa (GB) de la funcionalidad de Azure.
Esta funcionalidad no está disponible a través de Azure Portal.
Nota:
Puede ver la lista de características en vista previa (GB) de una suscripción de Azure determinada, como se explica en este artículo, pero tenga en cuenta que no todas las características en versión preliminar, incluida la de BYOS, se pueden ver de esta manera.
Planeamiento y preparación de la cuenta de almacenamiento
Si usa Azure Portal para crear un recurso de voz habilitado para BYOS, se puede crear automáticamente una cuenta de almacenamiento asociada. Para todos los demás métodos de aprovisionamiento (CLI de Azure, PowerShell, solicitud de API REST), debe usar la cuenta de almacenamiento existente.
Si quiere usar una cuenta de almacenamiento existente y no pretende usar Azure Portal método para el aprovisionamiento de recursos de voz habilitado para BYOS, tenga en cuenta lo siguiente con respecto a esta cuenta de almacenamiento:
- Necesita el identificador completo de recurso de Azure de la cuenta de Storage. Para obtenerla, vaya a la cuenta de almacenamiento en Azure Portal, seleccione el menú Puntos de conexión en el grupo Configuración. Copie y almacene el valor del campo Identificador de recurso de la cuenta de almacenamiento.
- Para configurar completamente BYOS, necesita al menos el derecho de propietario del recurso para la cuenta de almacenamiento seleccionada.
Nota:
No se requiere el derecho de propietario del recurso de la cuenta de almacenamiento o superior para usar un recurso de voz habilitado para BYOS. Sin embargo, es necesario durante la configuración inicial única de la cuenta de almacenamiento para el uso en el escenario BYOS. Consulte los detalles de esta sección.
Creación de un recurso de voz habilitado para BYOS
Asegúrese de que la suscripción de Azure está habilitada para usar BYOS antes de intentar crear el recurso de voz. Consulte esta sección.
Hay dos maneras de crear un recurso de voz habilitado para BYOS:
- Con Azure Portal.
- Con Cognitive Services API (PowerShell, CLI de Azure, solicitud REST).
Azure Portal opción tiene requisitos más estrictos:
- La cuenta usada para el aprovisionamiento de recursos de voz habilitado para BYOS debe tener derecho al propietario de la suscripción.
- La cuenta de almacenamiento asociada a BYOS solo debe encontrarse en la misma región que el recurso de voz.
Si alguno de estos requisitos adicionales no se ajusta a su escenario, use la opción API de Cognitive Services (PowerShell, Interfaz de la línea de comandos de Azure, solicitud REST).
Para usar cualquiera de los métodos anteriores, necesita una cuenta de Azure que tenga asignado un rol que permita crear recursos en la suscripción, como Colaborador de la suscripción.
Nota:
Si usa Azure Portal para crear un recurso de voz habilitado para BYOS, se recomienda seleccionar la opción de crear una nueva cuenta de almacenamiento.
Para crear un recurso de voz habilitado para BYOS con Azure Portal, debe acceder a algunas características de la versión preliminar del portal. Lleve a cabo los siguiente pasos:
- Vaya a la página Crear voz con este vínculo.
- Observe la sección Cuenta de almacenamiento en la parte inferior de la página.
- Seleccione Sí para la opción Traiga su propio almacenamiento.
- Configure las opciones de la cuenta de almacenamiento necesarias y continúe con la creación del recurso de voz.
Si usó Azure Portal para crear un recurso de voz habilitado para BYOS, está totalmente listo para usarse. Si usó cualquier otro método, debe realizar la asignación de roles para la identidad administrada del recurso de voz dentro del ámbito de la cuenta de almacenamiento asociada. En todos los casos, también debe revisar las distintas opciones de configuración de la cuenta de almacenamiento relacionadas con la seguridad de los datos. Consulte esta sección.
(Opcional) Comprobación de la configuración de BYOS del recurso de voz
Siempre puede comprobar si algún recurso de Voz determinado está habilitado por BYOS y cuál es la cuenta de almacenamiento asociada. Puede hacerlo a través de Azure Portal o a través de Cognitive Services API.
