Partilhar via


Configurar o recurso Bring your own storage (BYOS) Speech

Bring your own storage (BYOS) é uma tecnologia de IA do Azure para clientes, que têm altos requisitos de segurança e privacidade de dados. O núcleo da tecnologia é a capacidade de associar uma conta de Armazenamento do Azure, que o usuário possui e controla totalmente com o recurso de Fala. Em seguida, o recurso de Fala usa essa conta de armazenamento para armazenar diferentes artefatos relacionados ao processamento de dados do usuário, em vez de armazenar os mesmos artefatos nas instalações do serviço de Fala, como é feito no caso normal. Essa abordagem permite usar todo o conjunto de recursos de segurança da conta de Armazenamento do Azure, incluindo criptografar os dados com as chaves gerenciadas pelo cliente, usar pontos de extremidade privados para acessar os dados, etc.

Em cenários BYOS, todo o tráfego entre o recurso de Fala e a conta de Armazenamento é mantido usando a rede global do Azure, ou seja, toda a comunicação é executada usando a rede privada, ignorando completamente a Internet pública. O recurso de fala no cenário BYOS está usando o mecanismo de serviços confiáveis do Azure para acessar a conta de armazenamento, confiando em identidades gerenciadas atribuídas ao sistema como um método de autenticação e RBAC (controle de acesso baseado em função) como um método de autorização.

Há uma exceção: se você usar Conversão de texto em fala e seu recurso de Fala e a conta de Armazenamento associada estiverem localizados em diferentes regiões do Azure, a Internet pública será usada para as operações, envolvendo SAS de delegação de usuário. Veja os detalhes nesta seção.

O BYOS pode ser usado com vários serviços de IA do Azure. Para Speech, ele pode ser usado nos seguintes cenários:

Conversão de fala em texto

  • Transcrição em lote
  • Transcrição em tempo real com registro de resultados de áudio e transcrição habilitado
  • Fala personalizada (modelos personalizados para reconhecimento de fala)

Conversão de texto em fala

Um recurso de fala – A combinação de conta de armazenamento pode ser usada para todos os quatro cenários simultaneamente em todas as combinações.

Este artigo descreve como criar e manter o recurso de fala habilitado para BYOS e aplicável a todos os cenários mencionados. Consulte as informações específicas do cenário nos artigos correspondentes.

Recurso de fala habilitado para BYOS: regras básicas

Considere as seguintes regras ao planejar a configuração de recursos de fala habilitada para BYOS:

  • O recurso de fala pode ser habilitado para BYOS somente durante a criação. O recurso de Fala existente não pode ser convertido para habilitado para BYOS. O recurso de fala habilitado para BYOS não pode ser convertido para o recurso "convencional" (não BYOS).
  • A associação da conta de armazenamento com o recurso de Fala é declarada durante a criação do recurso de Fala. Não pode ser alterado posteriormente. Ou seja, você não pode alterar qual conta de armazenamento está associada ao recurso de fala habilitado para BYOS existente. Para usar outra conta de armazenamento, você precisa criar outro recurso de fala habilitado para BYOS.
  • Ao criar um recurso de Fala habilitado para BYOS, você pode usar uma conta de Armazenamento existente ou criar uma automaticamente durante o provisionamento de recursos de Fala (este último é válido somente ao usar o portal do Azure).
  • Uma conta de armazenamento pode ser associada a muitos recursos de fala. Recomendamos o uso de uma conta de armazenamento por um recurso de fala.
  • A conta de armazenamento e o recurso de Fala habilitado para BYOS relacionado podem estar localizados na mesma região do Azure ou em regiões diferentes. Recomendamos usar a mesma região para minimizar a latência. Pelo mesmo motivo, não recomendamos a seleção de regiões muito remotas para configuração de várias regiões. (Por exemplo, não recomendamos colocar a conta de Armazenamento no Leste dos EUA e o recurso de Fala associado na Europa Ocidental).

Criar e configurar o recurso de Fala habilitado para BYOS

Esta seção descreve como criar um recurso de fala habilitado para BYOS.

Solicitar acesso ao BYOS para suas assinaturas do Azure

Você precisa solicitar acesso à funcionalidade BYOS para cada uma das assinaturas do Azure que planeja usar. Para solicitar acesso, preencha e envie o formulário de solicitação de acesso Serviços Cognitivos e Chaves Gerenciadas pelo Cliente de IA Aplicada e Traga Seu Próprio Armazenamento. Aguarde a aprovação do pedido.

(Opcional) Verifique se a assinatura do Azure tem acesso ao BYOS

Você pode verificar rapidamente se sua assinatura do Azure tem acesso ao BYOS. Esta verificação utiliza a funcionalidade de funcionalidades de pré-visualização do Azure.

Esta funcionalidade não está disponível através do portal do Azure.

