Rollbaserad åtkomstkontroll för Speech-resurser
Du kan hantera åtkomst och behörigheter till dina Speech-resurser med rollbaserad åtkomstkontroll i Azure (Azure RBAC). Tilldelade roller kan variera mellan olika Speech-resurser. Du kan till exempel tilldela en roll till en Speech-resurs som endast ska användas för att träna en anpassad talmodell. Du kan tilldela en annan roll till en Speech-resurs som används för att transkribera ljudfiler. Beroende på vem som har åtkomst till varje Speech-resurs kan du effektivt ange en annan åtkomstnivå per program eller användare. Mer information om Azure RBAC finns i Azure RBAC-dokumentationen.
Kommentar
En Speech-resurs kan ärva eller tilldelas flera roller. Den sista åtkomstnivån till resursen är en kombination av alla rollbehörigheter.
Roller för Speech-resurser
En rolldefinition är en samling behörigheter. När du skapar en Speech-resurs är de inbyggda rollerna i följande tabell tillgängliga för tilldelning.
Varning
Speech Service-arkitekturen skiljer sig från andra Azure AI-tjänster på det sätt som den använder Azure-kontrollplan och dataplan. Speech Service använder dataplanet i stor utsträckning jämfört med andra Azure AI-tjänster, och detta kräver olika konfiguration för rollerna. På grund av detta har vissa allmänna Cognitive Services-roller faktisk åtkomsträtt inställd som inte exakt matchar deras namn när de används i Speech Services-scenariot. Till exempel ger Cognitive Services-användaren i praktiken deltagarrättigheterna, medan Cognitive Services-deltagaren inte ger någon åtkomst alls. Detsamma gäller för allmänna ägar- och deltagarroller som inte har några dataplansrättigheter och därmed inte ger någon åtkomst till Speech-resursen. För att behålla konsekvensen rekommenderar vi att du använder roller som innehåller Speech i deras namn. De här rollerna är Cognitive Services Speech User och Cognitive Services Speech Contributor. Deras åtkomsträttsuppsättningar har utformats specifikt för Speech-tjänsten. Om du vill använda allmänna Cognitive Services-roller och allmänna Azure-roller ber vi dig att noggrant studera följande tabell för åtkomsträtt.
| Roll | Kan lista resursnycklar | Åtkomst till data, modeller och slutpunkter i anpassade projekt | Åtkomst till talranskription och syntes-API:er |
|---|---|---|---|
| Ägare | Ja | None | Nej |
| Deltagare | Ja | None | Nej |
| Cognitive Services-deltagare | Ja | None | Nej |
| Cognitive Services-användare | Ja | Visa, skapa, redigera och ta bort | Ja |
| Cognitive Services Speech-deltagare | Nej | Visa, skapa, redigera och ta bort | Ja |
| Cognitive Services Speech-användare | Nej | Visa endast | Ja |
| Cognitive Services-dataläsare (förhandsversion) | Nej | Visa endast | Ja |
Viktigt!
Om en roll kan lista resursnycklar är viktigt för Speech Studio-autentisering. Om du vill visa en lista över resursnycklar måste en roll ha behörighet att köra åtgärden Microsoft.CognitiveServices/accounts/listKeys/action . Observera att om nyckelautentisering är inaktiverat i Azure-portalen kan ingen av rollerna lista nycklar.
Behåll de inbyggda rollerna om din Speech-resurs kan ha fullständig läs- och skrivåtkomst till projekten.
För finare resursåtkomstkontroll kan du lägga till eller ta bort roller med hjälp av Azure-portalen. Du kan till exempel skapa en anpassad roll med behörighet att ladda upp anpassade taldatauppsättningar, men utan behörighet att distribuera en anpassad talmodell till en slutpunkt.
Autentisering med nycklar och token
Rollerna definierar vilka behörigheter du har. Autentisering krävs för att använda Speech-resursen.
För att autentisera med Speech-resursnycklar behöver du bara nyckeln och regionen. Om du vill autentisera med en Microsoft Entra-token måste Speech-resursen ha en anpassad underdomän och använda en privat slutpunkt. Speech-tjänsten använder anpassade underdomäner med endast privata slutpunkter.
Speech SDK-autentisering
För SDK:t konfigurerar du om du vill autentisera med en Speech-resursnyckel eller Microsoft Entra-token. Mer information finns i Microsoft Entra-autentisering med Speech SDK.
Speech Studio-autentisering
När du har loggat in på Speech Studio väljer du en prenumeration och en Speech-resurs. Du väljer inte om du vill autentisera med en Speech-resursnyckel eller Microsoft Entra-token. Speech Studio hämtar nyckeln eller token automatiskt från Speech-resursen. Om en av de tilldelade rollerna har behörighet att lista resursnycklar autentiserar Speech Studio med nyckeln. Annars autentiserar Speech Studio med Microsoft Entra-token.
Om Speech Studio använder din Microsoft Entra-token, men Speech-resursen inte har en anpassad underdomän och privat slutpunkt, kan du inte använda vissa funktioner i Speech Studio. I det här fallet kan till exempel Speech-resursen användas för att träna en anpassad talmodell, men du kan inte använda en anpassad talmodell för att transkribera ljudfiler.
| Autentiseringsautentiseringsuppgifter | Funktion tillgänglig |
|---|---|
| Talresursnyckel | Full åtkomst. Rollkonfigurationen ignoreras om resursnyckeln används. |
| Microsoft Entra-token med anpassad underdomän och privat slutpunkt | Fullständig åtkomst begränsas endast av de tilldelade rollbehörigheterna. |
| Microsoft Entra-token utan anpassad underdomän och privat slutpunkt (rekommenderas inte) | Funktionerna är begränsade. Till exempel kan Speech-resursen användas för att träna en anpassad talmodell eller anpassad neural röst. Men du kan inte använda en anpassad talmodell eller anpassad neural röst. |