Konfigurera BYOS-talresursen (Bring Your Own Storage)

Bring Your Own Storage (BYOS) är en Azure AI-teknik för kunder som har höga krav på datasäkerhet och sekretess. Kärnan i tekniken är möjligheten att associera ett Azure Storage-konto, som användaren äger och helt kontrollerar med Speech-resursen. Speech-resursen använder sedan det här lagringskontot för att lagra olika artefakter relaterade till bearbetning av användardata, i stället för att lagra samma artefakter i Speech-tjänstens lokaler som det görs i det vanliga fallet. Med den här metoden kan du använda alla säkerhetsfunktioner i Azure Storage-kontot, inklusive att kryptera data med kundhanterade nycklar, använda privata slutpunkter för att komma åt data osv.

I BYOS-scenarier underhålls all trafik mellan Speech-resursen och lagringskontot med hjälp av det globala Azure-nätverket, med andra ord all kommunikation utförs med privat nätverk, vilket helt kringgår offentligt Internet. Talresursen i BYOS-scenariot använder Azure Trusted Services-mekanismen för att komma åt lagringskontot, förlitar sig på systemtilldelade hanterade identiteter som en autentiseringsmetod och rollbaserad åtkomstkontroll (RBAC) som auktoriseringsmetod.

Det finns ett undantag: om du använder Text till tal och din Speech-resurs och det associerade lagringskontot finns i olika Azure-regioner, används offentligt Internet för åtgärderna, med SAS för användardelegering. Mer information finns i det här avsnittet.

BYOS kan användas med flera Azure AI-tjänster. För Speech kan det användas i följande scenarier:

Tal till text

• Batch-transkription
• Transkription i realtid med loggning av ljud- och transkriptionsresultat aktiverat
• Anpassat tal (anpassade modeller för taligenkänning)

Text till tal

• Skapa ljudinnehåll
• Anpassad neural röst (anpassade modeller för talsyntetisering)

En Speech-resurs – Kombination av lagringskonto kan användas för alla fyra scenarier samtidigt i alla kombinationer.

Den här artikeln beskriver hur du skapar och underhåller BYOS-aktiverad talresurs och gäller för alla nämnda scenarier. Se scenariospecifik information i motsvarande artiklar.

BYOS-aktiverad Talresurs: Grundläggande regler

Tänk på följande regler när du planerar BYOS-aktiverad talresurskonfiguration:

• Talresursen kan endast vara BYOS-aktiverad när den skapas. Det går inte att konvertera den befintliga Speech-resursen till BYOS-aktiverad. BYOS-aktiverad Talresurs kan inte konverteras till den "konventionella" (icke-BYOS) en.
• Lagringskontoassociation med Speech-resursen deklareras när talresursen skapas. Du kan inte ändra den här inställningen senare. Du kan alltså inte ändra vilket lagringskonto som är associerat med den befintliga BYOS-aktiverade Speech-resursen. Om du vill använda ett annat Lagringskonto måste du skapa en annan BYOS-aktiverad Speech-resurs.
• När du skapar en BYOS-aktiverad Speech-resurs kan du använda ett befintligt lagringskonto eller skapa ett automatiskt under etablering av Speech-resurser (det senare är endast giltigt när du använder Azure-portalen).
• Ett lagringskonto kan associeras med många Speech-resurser. Vi rekommenderar att du använder ett lagringskonto per en Speech-resurs.
• Lagringskontot och den relaterade BYOS-aktiverade Speech-resursen kan finnas i samma eller olika Azure-regioner. Vi rekommenderar att du använder samma region för att minimera svarstiden. Av samma anledning rekommenderar vi inte att du väljer för fjärranslutna regioner för konfiguration av flera regioner. (Vi rekommenderar till exempel inte att du placerar lagringskontot i USA, östra och den associerade Speech-resursen i Europa, västra).

Skapa och konfigurera BYOS-aktiverad Speech-resurs

I det här avsnittet beskrivs hur du skapar en BYOS-aktiverad Speech-resurs.