Nota

Você pode exibir a lista de recursos de visualização de uma determinada assinatura do Azure, conforme explicado neste artigo, no entanto, observe que nem todos os recursos de visualização, incluindo o BYOS, são visíveis dessa forma.

Planejar e preparar sua conta de armazenamento

Se você usar o portal do Azure para criar um recurso de Fala habilitado para BYOS, uma conta de Armazenamento associada poderá ser criada automaticamente. Para todos os outros métodos de provisionamento (CLI do Azure, PowerShell, Solicitação de API REST), você precisa usar a conta de armazenamento existente.

Se você quiser usar a conta de Armazenamento existente e não pretende usar o método do portal do Azure para provisionamento de recursos de Fala habilitado para BYOS, observe o seguinte em relação a essa conta de Armazenamento:

  • Você precisa da ID de recurso completa do Azure da conta de armazenamento. Para obtê-lo, navegue até a conta de Armazenamento no portal do Azure e selecione o menu Pontos de Extremidade no grupo Configurações . Copie e armazene o valor do campo ID do recurso da conta de armazenamento.
  • Para configurar totalmente o BYOS, você precisa de pelo menos o direito de Proprietário de Recursos para a conta de armazenamento selecionada.

Nota

O direito de proprietário do recurso da conta de armazenamento ou superior não é necessário para usar um recurso de fala habilitado para BYOS. No entanto, ele é necessário durante a configuração inicial única da conta de armazenamento para o uso no cenário BYOS. Veja os detalhes nesta seção.

Criar recurso de fala habilitado para BYOS

Verifique se sua assinatura do Azure está habilitada para usar o BYOS antes de tentar criar o recurso de Fala. Consulte esta secção.

Há duas maneiras de criar um recurso de fala habilitado para BYOS:

  • Com o portal do Azure.
  • Com a API de Serviços Cognitivos (PowerShell, CLI do Azure, solicitação REST).

A opção de portal do Azure tem requisitos mais rígidos:

  • A conta usada para o provisionamento de recursos de Fala habilitado para BYOS deve ter um direito do Proprietário da Assinatura.
  • A conta de armazenamento associada ao BYOS só deve estar localizada na mesma região que o recurso de fala.

Se algum desses requisitos extras não se adequar ao seu cenário, use a opção API dos Serviços Cognitivos (PowerShell, CLI do Azure, solicitação REST).

Para usar qualquer um dos métodos acima, você precisa de uma conta do Azure à qual seja atribuída uma função que permita criar recursos em sua assinatura, como o Colaborador de Assinatura.

Nota

Se você usar o portal do Azure para criar um recurso de Fala habilitado para BYOS, recomendamos selecionar a opção de criar uma nova conta de Armazenamento.

Para criar um recurso de Fala habilitado para BYOS com o portal do Azure, você precisa acessar alguns recursos de visualização do portal. Efetue os seguintes passos:

  1. Navegue até a página Criar fala usando este link.
  2. Observe a seção Conta de armazenamento na parte inferior da página.
  3. Selecione Sim para Trazer sua própria opção de armazenamento .
  4. Configure as configurações necessárias da conta de armazenamento e prossiga com a criação do recurso de fala.

Se você usou o portal do Azure para criar um recurso de Fala habilitado para BYOS, ele está totalmente pronto para uso. Se você usou qualquer outro método, precisará executar a atribuição de função para a identidade gerenciada pelo recurso de Fala dentro do escopo da conta de Armazenamento associada. Em todos os casos, você também precisa revisar diferentes configurações de conta de armazenamento relacionadas à segurança de dados. Consulte esta secção.

(Opcional) Verificar a configuração do recurso de fala BYOS

Você sempre pode verificar se um determinado recurso de fala está habilitado para BYOS e qual é a conta de armazenamento associada. Pode fazê-lo através do portal do Azure ou através da API dos Serviços Cognitivos.

Para verificar a configuração BYOS de um recurso de Fala com o portal do Azure, você precisa acessar alguns recursos de visualização do portal. Efetue os seguintes passos:

  1. Navegue até a página Criar fala usando este link.
  2. Feche a tela Criar fala pressionando X no canto superior direito.
  3. Se solicitado, concorde em descartar as alterações não salvas.
  4. Navegue até o recurso de fala que você deseja verificar.
  5. Selecione o menu Armazenamento no grupo Gerenciamento de Recursos.
  6. Verifique se:
    1. O campo de armazenamento anexado contém a ID de recurso do Azure da conta de armazenamento associada ao BYOS.
    2. O tipo de identidade tem Sistema Atribuído selecionado.

Se o item de menu Armazenamento estiver ausente no grupo Gerenciamento de Recursos, o recurso de Fala selecionado não será habilitado para BYOS.

