Controle de acesso baseado em função para recursos de Fala
Você pode gerenciar acesso e permissões para seus recursos de Fala com o RBAC (controle de acesso baseado em função) do Azure. As funções atribuídas podem variar entre os recursos de Fala. Por exemplo, você pode atribuir uma função a um recurso de Fala que só deve ser usado para treinar um modelo de fala personalizada. Você pode atribuir outra função a um recurso de Fala usado para transcrever arquivos de áudio. Dependendo de quem pode acessar cada recurso de Fala, você pode definir efetivamente um nível diferente de acesso por aplicativo ou usuário. Para obter mais informações sobre o RBAC do Azure, confira a documentação do RBAC do Azure.
Observação
Um recurso de Fala pode herdar ou receber várias funções. O nível final de acesso ao recurso é uma combinação de todas as permissões de função.
Funções para recursos de Fala
Uma definição de função é uma coleção de permissões. Quando você cria um recurso de Fala, as funções internas na tabela a seguir estão disponíveis para atribuição.
Aviso
A arquitetura do serviço de fala difere de outros serviços de IA do Azure na maneira como usa o plano de controle e o plano de dados do Azure. O serviço de fala está usando extensivamente o plano de dados em comparação com outros serviços de IA do Azure, e isso requer uma configuração diferente para as funções. Devido a isso, algumas funções gerais dos Serviços Cognitivos têm um conjunto de permissões de acesso real que não corresponde exatamente ao seu nome quando usado em cenários de serviços de Fala. Por exemplo, o Usuário dos Serviços Cognitivos fornece, na verdade, os direitos de Colaborador, enquanto o Colaborador dos Serviços Cognitivos não fornece nenhum acesso. O mesmo vale para funções genéricas de Proprietário e Colaborador que não têm direitos de plano de dados e, consequentemente, não fornecem acesso ao recurso de Fala. Para manter a consistência, recomendamos usar funções que contêm Fala em seus nomes. Essas funções são Usuário de Fala dos Serviços Cognitivos e Colaborador de Fala dos Serviços Cognitivos. Seus conjuntos de direitos de acesso foram projetados especificamente para o serviço de Fala. Caso você queira usar funções gerais dos Serviços Cognitivos e funções genéricas do Azure, pedimos que você estude cuidadosamente a tabela correta de acesso a seguir.
Função | Pode listar chaves de recurso | Acesso a dados, modelos e pontos de extremidade em projetos personalizados | Acesso às APIs de transcrição e síntese de fala |
---|---|---|---|
Proprietário | Sim | Nenhum | Não |
Colaborador | Sim | Nenhum | Não |
Colaborador dos Serviços Cognitivos | Sim | Nenhum | Não |
Usuário dos Serviços Cognitivos | Sim | Exibir, criar, editar e excluir | Sim |
Contribuidor de Fala dos Serviços Cognitivos | Não | Exibir, criar, editar e excluir | Sim |
Usuário de Fala dos Serviços Cognitivos | Não | Somente exibição | Sim |
Leitor de Dados de Serviços Cognitivos (Versão Prévia) | Não | Somente exibição | Sim |
Importante
Saber se uma função pode ou não listar chaves de recurso é importante para a autenticação do Speech Studio. Para listar chaves de recurso, uma função deve ter permissão para executar a operação Microsoft.CognitiveServices/accounts/listKeys/action
. Observe que, se a autenticação de chave estiver desabilitada no Portal do Azure, nenhuma das funções poderá listar chaves.
Mantenha as funções internas se o recurso de Fala puder ter acesso completo de leitura e gravação aos projetos.
Para um controle de acesso a recursos mais refinado, você pode adicionar ou remover funções usando o portal do Azure. Por exemplo, você pode criar uma função personalizada com a permissão para carregar conjuntos de dados de fala personalizada, mas sem permissão para implantar um modelo de fala personalizada em um ponto de extremidade.
Autenticação com chaves e tokens
As funções definem quais permissões você tem. A autenticação é necessária para usar o recurso de Fala.
Para autenticar com chaves de recurso de Fala, tudo o que você precisa é a chave e a região. Para autenticar com um token do Microsoft Entra, o recurso de Fala deve ter um subdomínio personalizado e usar um ponto de extremidade privado. O serviço de Fala usa subdomínios personalizados somente com pontos de extremidade privados.
Autenticação do SDK de Fala
Para o SDK, você configura se deseja se autenticar com uma chave de recurso de Fala ou token do Microsoft Entra. Para obter detalhes, consulte Autenticação do Microsoft Entra com o SDK de Fala.
Autenticação do Speech Studio
Depois de entrar no Speech Studio, selecione uma assinatura e um recurso de Fala. Não é possível escolher se autenticar com uma chave de recurso de Fala ou token do Microsoft Entra. O Speech Studio obtém a chave ou o token automaticamente do recurso de Fala. Se uma das funções atribuídas tiver permissão para listar chaves de recursos, o Speech Studio se autenticará com a chave. Caso contrário, o Speech Studio se autenticará com o token do Microsoft Entra.
Se o Speech Studio usar o token do Microsoft Entra, mas o recurso de Fala não tiver um subdomínio personalizado e um ponto de extremidade privado, você não poderá usar alguns recursos no Speech Studio. Nesse caso, por exemplo, o recurso de Fala pode ser usado para treinar um modelo de fala personalizada, mas você não pode usar um modelo de fala personalizada para transcrever arquivos de áudio.
Credencial de autenticação | Disponibilidade de recursos |
---|---|
Chave de recurso de Fala | Acesso completo. A configuração da função será ignorada se a chave de recurso for usada. |
Token do Microsoft Entra com subdomínio personalizado e ponto de extremidade privado | Acesso completo limitado somente pelas permissões de função atribuídas. |
Token do Microsoft Entra sem subdomínio personalizado e ponto de extremidade privado (não recomendado) | Os recursos são limitados. Por exemplo, o recurso de Fala pode ser usado para treinar um modelo de fala personalizada ou sintetização de voz personalizada. Mas você não pode usar um modelo de fala personalizada ou uma sintetização de voz personalizada. |