Begär åtkomst till BYOS för dina Azure-prenumerationer

Du måste begära åtkomst till BYOS-funktioner för var och en av de Azure-prenumerationer som du planerar att använda. Om du vill begära åtkomst fyller du i och skickar Cognitive Services & Applied AI Customer Managed Keys och Bring Your Own Storage-formuläret för åtkomstbegäran. Vänta tills begäran har godkänts.

(Valfritt) Kontrollera om Azure-prenumerationen har åtkomst till BYOS

Du kan snabbt kontrollera om din Azure-prenumeration har åtkomst till BYOS. I den här kontrollen används funktioner för förhandsgranskningsfunktioner i Azure.

Azure-portalen

Den här funktionen är inte tillgänglig via Azure-portalen.

Kommentar

Du kan visa listan över förhandsversionsfunktioner för en viss Azure-prenumeration enligt beskrivningen i den här artikeln, men observera att inte alla förhandsversionsfunktioner, inklusive BYOS, är synliga på det här sättet.

PowerShell

För att kontrollera om en Azure-prenumeration har åtkomst till BYOS med PowerShell använder vi kommandot Get-AzProviderFeature .

Du kan installera PowerShell lokalt eller använda Azure Cloud Shell.

Om du använder lokal installation av PowerShell ansluter du till ditt Azure-konto med kommandot Connect-AzAccount innan du provar följande skript.

# Target subscription parameters
# REPLACE WITH YOUR CONFIGURATION VALUES
$azureSubscriptionId = "XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX"

# Select the right subscription
Set-AzContext -SubscriptionId $azureSubscriptionId 

# Check whether the Azure subscription has access to BYOS
Get-AzProviderFeature -ListAvailable -ProviderNamespace "Microsoft.CognitiveServices" | where-object FeatureName -Match byox

Om du får svaret så här har din prenumeration åtkomst till BYOS.

FeatureName ProviderName                RegistrationState
----------- ------------                -----------------
byoxPreview Microsoft.CognitiveServices Registered

Om du får ett tomt svar eller RegistrationState ett tomt värde NotRegistered har din Azure-prenumeration inte åtkomst till BYOS och du måste begära det.

Azure CLI

För att kontrollera om en Azure-prenumeration har åtkomst till BYOS med Azure CLI använder vi kommandot az feature show .

Du kan installera Azure CLI lokalt eller använda Azure Cloud Shell.

Kommentar

Följande skript använder inte variabler eftersom variabelanvändningen skiljer sig åt beroende på vilken plattform Azure CLI körs på. Se information om användning av Azure CLI-variabler i den här artikeln.

Om du använder lokal installation av Azure CLI ansluter du till ditt Azure-konto med hjälp av az login kommandot innan du provar följande skript.

az account set --subscription "XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX"

az feature show --name byoxPreview --namespace  Microsoft.CognitiveServices --output table

Om du får svaret så här har din prenumeration åtkomst till BYOS.

Name                                     RegistrationState
---------------------------------------  -------------------
Microsoft.CognitiveServices/byoxPreview  Registered

Om du får ett tomt svar eller RegistrationState ett tomt värde NotRegistered har din Azure-prenumeration inte åtkomst till BYOS och du måste begära det.

Dricks

Se ytterligare kommandon som rör en lista över förhandsversionsfunktioner för Azure-prenumerationer i den här artikeln.

REST

Om du vill kontrollera via REST API om en Azure-prenumeration har åtkomst till BYOS använder du funktioner – lista begäran från Azure Resource Manager REST API.

Om din prenumeration har åtkomst till BYOS innehåller REST-svaret följande element:

{
  "properties": {
    "state": "Registered"
  },
  "id": "/subscriptions/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX/providers/Microsoft.Features/providers/Microsoft.CognitiveServices/features/byoxPreview",
  "type": "Microsoft.Features/providers/features",
  "name": "Microsoft.CognitiveServices/byoxPreview"
}

Om REST-svaret inte innehåller referensen till byoxPreview funktionen eller om dess tillstånd är NotRegistered så har din Azure-prenumeration inte åtkomst till BYOS och du måste begära det.

Planera och förbereda ditt lagringskonto

Om du använder Azure-portalen för att skapa en BYOS-aktiverad Speech-resurs kan ett associerat lagringskonto skapas automatiskt. För alla andra etableringsmetoder (Azure CLI, PowerShell, REST API Request) måste du använda ett befintligt lagringskonto.