Configurar conta de armazenamento associada ao BYOS

Para obter alta segurança e privacidade de seus dados, você precisa configurar corretamente as configurações da conta de armazenamento associada ao BYOS. Caso você não tenha usado o portal do Azure para criar seu recurso de Fala habilitado para BYOS, também precisará executar uma etapa obrigatória de atribuição de função.

Atribuir função de acesso a recursos

Esta etapa é obrigatória se você não usou o portal do Azure para criar seu recurso de Fala habilitado para BYOS.

O BYOS usa o armazenamento de Blob de uma conta de armazenamento. Por isso, a identidade gerenciada por recurso de fala habilitada para BYOS precisa da atribuição da função de Colaborador de Dados de Blob de Armazenamento dentro do escopo da conta de Armazenamento associada ao BYOS.

Atenção

Não use atribuições de função personalizadas em vez da função interna de Colaborador de Dados de Blob de Armazenamento .

A falha em fazê-lo provavelmente resultará em erros de serviço difíceis de depurar e problemas relacionados ao acesso à conta de armazenamento associada ao BYOS.

Se você usou o portal do Azure para criar seu recurso de Fala habilitado para BYOS, poderá ignorar o restante desta subseção. Sua atribuição de função já está concluída. Caso contrário, siga estes passos.

Importante

Você precisa receber a função de Proprietário da conta de Armazenamento ou escopo superior (como Assinatura) para executar a operação nas próximas etapas. Isso deve-se ao facto de apenas a função de Proprietário poder atribuir funções a outras pessoas. Veja mais detalhes aqui.

  1. Aceda ao portal do Azure e inicie sessão com a sua conta do Azure.
  2. Selecione a conta de armazenamento.
  3. Selecione o menu Controle de acesso (IAM) no painel esquerdo.
  4. Selecione Adicionar atribuição de função no bloco Conceder acesso a este recurso .
  5. Selecione Colaborador de Dados de Blob de Armazenamento em Função e, em seguida, selecione Avançar.
  6. Selecione Identidade gerenciada em Membros>Atribuir acesso a.
  7. Atribua a identidade gerenciada do recurso de Fala e selecione Revisar + atribuir.
  8. Depois de confirmar as configurações, selecione Revisar + atribuir.

Definir configurações de segurança da conta de armazenamento para Fala em texto

Esta seção descreve como configurar as configurações de segurança da conta de armazenamento, se você pretende usar a conta de armazenamento associada ao BYOS somente para cenários de fala em texto. Caso você use a conta de armazenamento associada ao BYOS para Texto em fala ou uma combinação de Fala para texto e Texto para fala, use esta seção.

Para Fala em texto, o BYOS está usando o mecanismo de segurança de serviços confiáveis do Azure para se comunicar com a conta de armazenamento. O mecanismo permite definir regras de acesso restrito aos dados da conta de armazenamento.

Se você executar todas as ações na seção, sua conta de armazenamento estará na seguinte configuração:

Assim, na verdade, sua conta de armazenamento fica completamente "bloqueada" e só pode ser acessada pelo seu recurso de fala, que será capaz de:

  • Escreva artefatos de seu processamento de dados de fala (veja detalhes nos artigos correspondentes),
  • Leia os arquivos que já estavam presentes no momento em que a nova configuração foi aplicada. Por exemplo, arquivos de áudio de origem para a transcrição em lote ou arquivos de conjunto de dados para treinamento e teste de modelo personalizado.

Deve considerar esta configuração como um modelo no que diz respeito à segurança dos seus dados e personalizá-la de acordo com as suas necessidades.

Por exemplo, você pode permitir o tráfego de endereços IP públicos selecionados e redes virtuais do Azure. Você também pode configurar o acesso à sua conta de Armazenamento usando pontos de extremidade privados (consulte também este tutorial), reativar o acesso usando a chave da conta de Armazenamento, permitir o acesso a outros serviços confiáveis do Azure, etc.

Nota

O uso de pontos de extremidade privados para Fala não é necessário para proteger a conta de Armazenamento . Os pontos de extremidade privados para Fala protegem os canais para solicitações de API de Fala e podem ser usados como um componente extra em sua solução.

Restringir o acesso à conta de armazenamento

  1. Aceda ao portal do Azure e inicie sessão com a sua conta do Azure.
  2. Selecione a conta de armazenamento.
  3. No grupo Configurações no painel esquerdo, selecione Configuração.
  4. Selecione Desativado para Permitir acesso público ao Blob.
  5. Selecione Desativado para Permitir acesso à chave da conta de armazenamento
  6. Selecione Guardar.

Para obter mais informações, consulte Impedir acesso público de leitura anônimo a contêineres e blobs e Impedir autorização de chave compartilhada para uma conta de Armazenamento do Azure.

Configurar o firewall do Armazenamento do Azure

Tendo acesso restrito à conta de armazenamento, você precisa conceder acesso de rede à sua identidade gerenciada por recursos de fala. Siga estas etapas para adicionar acesso ao recurso de fala.

