Share via


De BYOS-spraakresource (Bring Your Own Storage) instellen

Bring Your Own Storage (BYOS) is een Azure AI-technologie voor klanten die hoge vereisten hebben voor gegevensbeveiliging en -privacy. De kern van de technologie is de mogelijkheid om een Azure Storage-account te koppelen, dat de gebruiker eigenaar is van en volledig beheert met de Spraak-resource. De Spraak-resource gebruikt vervolgens dit opslagaccount voor het opslaan van verschillende artefacten met betrekking tot de verwerking van gebruikersgegevens, in plaats van dezelfde artefacten op te slaan in de speech-service-premises, zoals in het normale geval wordt gedaan. Met deze methode kunt u alle beveiligingsfuncties van een Azure Storage-account gebruiken, waaronder het versleutelen van de gegevens met de door de klant beheerde sleutels, het gebruik van privé-eindpunten voor toegang tot de gegevens, enzovoort.

In BYOS-scenario's wordt al het verkeer tussen de spraakresource en het opslagaccount onderhouden met behulp van het globale Azure-netwerk, met andere woorden, alle communicatie wordt uitgevoerd met behulp van een particulier netwerk, waardoor het openbare internet volledig wordt overgeslagen. Spraakresource in BYOS-scenario maakt gebruik van het mechanisme voor vertrouwde Azure-services voor toegang tot het opslagaccount, waarbij wordt gebruikgemaakt van door het systeem toegewezen beheerde identiteiten als verificatiemethode en op rollen gebaseerd toegangsbeheer (RBAC) als autorisatiemethode.

Er is één uitzondering: als u Tekst naar spraak gebruikt en uw Spraak-resource en het bijbehorende opslagaccount zich in verschillende Azure-regio's bevinden, wordt openbaar internet gebruikt voor de bewerkingen, waarbij SAS voor gebruikersdelegering is betrokken. Zie de details in deze sectie.

BYOS kan worden gebruikt met verschillende Azure AI-services. Voor Spraak kan deze worden gebruikt in de volgende scenario's:

Spraak naar tekst

Tekst naar spraak

Eén spraakresource: combinatie van opslagaccount kan worden gebruikt voor alle vier scenario's tegelijk in alle combinaties.

In dit artikel wordt beschreven hoe u met BYOS ingeschakelde Spraakresource maakt en onderhoudt en van toepassing is op alle genoemde scenario's. Zie de scenariospecifieke informatie in de bijbehorende artikelen.

Spraakresource met BYOS-functionaliteit: basisregels

Houd rekening met de volgende regels bij het plannen van de configuratie van spraakresources met BYOS:

  • Spraakresource kan alleen byos zijn ingeschakeld tijdens het maken. Bestaande Spraakresource kan niet worden geconverteerd naar BYOS. Spraakresource met BYOS-functionaliteit kan niet worden geconverteerd naar de 'conventionele' (niet-BYOS)-resource.
  • De koppeling van het opslagaccount met de Speech-resource wordt gedeclareerd tijdens het maken van de Spraak-resource. Deze kan later niet worden gewijzigd. Dat wil gezegd, u kunt niet wijzigen welk opslagaccount is gekoppeld aan de bestaande spraakresource met BYOS-functionaliteit. Als u een ander opslagaccount wilt gebruiken, moet u een andere spraakresource met BYOS maken.
  • Wanneer u een spraakresource met BYOS maakt, kunt u een bestaand opslagaccount gebruiken of er automatisch een maken tijdens het inrichten van spraakresources (de laatste is alleen geldig wanneer u Azure Portal gebruikt).
  • Eén opslagaccount kan worden gekoppeld aan veel Spraakresources. U kunt het beste één opslagaccount per spraakresource gebruiken.
  • Opslagaccount en de gerelateerde spraakresource met BYOS kunnen zich in dezelfde of verschillende Azure-regio's bevinden. We raden u aan om dezelfde regio te gebruiken om de latentie te minimaliseren. Om dezelfde reden is het niet raadzaam om te selecteren van te externe regio's voor configuratie met meerdere regio's. (We raden u bijvoorbeeld niet aan om een opslagaccount in VS - oost en de bijbehorende spraakresource in Europa - west te plaatsen).

Spraakresource met BYOS maken en configureren

In deze sectie wordt beschreven hoe u een spraakresource met BYOS maakt.

Toegang tot BYOS aanvragen voor uw Azure-abonnementen

U moet toegang tot BYOS-functionaliteit aanvragen voor elk van de Azure-abonnementen die u wilt gebruiken. Als u toegang wilt aanvragen, vult en verzendt u Cognitive Services & Applied AI Customer Managed Keys en Bring Your Own Storage-toegangsaanvraagformulier. Wacht totdat de aanvraag is goedgekeurd.