Om du vill använda ett befintligt lagringskonto och inte tänker använda Azure Portal-metoden för BYOS-aktiverad Speech-resursetablering bör du tänka på följande om det här lagringskontot:

• Du behöver det fullständiga Azure-resurs-ID:t för lagringskontot. Om du vill hämta det navigerar du till lagringskontot i Azure-portalen och väljer sedan menyn Slutpunkter från Inställningar grupp. Kopiera och lagra värdet för resurs-ID-fältet för lagringskontot.
• För att fullständigt konfigurera BYOS behöver du minst resursägarrätt för det valda lagringskontot.

Kommentar

Lagringskontots resursägare eller högre krävs inte för att använda en BYOS-aktiverad Speech-resurs. Det krävs dock under den första engångskonfigurationen av lagringskontot för användningen i BYOS-scenariot. Mer information finns i det här avsnittet.

Skapa BYOS-aktiverad Speech-resurs

Kontrollera att din Azure-prenumeration är aktiverad för användning av BYOS innan du försöker skapa Speech-resursen. Se det här avsnittet.

Det finns två sätt att skapa en BYOS-aktiverad Speech-resurs:

• Med Azure-portalen.
• Med Cognitive Services API (PowerShell, Azure CLI, REST-begäran).

Azure-portalalternativet har strängare krav:

• Kontot som används för BYOS-aktiverad speech-resursetablering ska ha rätt till prenumerationsägaren.
• BYOS-associerat lagringskonto bör endast finnas i samma region som Speech-resursen.

Om något av dessa extra krav inte passar ditt scenario använder du api-alternativet Cognitive Services (PowerShell, Azure CLI, REST-begäran).

Om du vill använda någon av metoderna ovan behöver du ett Azure-konto som har tilldelats en roll som gör det möjligt att skapa resurser i din prenumeration, till exempel Prenumerationsdeltagare.

Azure-portalen

Kommentar

Om du använder Azure-portalen för att skapa en BYOS-aktiverad Speech-resurs rekommenderar vi att du väljer alternativet att skapa ett nytt lagringskonto.

Om du vill skapa en BYOS-aktiverad Speech-resurs med Azure-portalen måste du komma åt vissa portalförhandsgranskningsfunktioner. Utför följande steg:

1. Gå till sidan Skapa tal med den här länken.
2. Observera avsnittet Lagringskonto längst ned på sidan.
3. Välj Ja för Alternativet Ta med egen lagring .
4. Konfigurera nödvändiga inställningar för lagringskontot och fortsätt med att skapa Tal-resursen.

PowerShell

För att skapa en BYOS-aktiverad Speech-resurs med PowerShell använder vi kommandot New-AzCognitiveServicesAccount .

Du kan installera PowerShell lokalt eller använda Azure Cloud Shell.

Om du använder lokal installation av PowerShell ansluter du till ditt Azure-konto med kommandot Connect-AzAccount innan du provar följande skript.

# Target subscription parameters
# REPLACE WITH YOUR CONFIGURATION VALUES
$azureSubscriptionId = "XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX"
$azureResourceGroup = "myResourceGroup"
$azureSpeechResourceName = "myBYOSSpeechResource"
$azureStorageAccount = <Full Storage account Azure Resource ID in the format of "/subscriptions/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX/resourceGroups/<resource_group_name>/providers/Microsoft.Storage/storageAccounts/<storage_account_name>">
$azureLocation = "eastus"

# Select the right subscription
Set-AzContext -SubscriptionId $azureSubscriptionId 

# Create BYOS-enabled Speech resource
New-AzCognitiveServicesAccount -ResourceGroupName $azureResourceGroup  -name $azureSpeechResourceName -Type SpeechServices -SkuName S0 -Location $azureLocation -AssignIdentity -Storage $azureStorageAccount

Azure CLI

För att skapa en BYOS-aktiverad Speech-resurs med Azure CLI använder vi kommandot az cognitiveservices account create .

Du kan installera Azure CLI lokalt eller använda Azure Cloud Shell.

Kommentar

Följande skript använder inte variabler eftersom variabelanvändningen skiljer sig åt beroende på vilken plattform Azure CLI körs på. Se information om användning av Azure CLI-variabler i den här artikeln.