Para comprobar la configuración de BYOS de un recurso de voz con Azure Portal, debe acceder a algunas características de la versión preliminar del portal. Lleve a cabo los siguiente pasos:
- Vaya a la página Crear voz con este vínculo.
- Cierre la pantalla Crear voz presionando X en la esquina superior derecha.
- Si se le pide que acepte descartar los cambios no guardados.
- Vaya al recurso de voz que desea comprobar.
- Seleccione el menú Almacenamiento en el grupo Administración de recursos.
- Compruebe que:
- El campo Almacenamiento asociado contiene el identificador de recurso de Azure de la cuenta de almacenamiento asociada a BYOS.
- El tipo de identidad tiene seleccionado Asignado por el sistema.
Si falta el elemento de menú Almacenamiento en el grupo Administración de recursos, el recurso de voz seleccionado no está habilitado para BYOS.
Configuración de la cuenta de almacenamiento asociada a BYOS
Para lograr una alta seguridad y privacidad de los datos, debe configurar correctamente las opciones de la cuenta de almacenamiento asociada a BYOS. En caso de que no haya usado Azure Portal para crear el recurso de voz habilitado para BYOS, también debe realizar un paso obligatorio de asignación de roles.
Asignación del rol de acceso al recurso
Este paso es obligatorio si no usó Azure Portal para crear el recurso de voz habilitado para BYOS.
BYOS usa el almacenamiento de blobs de una cuenta de almacenamiento. Por este motivo, la identidad administrada de recursos de voz habilitado para BYOS necesita la asignación de roles Colaborador de datos de Storage Blob dentro del ámbito de la cuenta de almacenamiento asociada a BYOS.
Precaución
No use asignaciones de rol personalizado en lugar del rol integrado Colaborador de datos de Blob Storage.
Si no lo hace, es muy probable que resulte difícil depurar errores de servicio y problemas relacionados con el acceso a la cuenta de almacenamiento asociada a BYOS.
Si usó Azure Portal para crear el recurso de voz habilitado para BYOS, puede omitir el resto de esta subsección. Ya se ha realizado la asignación de roles. De lo contrario, siga estos pasos.
Importante
Debe tener asignado el rol Propietario de la cuenta de almacenamiento o un ámbito superior (por ejemplo, la suscripción) para realizar la operación de los pasos siguientes. Esto se debe a que solo el rol Propietario puede asignar roles a otros usuarios. Consulte los detalles aquí.
- Vaya a Azure Portal e inicie sesión con su cuenta de Azure.
- Seleccione la cuenta de almacenamiento.
- Seleccione Control de acceso (IAM) en el panel izquierdo.
- Seleccione Adición de asignación de roles en el icono ¿Quiere conceder acceso a este recurso?.
- Seleccione Lector de datos de Storage Blob en Rol y, a continuación, seleccione Siguiente.
- Seleccione Identidad administrada en Miembros>Asignar acceso a.
- Asigne la identidad administrada del recurso de Voz y, a continuación, seleccione Revisar y asignar.
- Después de confirmar la configuración, seleccione Revisar y asignar.
Configuración de la seguridad de la cuenta de almacenamiento para la conversión de voz en texto
En esta sección se describe cómo configurar la configuración de seguridad de la cuenta de almacenamiento, si piensa usar la cuenta de almacenamiento asociada a BYOS solo para escenarios de conversión de voz en texto. En caso de que use la cuenta de almacenamiento asociada a BYOS para Texto a voz o una combinación de Voz a texto y Texto a voz, use esta sección.
Para la conversión de voz en texto BYOS, use el mecanismo de seguridad de servicios de Azure de confianza para comunicarse con la cuenta de Storage. El mecanismo permite establecer reglas de acceso a datos de la cuenta de almacenamiento restringidas.
Si realiza todas las acciones de esta sección, la cuenta de almacenamiento tendrá la siguiente configuración:
- Está prohibido el acceso a todo el tráfico de red externo.
- Está prohibido el acceso a la cuenta de almacenamiento mediante la clave de cuenta de almacenamiento.
- Está prohibido el acceso al almacenamiento de blobs de la cuenta de almacenamiento mediante firmas de acceso compartido (SAS). (Excepto para la delegación de usuarios SAS)
- Está permitido el acceso al recurso de Voz seleccionado mediante la identidad administrada asignada por el sistema del recurso.