(Optioneel) Controleren of een Azure-abonnement toegang heeft tot BYOS

U kunt snel controleren of uw Azure-abonnement toegang heeft tot BYOS. Deze controle maakt gebruik van preview-functies van Azure.

Deze functionaliteit is niet beschikbaar via Azure Portal.

Notitie

U kunt de lijst met preview-functies voor een bepaald Azure-abonnement bekijken, zoals wordt uitgelegd in dit artikel. Houd er echter rekening mee dat niet alle preview-functies, waaronder BYOS, op deze manier zichtbaar zijn.

Uw opslagaccount plannen en voorbereiden

Als u Azure Portal gebruikt om een spraakresource met BYOS te maken, kan automatisch een gekoppeld opslagaccount worden gemaakt. Voor alle andere inrichtingsmethoden (Azure CLI, PowerShell, REST API-aanvraag) moet u een bestaand opslagaccount gebruiken.

Als u een bestaand opslagaccount wilt gebruiken en niet van plan bent om de Azure Portal-methode te gebruiken voor het inrichten van spraakresources met BYOS, moet u rekening houden met het volgende met betrekking tot dit opslagaccount:

  • U hebt de volledige Azure-resource-id van het opslagaccount nodig. Als u het wilt verkrijgen, gaat u naar het opslagaccount in Azure Portal en selecteert u vervolgens het menu Eindpunten in de groep Instellingen . Kopieer en sla de waarde van het resource-id-veld van het opslagaccount op.
  • Als u BYOS volledig wilt configureren, hebt u ten minste het recht van de resource-eigenaar nodig voor het geselecteerde opslagaccount.

Notitie

Het recht van de resource-eigenaar van het opslagaccount of hoger is niet vereist om een spraakresource met BYOS te gebruiken. Dit is echter vereist tijdens de eenmalige initiële configuratie van het opslagaccount voor het gebruik in het BYOS-scenario. Zie de details in deze sectie.

Spraakresource met BYOS maken

Zorg ervoor dat uw Azure-abonnement is ingeschakeld voor het gebruik van BYOS voordat u de Spraak-resource probeert te maken. Zie deze sectie.

Er zijn twee manieren om een spraakresource met BYOS te maken:

  • Met Azure Portal.
  • Met Cognitive Services-API (PowerShell, Azure CLI, REST-aanvraag).

De optie Azure Portal heeft strengere vereisten:

  • Het account dat wordt gebruikt voor het inrichten van spraakresources waarvoor BYOS is ingeschakeld, moet een recht hebben van de abonnementseigenaar.
  • Aan BYOS gekoppeld opslagaccount mag zich alleen in dezelfde regio bevinden als de Spraak-resource.

Als een van deze extra vereisten niet in uw scenario past, gebruikt u de Cognitive Services-API-optie (PowerShell, Azure CLI, REST-aanvraag).

Als u een van de bovenstaande methoden wilt gebruiken, hebt u een Azure-account nodig waaraan een rol is toegewezen waarmee u resources in uw abonnement kunt maken, zoals Inzender voor abonnementen.

Notitie

Als u Azure Portal gebruikt om een spraakresource met BYOS te maken, wordt u aangeraden de optie te selecteren voor het maken van een nieuw opslagaccount.

Als u een spraakresource met BYOS wilt maken met Azure Portal, moet u toegang krijgen tot enkele preview-functies van de portal. Voer de volgende stappen uit:

  1. Navigeer met deze koppeling naar de pagina Spraak maken.
  2. Noteer de sectie Opslagaccount onderaan de pagina.
  3. Selecteer Ja voor de optie Bring Your Own Storage .
  4. Configureer de vereiste opslagaccountinstellingen en ga verder met het maken van de Spraak-resource.

Als u Azure Portal hebt gebruikt voor het maken van een spraakresource met BYOS,is deze volledig gereed voor gebruik. Als u een andere methode hebt gebruikt, moet u de roltoewijzing uitvoeren voor de beheerde identiteit van de spraakresource binnen het bereik van het gekoppelde opslagaccount. In alle gevallen moet u ook verschillende opslagaccountinstellingen met betrekking tot gegevensbeveiliging controleren. Zie deze sectie.

(Optioneel) BYOS-configuratie van spraakresource controleren

U kunt altijd controleren of een bepaalde spraakresource BYOS is ingeschakeld en wat het bijbehorende opslagaccount is. U kunt dit doen via Azure Portal of via de Cognitive Services-API.