Om du använder lokal installation av Azure CLI ansluter du till ditt Azure-konto med hjälp av az login kommandot innan du provar följande skript.

az account set --subscription "XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX"

az cognitiveservices account create -n "myBYOSSpeechResource" -g "myResourceGroup" --assign-identity --kind SpeechServices --sku S0 -l eastus --yes --storage '[{"resourceId": "/subscriptions/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX/resourceGroups/<resource_group_name>/providers/Microsoft.Storage/storageAccounts/<storage_account_name>"}]'

Viktigt!

Det här skriptet fungerar i Azure Cloud Shell Bash. Om du vill använda den i någon annan miljö bör du vara särskilt uppmärksam på parametervärdets --storage format. Se följande information.

Olika kommandogränssnitt har olika regler för att tolka citattecken i kommandoradsparametervärden. Om du till exempel vill köra samma skript från Windows-kommandotolken --storage ska en del av kommandot formateras så här:

--storage "[{""resourceId"": ""/subscriptions/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX/resourceGroups/<resource_group_name>/providers/Microsoft.Storage/storageAccounts/<storage_account_name>""}]"

Allmän regel är att du måste skicka den här JSON-strängen som ett värde för --storage parametern:

[{"resourceId": "/subscriptions/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX/resourceGroups/<resource_group_name>/providers/Microsoft.Storage/storageAccounts/<storage_account_name>"}]

REST

För att skapa en BYOS-aktiverad talresurs med en REST-begäran till Cognitive Services API använder vi Konton – Skapa begäran.

Du måste ha ett autentiseringsmedel. I exemplet i det här avsnittet används Microsoft Entra-token.

Det här kodfragmentet genererar Microsoft Entra-token med hjälp av interaktiv webbläsarinloggning. Det kräver Azure Identity-klientbiblioteket:

TokenRequestContext context = new Azure.Core.TokenRequestContext(new string[] { "https://management.azure.com/.default" });
InteractiveBrowserCredential browserCredential = new InteractiveBrowserCredential();
var aadToken = browserCredential.GetToken(context);
var token = aadToken.Token;

Kör nu REST-begäran:

@ECHO OFF

curl -v -X PUT "https://management.azure.com/subscriptions/{AzureSubscriptionId}/resourceGroups/{myResourceGroup}/providers/Microsoft.CognitiveServices/accounts/{myBYOSSpeechResource}?api-version=2021-10-01"
-H "Content-Type: application/json"
-H "Authorization: Bearer {Value_of_token_variable}"

--data-ascii "{body}" 

Här är brödtexten i begäran:

{
  "location": "East US",
  "kind": "SpeechServices",
  "sku": {

  "name": "S0"
  },
  "properties": {
    "userOwnedStorage": [
    {
      "resourceId": "/subscriptions/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX/resourceGroups/<resource_group_name>/providers/Microsoft.Storage/storageAccounts/<storage_account_name>"
    }
  ]
  },
  "identity": {
    "type": "SystemAssigned"
  }
}

Om du använde Azure-portalen för att skapa en BYOS-aktiverad Speech-resurs är den helt redo att användas. Om du använde någon annan metod måste du utföra rolltilldelningen för den hanterade identiteten för Speech-resursen inom omfånget för det associerade lagringskontot. I samtliga fall måste du också granska olika inställningar för lagringskonto som rör datasäkerhet. Se det här avsnittet.

(Valfritt) Verifiera BYOS-konfiguration för Speech-resurs

Du kan alltid kontrollera om en viss Speech-resurs är BYOS-aktiverad och vad som är det associerade lagringskontot. Du kan göra det antingen via Azure-portalen eller via Cognitive Services API.

Azure-portalen

Om du vill kontrollera BYOS-konfigurationen av en Speech-resurs med Azure-portalen måste du komma åt vissa portalförhandsgranskningsfunktioner. Utför följande steg:

1. Gå till sidan Skapa tal med den här länken.
2. Stäng Skärmen Skapa tal genom att trycka på X i det högra övre hörnet.
3. Om du uppmanas att godkänna att ignorera ändringar som inte har sparats.
4. Gå till den Talresurs som du vill kontrollera.
5. Välj Lagringsmenyn i gruppen Resurshantering .
6. Kontrollera att:
   1. Det anslutna lagringsfältet innehåller Azure-resurs-ID:t för det BYOS-associerade lagringskontot.
   2. Identitetstypen har systemtilldelad vald.