Por lo tanto, la cuenta de almacenamiento se vuelve completamente "bloqueada" y solo el recurso de Voz puede acceder a ella, lo que podrá hacer lo siguiente:
- Escribir artefactos del procesamiento de datos de voz (consulte los detalles de los artículos correspondientes),
- Lea los archivos que ya estaban presentes en el momento en que se aplicó la nueva configuración. Por ejemplo, los archivos de audio de origen para la transcripción de Batch o los archivos de conjunto de datos para el entrenamiento y las pruebas de modelos personalizados.
Debe considerar esta configuración como un modelo en lo que respecta a la seguridad de los datos de audio y personalizarla según sus necesidades.
Por ejemplo, puede permitir el tráfico desde direcciones IP públicas y redes virtuales de Azure seleccionadas. También puede configurar el acceso a la cuenta de almacenamiento mediante puntos de conexión privados (consulte también este tutorial), volver a habilitar el acceso mediante la clave de la cuenta de almacenamiento, permitir el acceso a otros servicios de confianza de Azure, etc.
Nota:
No es necesario usar puntos de conexión privados para Voz para proteger la cuenta de almacenamiento. Los puntos de conexión privados para Voz protegen los canales de las solicitudes de Speech API y se pueden usar como componente adicional en la solución.
Restricción del acceso a la cuenta de almacenamiento
- Vaya a Azure Portal e inicie sesión con su cuenta de Azure.
- Seleccione la cuenta de almacenamiento.
- En el grupo Configuración del panel izquierdo, seleccione Configuración.
- Seleccione Deshabilitado para Permitir el acceso público a blobs.
- Seleccione Deshabilitado para Permitir el acceso a la clave de la cuenta de almacenamiento.
- Seleccione Guardar.
Para más información, consulte Impedir el acceso de lectura público anónimo a contenedores y blobs e Impedir la autorización con clave compartida para una cuenta de Azure Storage.
Configuración del firewall de Azure Storage
Una vez restringido el acceso a la cuenta de almacenamiento, debe conceder acceso de red a su identidad gestionada de recursos de Speech. Siga estos pasos para agregar acceso al recurso de Voz.
Vaya a Azure Portal e inicie sesión con su cuenta de Azure.
Seleccione la cuenta de almacenamiento.
En el grupo Seguridad y redes del panel izquierdo, seleccione Redes.
En la pestaña Firewalls y redes virtuales, seleccione Habilitado desde redes virtuales y direcciones IP seleccionadas.
Anule la selección de todas las casillas.
Asegúrese de que esté seleccionada la opción Enrutamiento de red de Microsoft.
En la sección Resource instances (Instancias de recursos), seleccione Microsoft.CognitiveServices/accounts como tipo de recurso y seleccione el recurso de Voz como nombre de instancia.
Seleccione Guardar.
Nota:
Los cambios de red pueden tardar hasta 5 minutos en propagarse.
Configuración de la seguridad de la cuenta de almacenamiento para Text to Speech
En esta sección se describe cómo configurar la configuración de seguridad de la cuenta de almacenamiento, si tiene previsto usar la cuenta de almacenamiento asociada a BYOS para Texto a voz o una combinación de Voz a texto y Texto a voz. En caso de que use la cuenta de almacenamiento asociada a BYOS solo para conversión de voz a texto, use esta sección.
Nota:
El texto a voz requiere una configuración más relajada del firewall de la cuenta de almacenamiento, en comparación con la conversión de voz en texto. Si usa Conversión de voz en texto y Texto a voz, y necesita una configuración de seguridad de la cuenta de almacenamiento con restricciones máximas para proteger los datos, puede considerar el uso de cuentas de almacenamiento diferentes y los recursos de Voz correspondientes para las tareas de Conversión de voz en texto y Texto a voz.
Si realiza todas las acciones de esta sección, la cuenta de almacenamiento tendrá la siguiente configuración:
- Se permite el tráfico de red externo.
- Está prohibido el acceso a la cuenta de almacenamiento mediante la clave de cuenta de almacenamiento.