Als u de BYOS-configuratie van een Spraak-resource met Azure Portal wilt controleren, moet u toegang krijgen tot enkele preview-functies van de portal. Voer de volgende stappen uit:

  1. Navigeer met deze koppeling naar de pagina Spraak maken.
  2. Sluit het scherm Spraak maken door op X in de rechterbovenhoek te drukken.
  3. Als u wordt gevraagd om niet-opgeslagen wijzigingen te negeren.
  4. Navigeer naar de Spraak-resource die u wilt controleren.
  5. Selecteer het menu Opslag in de groep Resourcebeheer .
  6. Controleer of:
    1. Gekoppeld opslagveld bevat de Azure-resource-id van het BYOS-gekoppelde opslagaccount.
    2. Het identiteitstype heeft Systeem toegewezen geselecteerd .

Als het menu-item Opslag ontbreekt in de resourcebeheergroep , is de geselecteerde spraakresource niet ingeschakeld voor BYOS.

ByOS-gekoppeld opslagaccount configureren

Als u een hoge beveiliging en privacy van uw gegevens wilt bereiken, moet u de instellingen van het BYOS-gekoppelde opslagaccount correct configureren. Als u Azure Portal niet hebt gebruikt om uw spraakresource met BYOS te maken, moet u ook een verplichte stap van roltoewijzing uitvoeren.

Rol voor resourcetoegang toewijzen

Deze stap is verplicht als u Azure Portal niet hebt gebruikt om uw spraakresource met BYOS te maken.

BYOS maakt gebruik van de blobopslag van een opslagaccount. Daarom heeft de door BYOS ingeschakelde spraakresource beheerde identiteit de roltoewijzing Inzender voor opslagblobgegevens binnen het bereik van het byOS-gekoppelde opslagaccount nodig.

Let op

Gebruik geen aangepaste roltoewijzingen in plaats van de ingebouwde rol Inzender voor opslagblobgegevens.

Als u dit niet doet, kan dit zeer waarschijnlijk leiden tot het opsporen van servicefouten en problemen met betrekking tot toegang tot het byOS-gekoppelde opslagaccount.

Als u Azure Portal hebt gebruikt om uw spraakresource met BYOS te maken, kunt u de rest van deze subsectie overslaan. Uw roltoewijzing is al voltooid. Voer anders deze stappen uit.

Belangrijk

U moet de rol Eigenaar van het opslagaccount of een hoger bereik (zoals Abonnement) toewijzen om de bewerking uit te voeren in de volgende stappen. De reden hiervoor is dat alleen de rol Eigenaar rollen aan anderen kan toewijzen. Hier vindt u meer informatie.

  1. Ga naar Azure Portal en meld u aan bij uw account.
  2. Selecteer het opslagaccount.
  3. Selecteer het menu Toegangsbeheer (IAM) in het linkerdeelvenster.
  4. Selecteer Roltoewijzing toevoegen in de tegel Toegang verlenen tot deze resource .
  5. Selecteer Inzender voor opslagblobgegevens onder Rol en selecteer vervolgens Volgende.
  6. Selecteer Beheerde identiteit onder Leden>toegang toewijzen.
  7. Wijs de beheerde identiteit van uw Spraak-resource toe en selecteer Vervolgens Beoordelen en toewijzen.
  8. Nadat u de instellingen hebt bevestigd, selecteert u Controleren en toewijzen.

Beveiligingsinstellingen voor opslagaccounts configureren voor spraak-naar-tekst

In deze sectie wordt beschreven hoe u beveiligingsinstellingen voor opslagaccounts instelt als u alleen een BYOS-gekoppeld opslagaccount wilt gebruiken voor spraak-naar-tekstscenario's. Gebruik deze sectie als u het byOS-gekoppelde opslagaccount voor tekst-naar-spraak of een combinatie van zowel spraak-naar-tekst als tekst-naar-spraak gebruikt.

Voor spraak-naar-tekst gebruikt BYOS het beveiligingsmechanisme voor vertrouwde Azure-services om te communiceren met het opslagaccount. Met het mechanisme kunt u regels voor gegevenstoegang tot beperkte opslagaccounts instellen.

Als u alle acties in de sectie uitvoert, heeft uw opslagaccount de volgende configuratie:

  • Toegang tot al het externe netwerkverkeer is verboden.
  • Toegang tot opslagaccount met behulp van de sleutel van het opslagaccount is verboden.
  • Toegang tot opslagaccountblobopslag met sas (Shared Access Signatures) is verboden. (Met uitzondering van SAS voor gebruikersdelegering)
  • Toegang tot de spraakresource met BYOS-functionaliteit is toegestaan met behulp van de door het resourcesysteem toegewezen beheerde identiteit.