Om menyalternativet Lagring saknas i resurshanteringsgruppen är den valda Talresursen inte BYOS-aktiverad.

PowerShell

Använd kommandot Get-AzCognitiveServicesAccount:

Get-AzCognitiveServicesAccount -ResourceGroupName "myResourceGroup" -name "myBYOSSpeechResource"

Leta efter userOwnedStorage parametergruppen i kommandoutdata. Om Speech-resursen är BYOS-aktiverad har gruppen Azure-resurs-ID för det associerade lagringskontot. Om gruppen userOwnedStorage är tom eller saknas är den valda Talresursen inte BYOS-aktiverad.

Azure CLI

Använd kommandot az cognitiveservices account show:

az cognitiveservices account show -g "myResourceGroup" -n "myBYOSSpeechResource"

Leta efter userOwnedStorage parametergruppen i kommandoutdata. Om Speech-resursen är BYOS-aktiverad har gruppen Azure-resurs-ID för det associerade lagringskontot. Om gruppen userOwnedStorage är tom eller saknas är den valda Talresursen inte BYOS-aktiverad.

REST

Använd Konton – Hämta begäran. Leta efter userOwnedStorage parametergruppen i begärandeutdata. Om Speech-resursen är BYOS-aktiverad har gruppen Azure-resurs-ID för det associerade lagringskontot. Om gruppen userOwnedStorage är tom eller saknas är den valda Talresursen inte BYOS-aktiverad.

Konfigurera BYOS-associerat lagringskonto

För att uppnå hög säkerhet och sekretess för dina data måste du konfigurera inställningarna för det BYOS-associerade lagringskontot korrekt. Om du inte använde Azure-portalen för att skapa din BYOS-aktiverade Speech-resurs måste du också utföra ett obligatoriskt steg för rolltilldelning.

Tilldela resursåtkomstroll

Det här steget är obligatoriskt om du inte använde Azure-portalen för att skapa din BYOS-aktiverade Speech-resurs.

BYOS använder Blob Storage för ett lagringskonto. Därför behöver BYOS-aktiverad hanterad speechresursidentitet rolltilldelning för Lagringsblobdatadeltagare inom omfånget för BYOS-associerat lagringskonto.

Om du använde Azure-portalen för att skapa din BYOS-aktiverade Speech-resurs kan du hoppa över resten av det här underavsnittet. Rolltilldelningen är redan klar. Annars följer du de här stegen.

Viktigt!

Du måste tilldelas rollen Ägare för lagringskontot eller högre omfång (t.ex. prenumeration) för att utföra åtgärden i nästa steg. Det beror på att endast rollen Ägare kan tilldela roller till andra. Mer information finns här

1. Gå till Azure-portalen och logga in på ditt Azure-konto.
2. Välj lagringskontot.
3. Välj menyn Åtkomstkontroll (IAM) i den vänstra rutan.
4. Välj Lägg till rolltilldelning i panelen Bevilja åtkomst till den här resursen .
5. Välj Lagringsblobdatadeltagare under Roll och välj sedan Nästa.
6. Välj Hanterad identitet under Medlemmar>Tilldela åtkomst till.
7. Tilldela den hanterade identiteten för din Speech-resurs och välj sedan Granska + tilldela.
8. När du har bekräftat inställningarna väljer du Granska + tilldela.

Konfigurera säkerhetsinställningar för lagringskonto för Tal till text

I det här avsnittet beskrivs hur du konfigurerar säkerhetsinställningar för lagringskontot om du tänker använda BYOS-associerat lagringskonto endast för tal till text-scenarier. Om du använder det BYOS-associerade lagringskontot för text till tal eller en kombination av både Tal till text och Text till tal använder du det här avsnittet.

För Tal till text använder BYOS den betrodda Säkerhetsmekanismen för Azure-tjänster för att kommunicera med lagringskontot. Mekanismen gör det möjligt att ange regler för åtkomst till begränsade lagringskonton.

