Contrôle d’accès en fonction du rôle pour les ressources Speech
Vous pouvez gérer l’accès et les autorisations à vos ressources Speech avec le contrôle d’accès en fonction du rôle Azure (RBAC Azure). Les rôles attribués peuvent varier entre les ressources Speech. Par exemple, vous pouvez attribuer un rôle à une ressource Speech qui doit être utilisée seulement pour entraîner un modèle de reconnaissance vocale personnalisée. Vous pouvez attribuer un autre rôle à une ressource Speech utilisée pour transcrire des fichiers audio. Selon qui peut accéder à chaque ressource Speech, vous pouvez définir efficacement un niveau d’accès différent par application ou utilisateur. Pour plus d’informations sur Azure RBAC, consultez la documentation Azure RBAC.
Notes
Une ressource Speech peut hériter ou être affectée à plusieurs rôles. Le niveau d’accès final à cette ressource est une combinaison de toutes les autorisations des rôles.
Rôles pour les ressources Speech
Une définition de rôle est un ensemble d’autorisations. Lorsque vous créez une ressource Speech, les rôles intégrés dans la table suivante peuvent être attribués.
Avertissement
L’architecture du service Speech est différente des autres Azure AI services dans la façon dont elle utilise un plan de données et un plan de contrôle Azure. Le service Speech utilise davantage un plan de données par rapport à d’autres Azure AI services et il nécessite donc une autre configuration pour les rôles. C’est pour cette raison que certains rôles Cognitive Services généraux ont un droit d’accès réel défini qui ne correspond pas exactement à leur nom lorsqu’ils sont utilisés dans un scénario de services Speech. Par exemple, Utilisateur Cognitive Services fournit effectivement les droits Contributeur, alors que Contributeur Cognitive Services ne fournit aucun accès. Il en va de même pour les rôles Propriétaire et Contributeur génériques qui n’ont aucun droit de plan de données et ne fournissent donc pas d’accès à la ressource Speech. Pour maintenir une cohérence, nous vous recommandons d’utiliser des rôles contenant Speech dans leur nom. Ces rôles sont Utilisateur Speech Cognitive Services et Contributeur Speech Cognitive Services. Leurs jeux de droit d’accès ont été spécialement conçus pour le service Speech. Dans le cas où vous souhaitez utilisez des rôles Cognitive Services généraux et des rôles Azure génériques, nous vous demandons d’étudier très attentivement le tableau de droit d’accès suivant.
| Rôle | Peut répertorier les clés de ressource | Accéder aux données, aux modèles et aux points de terminaison dans les projets personnalisés | Accéder aux API de transcription et de synthèse vocale |
|---|---|---|---|
| Propriétaire | Oui | Aucun | Non |
| Contributeur | Oui | Aucun | Non |
| Contributeur Cognitive Services | Oui | Aucun | Non |
| Utilisateur Cognitive Services | Oui | Afficher, créer, modifier et supprimer | Oui |
| Contributeurs des services cognitif Speech | Non | Afficher, créer, modifier et supprimer | Oui |
| Utilisateur des services cognitif Speech | Non | Afficher uniquement | Oui |
| Lecteur de données Cognitive Services (préversion) | Non | Afficher uniquement | Oui |
Important
Si un rôle peut répertorier les clés de ressources est important pour l’authentification Speech Studio. Pour répertorier les clés de ressource, un rôle doit avoir l’autorisation d’exécuter l’opération Microsoft.CognitiveServices/accounts/listKeys/action . Notez que si l’authentification par clé est désactivée dans le portail Azure, aucun des rôles ne peut répertorier les clés.
Conservez les rôles intégrés si votre ressource Speech peut avoir un accès en lecture et écriture complet aux projets.
Pour le contrôle d’accès aux ressources plus fin, vous pouvez ajouter ou supprimer des rôles à l’aide du Portail Azure. Par exemple, vous pouvez créer un rôle personnalisé avec l’autorisation de charger des jeux de données de reconnaissance vocale personnalisée, mais sans l’autorisation de déployer un modèle de reconnaissance vocale personnalisée à un point de terminaison.
Authentification avec des clés et des jetons
Les rôles définissent les autorisations dont vous disposez. L’authentification est requise pour utiliser la ressource Speech.
Pour vous authentifier auprès des clés de ressources Speech, vous avez besoin de la clé et de la région. Pour vous authentifier avec un jeton Microsoft Entra, la ressource Speech doit avoir un sous-domaine personnalisé et utiliser un point de terminaison privé. Les Speech Services utilisent des sous-domaines personnalisés avec des points de terminaison privés uniquement.
Authentification du Kit de développement logiciel (SDK) Speech
Pour le kit de développement logiciel (SDK), vous configurez s’il faut s’authentifier avec une clé de ressource Speech ou un jeton Microsoft Entra. Pour plus d’informations, consultez Authentification Microsoft Entra avec le kit de développement logiciel (SDK) Speech.
Authentification Speech Studio
Une fois connecté à Speech Studio, vous sélectionnez un abonnement et une ressource Speech. Vous ne choisissez pas s’il faut s’authentifier avec une clé de ressource Speech ou un jeton Microsoft Entra. Speech Studio obtient automatiquement la clé ou le jeton à partir de la ressource Speech. Si l’un des rôles affectés est autorisé à lister les clés de ressources, Speech Studio s’authentifie avec la clé. Sinon, Speech Studio s’authentifie avec le jeton Microsoft Entra.
Si Speech Studio utilise votre jeton Microsoft Entra, mais que la ressource Speech n’a pas de sous-domaine personnalisé ni de point de terminaison privé, alors vous ne pourrez pas utiliser certaines fonctionnalités dans Speech Studio. Dans ce cas, par exemple, la ressource Speech peut être utilisée pour entraîner un modèle de reconnaissance vocale personnalisée, mais vous ne pouvez pas utiliser de modèle de reconnaissance vocale personnalisée pour transcrire des fichiers audio.
| Informations d’identification d’authentification | Disponibilité des fonctionnalités |
|---|---|
| Clé de ressource Speech | Accès complet. La configuration du rôle est ignorée si la clé de ressource est utilisée. |
| Jeton Microsoft Entra avec un sous-domaine personnalisé et un point de terminaison privé | Accès total limité uniquement par les autorisations de rôle attribuées. |
| Jeton Microsoft Entra sans sous-domaine personnalisé ni point de terminaison privé (non recommandé) | Les fonctionnalités sont limitées. Par exemple, vous pouvez utiliser la ressource Speech pour entraîner un modèle de reconnaissance vocale personnalisée ou une voix neuronale personnalisée. Mais vous ne pouvez pas utiliser un modèle de reconnaissance vocale personnalisée ou une voix neuronale personnalisée. |