Uw opslagaccount wordt dus volledig 'vergrendeld' en kan alleen worden geopend door uw Speech-resource, die het volgende kan doen:

  • Artefacten schrijven van de verwerking van spraakgegevens (zie de details in de artikelen van de correspondent),
  • Lees de bestanden die al aanwezig waren op het moment dat de nieuwe configuratie werd toegepast. Bijvoorbeeld bronaudiobestanden voor batchtranscriptie of gegevenssetbestanden voor het trainen en testen van aangepaste modellen.

U moet deze configuratie beschouwen als een model voor de beveiliging van uw gegevens en deze aanpassen aan uw behoeften.

U kunt bijvoorbeeld verkeer van geselecteerde openbare IP-adressen en virtuele Azure-netwerken toestaan. U kunt ook toegang tot uw Opslagaccount instellen met behulp van privé-eindpunten (zie deze zelfstudie), toegang opnieuw inschakelen met behulp van de sleutel van het opslagaccount, toegang verlenen tot andere vertrouwde Azure-services, enzovoort.

Notitie

Het gebruik van privé-eindpunten voor Speech is niet vereist om het opslagaccount te beveiligen. Privé-eindpunten voor Speech beveiligen de kanalen voor Speech-API-aanvragen en kunnen worden gebruikt als een extra onderdeel in uw oplossing.

Toegang tot het opslagaccount beperken

  1. Ga naar Azure Portal en meld u aan bij uw account.
  2. Selecteer het opslagaccount.
  3. Selecteer Configuratie in de groep Instellingen in het linkerdeelvenster.
  4. Selecteer Uitgeschakeld voor openbare toegang tot blob toestaan.
  5. Selecteer Uitgeschakeld voor toegang tot opslagaccountsleutels toestaan
  6. Selecteer Opslaan.

Zie Anonieme openbare leestoegang tot containers en blobs voorkomen en Autorisatie van gedeelde sleutels voor een Azure Storage-account voorkomen voor meer informatie.

Azure Storage-firewall configureren

Als u beperkte toegang hebt tot het opslagaccount, moet u netwerktoegang verlenen tot de beheerde identiteit van uw Spraak-resource. Volg deze stappen om toegang toe te voegen voor de Spraak-resource.

  1. Ga naar Azure Portal en meld u aan bij uw account.

  2. Selecteer het opslagaccount.

  3. Selecteer Netwerken in de groep Beveiliging en netwerken in het linkerdeelvenster.

  4. Selecteer op het tabblad Firewalls en virtuele netwerken de optie Ingeschakeld in geselecteerde virtuele netwerken en IP-adressen.

  5. Schakel alle selectievakjes uit.

  6. Zorg ervoor dat Microsoft-netwerkroutering is geselecteerd.

  7. Selecteer in de sectie Resource-exemplaren Microsoft.CognitiveServices/accounts als het resourcetype en selecteer uw Spraak-resource als de naam van het exemplaar.

  8. Selecteer Opslaan.

    Notitie

    Het kan tot vijf minuten duren voordat de netwerkwijzigingen zijn doorgegeven.

Beveiligingsinstellingen voor opslagaccounts configureren voor Tekst-naar-spraak

In deze sectie wordt beschreven hoe u beveiligingsinstellingen voor opslagaccounts instelt als u een BYOS-gekoppeld opslagaccount wilt gebruiken voor tekst naar spraak of een combinatie van zowel spraak-naar-tekst als tekst-naar-spraak. Als u het byOS-gekoppelde opslagaccount voor alleen spraak-naar-tekst gebruikt, gebruikt u deze sectie.

Notitie

Voor tekst-naar-spraak zijn meer ontspannen instellingen van de firewall van het Opslagaccount vereist, vergeleken met Spraak naar tekst. Als u zowel Spraak-naar-tekst als Tekst-naar-spraak gebruikt en maximaal beperkte beveiligingsinstellingen voor opslagaccounts nodig hebt om uw gegevens te beveiligen, kunt u overwegen om verschillende Opslagaccounts en de bijbehorende Spraakbronnen voor spraak-naar-tekst- en spraaktaken te gebruiken.