Om du utför alla åtgärder i avsnittet finns lagringskontot i följande konfiguration:

• Åtkomst till all extern nätverkstrafik är förbjuden.
• Åtkomst till lagringskonto med hjälp av lagringskontonyckeln är förbjuden.
• Åtkomst till Lagringskontots bloblagring med hjälp av signaturer för delad åtkomst (SAS) är förbjuden. (Med undantag för SAS för användardelegering)
• Åtkomst till den BYOS-aktiverade Speech-resursen tillåts med hjälp av resurssystemets tilldelade hanterade identitet.

I själva verket blir ditt Lagringskonto helt "låst" och kan endast nås av din Speech-resurs, vilket kommer att kunna:

• Skriva artefakter från din taldatabearbetning (se information i korrespondentartiklarna),
• Läs de filer som redan fanns när den nya konfigurationen tillämpades. Till exempel källljudfiler för Batch-transkription eller Datauppsättningsfiler för anpassad modellträning och testning.

Du bör betrakta den här konfigurationen som en modell när det gäller säkerheten för dina data och anpassa den efter dina behov.

Du kan till exempel tillåta trafik från valda offentliga IP-adresser och virtuella Azure-nätverk. Du kan också konfigurera åtkomst till ditt Lagringskonto med hjälp av privata slutpunkter (se även den här självstudien), återaktivera åtkomst med hjälp av lagringskontonyckel, tillåta åtkomst till andra betrodda Azure-tjänster osv.

Kommentar

Det krävs inte att du använder privata slutpunkter för Speech för att skydda lagringskontot. Privata slutpunkter för Speech skyddar kanalerna för Speech API-begäranden och kan användas som en extra komponent i din lösning.

Begränsa åtkomsten till lagringskontot

1. Gå till Azure-portalen och logga in på ditt Azure-konto.
2. Välj lagringskontot.
3. I gruppen Inställningar i den vänstra rutan väljer du Konfiguration.
4. Välj Inaktiverad för Tillåt offentlig blobåtkomst.
5. Välj Inaktiverad för Tillåt åtkomst till lagringskontonyckel
6. Välj Spara.

Mer information finns i Förhindra anonym offentlig läsåtkomst till containrar och blobar och Förhindra auktorisering av delad nyckel för ett Azure Storage-konto.

Konfigurera Azure Storage-brandväggen

Om du har begränsad åtkomst till lagringskontot måste du bevilja nätverksåtkomst till din hanterade identitet för Speech-resursen. Följ de här stegen för att lägga till åtkomst för Speech-resursen.

1. Gå till Azure-portalen och logga in på ditt Azure-konto.

2. Välj lagringskontot.

3. I gruppen Säkerhet + nätverk i den vänstra rutan väljer du Nätverk.

4. På fliken Brandväggar och virtuella nätverk väljer du Aktiverad från valda virtuella nätverk och IP-adresser.

5. Avmarkera alla kryssrutor.

6. Kontrollera att Microsofts nätverksroutning är markerad.

7. Under avsnittet Resursinstanser väljer du Microsoft.CognitiveServices/accounts som resurstyp och väljer din Speech-resurs som instansnamn.

8. Välj Spara.

   Kommentar

   Det kan ta upp till 5 minuter innan nätverksändringarna sprids.

Konfigurera säkerhetsinställningar för lagringskonto för text till tal

I det här avsnittet beskrivs hur du konfigurerar säkerhetsinställningar för lagringskontot, om du tänker använda BYOS-associerat lagringskonto för text till tal eller en kombination av både Tal till text och Text till tal. Om du endast använder det BYOS-associerade lagringskontot för Tal till text använder du det här avsnittet.

Kommentar

Text till tal kräver mer avslappnade inställningar av brandväggen för lagringskontot jämfört med Tal till text. Om du använder både Tal till text och Text till tal och behöver maximalt begränsade säkerhetsinställningar för lagringskontot för att skydda dina data kan du överväga att använda olika lagringskonton och motsvarande Speech-resurser för tal till text och text till tal-uppgifter.