- Está prohibido el acceso al almacenamiento de blobs de la cuenta de almacenamiento mediante firmas de acceso compartido (SAS). (Excepto para la delegación de usuarios SAS)
- El acceso al recurso de voz habilitado para BYOS se permite utilizando el recurso identidad gestionada asignado por el sistema y la delegación de usuario SAS.
Se trata de la configuración de seguridad más restringida posible para el escenario de conversión de texto a voz. Puede personalizarlos aún más según sus necesidades.
Restricción del acceso a la cuenta de almacenamiento
- Vaya a Azure Portal e inicie sesión con su cuenta de Azure.
- Seleccione la cuenta de almacenamiento.
- En el grupo Configuración del panel izquierdo, seleccione Configuración.
- Seleccione Deshabilitado para Permitir el acceso público a blobs.
- Seleccione Deshabilitado para Permitir el acceso a la clave de la cuenta de almacenamiento.
- Seleccione Guardar.
Para más información, consulte Impedir el acceso de lectura público anónimo a contenedores y blobs e Impedir la autorización con clave compartida para una cuenta de Azure Storage.
Configuración del firewall de Azure Storage
Voz neuronal personalizada usa SAS de delegación de usuarios para leer los datos del entrenamiento del modelo de voz neuronal personalizada. Requiere permitir el acceso del tráfico de red externo a la cuenta de almacenamiento.
- Vaya a Azure Portal e inicie sesión con su cuenta de Azure.
- Seleccione la cuenta de almacenamiento.
- En el grupo Seguridad y redes del panel izquierdo, seleccione Redes.
- En la pestaña Firewalls y redes virtuales, seleccione Redes seleccionadas.
- Seleccione Guardar.
Configuración de la cuenta de almacenamiento asociada a BYOS para su uso con Speech Studio
Muchas operaciones de Speech Studio, como la carga del conjunto de datos o el entrenamiento y las pruebas de modelos personalizados, no requieren ninguna configuración especial en el caso del recurso de voz habilitado para BYOS.
Sin embargo, si necesita leer los datos almacenados con la cuenta de almacenamiento asociada a BYOS a través de la interfaz web de Speech Studio, debe configurar opciones adicionales de la cuenta de almacenamiento asociada a BYOS. Por ejemplo, es necesario ver el contenido de un conjunto de datos.
Configuración del uso compartido de recursos entre orígenes (CORS)
Speech Studio necesita permiso para realizar solicitudes al almacenamiento de blobs de la cuenta de almacenamiento asociada a BYOS. Para conceder dicho permiso, se utiliza el intercambio de recursos entre orígenes (CORS). Sigue estos pasos.
- Vaya a Azure Portal e inicie sesión con su cuenta de Azure.
- Seleccione la cuenta de almacenamiento.
- En el grupo Configuración del panel izquierdo, seleccione Uso compartido de recursos (CORS).
- Asegúrese de que la pestaña Blob Storage está seleccionada.
- Configure el registro siguiente:
- Orígenes permitidos:
https://speech.microsoft.com
- Métodos permitidos:
GET
,OPTIONS
- Encabezados permitidos:
*
- Encabezados expuestos:
*
- Antigüedad máxima:
1000
- Orígenes permitidos:
- Seleccione Guardar.
Advertencia
El campo de orígenes permitidos debe contener la dirección URL sin barra diagonal final. Es decir, debe ser https://speech.microsoft.com
, y no https://speech.microsoft.com/
. La adición de una barra diagonal final dará lugar a que Speech Studio no muestre los detalles de los conjuntos de datos y las pruebas de modelo.
Configuración del firewall de Azure Storage
Debe permitir el acceso a la máquina, donde se ejecuta el explorador mediante Speech Studio. Si la configuración del firewall de la cuenta de almacenamiento permite el acceso público desde todas las redes, puede omitir esta subsección. De lo contrario, siga estos pasos.
- Vaya a Azure Portal e inicie sesión con su cuenta de Azure.
- Seleccione la cuenta de almacenamiento.
- En el grupo Seguridad y redes del panel izquierdo, seleccione Redes.
- En la sección Firewall, escriba la dirección IP de la máquina donde se ejecuta el explorador web o la subred IP a la que pertenece la dirección IP de la máquina.
- Seleccione Guardar.