Als u alle acties in de sectie uitvoert, heeft uw opslagaccount de volgende configuratie:

  • Extern netwerkverkeer is toegestaan.
  • Toegang tot opslagaccount met behulp van de sleutel van het opslagaccount is verboden.
  • Toegang tot opslagaccountblobopslag met sas (Shared Access Signatures) is verboden. (Met uitzondering van SAS voor gebruikersdelegering)
  • Toegang tot de spraakresource met BYOS-functionaliteit is toegestaan met behulp van de door het resourcesysteem toegewezen beheerde identiteit en SAS voor gebruikersdelegering.

Dit zijn de meest beperkte beveiligingsinstellingen die mogelijk zijn voor het tekst-naar-spraakscenario. U kunt ze verder aanpassen aan uw behoeften.

Toegang tot het opslagaccount beperken

  1. Ga naar Azure Portal en meld u aan bij uw account.
  2. Selecteer het opslagaccount.
  3. Selecteer Configuratie in de groep Instellingen in het linkerdeelvenster.
  4. Selecteer Uitgeschakeld voor openbare toegang tot blob toestaan.
  5. Selecteer Uitgeschakeld voor toegang tot opslagaccountsleutels toestaan
  6. Selecteer Opslaan.

Zie Anonieme openbare leestoegang tot containers en blobs voorkomen en Autorisatie van gedeelde sleutels voor een Azure Storage-account voorkomen voor meer informatie.

Azure Storage-firewall configureren

Aangepaste neurale spraak maakt gebruik van SAS voor gebruikersdelegatie om de gegevens te lezen voor aangepaste training van neurale spraakmodellen. Hiervoor moet extern netwerkverkeer toegang tot het opslagaccount worden toegestaan.

  1. Ga naar Azure Portal en meld u aan bij uw account.
  2. Selecteer het opslagaccount.
  3. Selecteer Netwerken in de groep Beveiliging en netwerken in het linkerdeelvenster.
  4. Selecteer op het tabblad Firewalls en virtuele netwerken de optie Ingeschakeld in alle netwerken.
  5. Selecteer Opslaan.

ByOS-gekoppeld opslagaccount configureren voor gebruik met Speech Studio

Voor veel Speech Studio-bewerkingen , zoals het uploaden van gegevenssets of het trainen en testen van aangepaste modellen, is geen speciale configuratie van een spraakresource met BYOS-functionaliteit vereist.

Als u echter gegevens moet lezen die zijn opgeslagen met het BYOS-gekoppelde opslagaccount via de Webinterface van Speech Studio, moet u meer instellingen van uw BYOS-gekoppelde opslagaccount configureren. Het is bijvoorbeeld vereist om de inhoud van een gegevensset weer te geven.

Cross-Origin Resource Sharing (CORS) configureren

Speech Studio heeft toestemming nodig om aanvragen te doen voor de blobopslag van het BYOS-gekoppelde opslagaccount. Als u een dergelijke machtiging wilt verlenen, gebruikt u CORS (Cross-Origin Resource Sharing). Volg deze stappen.

  1. Ga naar Azure Portal en meld u aan bij uw account.
  2. Selecteer het opslagaccount.
  3. Selecteer In de groep Instellingen in het linkerdeelvenster de optie Resource delen (CORS).
  4. Zorg ervoor dat het tabblad Blob Storage is geselecteerd.
  5. Configureer de volgende record:
    • Toegestane oorsprongen: https://speech.microsoft.com
    • Toegestane methoden: GET, OPTIONS
    • Toegestane headers: *
    • Weergegeven headers: *
    • Maximale leeftijd: 1000
  6. Selecteer Opslaan.

Waarschuwing

Het veld Toegestane oorsprong moet URL bevatten zonder afsluitende slash. Dat is het zou moeten zijn https://speech.microsoft.com, en niet https://speech.microsoft.com/. Als u afsluitende slash toevoegt, worden in Speech Studio de details van gegevenssets en modeltests niet weergegeven.

Azure Storage-firewall configureren

U moet toegang tot de computer toestaan, waarbij u de browser uitvoert met behulp van Speech Studio. Als de firewallinstellingen van uw opslagaccount openbare toegang vanuit alle netwerken toestaan, kunt u deze subsectie overslaan. Voer anders deze stappen uit.

  1. Ga naar Azure Portal en meld u aan bij uw account.
  2. Selecteer het opslagaccount.
  3. Selecteer Netwerken in de groep Beveiliging en netwerken in het linkerdeelvenster.
  4. Voer in de sectie Firewall het IP-adres in van de computer waarop u de webbrowser of het IP-subnet uitvoert, waartoe het IP-adres van de computer behoort.
  5. Selecteer Opslaan.

Volgende stappen