Om du utför alla åtgärder i avsnittet finns lagringskontot i följande konfiguration:

• Extern nätverkstrafik tillåts.
• Åtkomst till lagringskonto med hjälp av lagringskontonyckeln är förbjuden.
• Åtkomst till Lagringskontots bloblagring med hjälp av signaturer för delad åtkomst (SAS) är förbjuden. (Med undantag för SAS för användardelegering)
• Åtkomst till den BYOS-aktiverade Speech-resursen tillåts med hjälp av resurssystemets tilldelade hanterade identitet och SAS för användardelegering.

Det här är de mest begränsade säkerhetsinställningarna som är möjliga för text till tal-scenariot. Du kan anpassa dem ytterligare efter dina behov.

Begränsa åtkomsten till lagringskontot

1. Gå till Azure-portalen och logga in på ditt Azure-konto.
2. Välj lagringskontot.
3. I gruppen Inställningar i den vänstra rutan väljer du Konfiguration.
4. Välj Inaktiverad för Tillåt offentlig blobåtkomst.
5. Välj Inaktiverad för Tillåt åtkomst till lagringskontonyckel
6. Välj Spara.

Mer information finns i Förhindra anonym offentlig läsåtkomst till containrar och blobar och Förhindra auktorisering av delad nyckel för ett Azure Storage-konto.

Konfigurera Azure Storage-brandväggen

Anpassad neural röst använder SAS för användardelegering för att läsa data för anpassad neural röstmodellträning. Det kräver att extern nätverkstrafik får åtkomst till lagringskontot.

1. Gå till Azure-portalen och logga in på ditt Azure-konto.
2. Välj lagringskontot.
3. I gruppen Säkerhet + nätverk i den vänstra rutan väljer du Nätverk.
4. På fliken Brandväggar och virtuella nätverk väljer du Aktiverad från alla nätverk.
5. Välj Spara.

Konfigurera BYOS-associerat lagringskonto för användning med Speech Studio

Många Speech Studio-åtgärder som uppladdning av datamängder eller träning och testning av anpassade modeller kräver inte någon särskild konfiguration av en BYOS-aktiverad Talresurs.

Men om du behöver läsa data som lagras med ett BYOS-associerat lagringskonto via Speech Studio-webbgränssnittet måste du konfigurera fler inställningar för ditt BYOS-associerade lagringskonto. Det är till exempel nödvändigt att visa innehållet i en datamängd.

Konfigurera resursdelning mellan ursprung (CORS)

Speech Studio behöver behörighet att göra begäranden till Blob Storage för det BYOS-associerade lagringskontot. Om du vill bevilja sådan behörighet använder du CORS (Cross-Origin Resource Sharing). Följ dessa steg.

1. Gå till Azure-portalen och logga in på ditt Azure-konto.
2. Välj lagringskontot.
3. Välj Resursdelning (CORS) i den Inställningar gruppen i den vänstra rutan.
4. Kontrollera att fliken Blob Storage är markerad.
5. Konfigurera följande post:
   • Tillåtet ursprung: https://speech.microsoft.com
   • Tillåtna metoder: GET, OPTIONS
   • Tillåtna rubriker: *
   • Synliga rubriker: *
   • Max ålder: 1000
6. Välj Spara.

Varning

Fältet Tillåtet ursprung ska innehålla URL utan avslutande snedstreck. Det är det ska vara https://speech.microsoft.com, och inte https://speech.microsoft.com/. Om du lägger till avslutande snedstreck visas inte information om datauppsättningar och modelltester i Speech Studio.

Konfigurera Azure Storage-brandväggen

Du måste tillåta åtkomst för datorn, där du kör webbläsaren med Speech Studio. Om brandväggsinställningarna för lagringskontot tillåter offentlig åtkomst från alla nätverk kan du hoppa över det här underavsnittet. Annars följer du de här stegen.

1. Gå till Azure-portalen och logga in på ditt Azure-konto.
2. Välj lagringskontot.
3. I gruppen Säkerhet + nätverk i den vänstra rutan väljer du Nätverk.
4. I avsnittet Brandvägg anger du antingen IP-adressen för den dator där du kör webbläsaren eller IP-undernätet, som datorns IP-adress tillhör.
5. Välj Spara.

Nästa steg

• Använd BYOS-talresursen (Bring Your Own Storage) för Tal till text