  1. Aceda ao portal do Azure e inicie sessão com a sua conta do Azure.

  2. Selecione a conta de armazenamento.

  3. No grupo Segurança + rede no painel esquerdo, selecione Rede.

  4. Na guia Firewalls e redes virtuais, selecione Habilitado em redes virtuais e endereços IP selecionados.

  5. Desmarque todas as caixas de seleção.

  6. Verifique se o roteamento de rede da Microsoft está selecionado.

  7. Na seção Instâncias de recurso, selecione Microsoft.CognitiveServices/accounts como o tipo de recurso e selecione seu recurso de fala como o nome da instância.

  8. Selecione Guardar.

    Nota

    Pode levar até 5 minutos para que as alterações de rede se propaguem.

Definir configurações de segurança da conta de armazenamento para Conversão de Texto em Fala

Esta seção descreve como configurar as configurações de segurança da conta de armazenamento, se você pretende usar a conta de armazenamento associada ao BYOS para conversão de texto em fala ou uma combinação de Fala em texto e Texto em fala. Caso você use a conta de armazenamento associada ao BYOS apenas para conversão de fala em texto, use esta seção.

Nota

Texto para fala requer configurações mais relaxadas do firewall da conta de armazenamento, em comparação com Fala para texto. Se você usa Fala para texto e Texto para fala e precisa de configurações de segurança de conta de armazenamento com restrição máxima para proteger seus dados, você pode considerar o uso de contas de armazenamento diferentes e os recursos de fala correspondentes para tarefas de fala para texto e texto para fala.

Se você executar todas as ações na seção, sua conta de armazenamento estará na seguinte configuração:

Essas são as configurações de segurança mais restritas possíveis para o cenário de conversão de texto em fala. Você pode personalizá-los ainda mais de acordo com suas necessidades.

Restringir o acesso à conta de armazenamento

  1. Aceda ao portal do Azure e inicie sessão com a sua conta do Azure.
  2. Selecione a conta de armazenamento.
  3. No grupo Configurações no painel esquerdo, selecione Configuração.
  4. Selecione Desativado para Permitir acesso público ao Blob.
  5. Selecione Desativado para Permitir acesso à chave da conta de armazenamento
  6. Selecione Guardar.

Para obter mais informações, consulte Impedir acesso público de leitura anônimo a contêineres e blobs e Impedir autorização de chave compartilhada para uma conta de Armazenamento do Azure.

Configurar o firewall do Armazenamento do Azure

A voz neural personalizada usa a SAS de delegação do usuário para ler os dados para o treinamento do modelo de voz neural personalizado. Requer a permissão de acesso de tráfego de rede externa à conta de armazenamento.

  1. Aceda ao portal do Azure e inicie sessão com a sua conta do Azure.
  2. Selecione a conta de armazenamento.
  3. No grupo Segurança + rede no painel esquerdo, selecione Rede.
  4. Na guia Firewalls e redes virtuais, selecione Habilitado de todas as redes.
  5. Selecione Guardar.

Configurar a conta de armazenamento associada ao BYOS para uso com o Speech Studio

Muitas operações do Speech Studio , como upload de conjunto de dados ou treinamento e teste de modelo personalizado, não exigem nenhuma configuração especial de um recurso de fala habilitado para BYOS.

No entanto, se você precisar ler os dados armazenados com a conta de armazenamento associada ao BYOS por meio da interface da Web do Speech Studio, precisará definir mais configurações da sua conta de armazenamento associada ao BYOS. Por exemplo, é necessário exibir o conteúdo de um conjunto de dados.

Configurar o compartilhamento de recursos entre origens (CORS)

O Speech Studio precisa de permissão para fazer solicitações ao armazenamento de Blob da conta de armazenamento associada ao BYOS. Para conceder essa permissão, você usa o Compartilhamento de Recursos entre Origens (CORS). Siga estes passos.

  1. Aceda ao portal do Azure e inicie sessão com a sua conta do Azure.
  2. Selecione a conta de armazenamento.
  3. No grupo Configurações no painel esquerdo, selecione Compartilhamento de recursos (CORS).
  4. Certifique-se de que a guia Armazenamento de Blob esteja selecionada.
  5. Configure o seguinte registro:
    • Origens permitidas: https://speech.microsoft.com
    • Métodos permitidos: GET, OPTIONS
    • Cabeçalhos permitidos: *
    • Cabeçalhos expostos: *
    • Idade máxima: 1000
  6. Selecione Guardar.

Aviso

O campo Origens permitidas deve conter URL sem barra à direita. Ou seja, deveria ser https://speech.microsoft.com, e não https://speech.microsoft.com/. Adicionar barra à direita fará com que o Speech Studio não mostre os detalhes de conjuntos de dados e testes de modelo.

Configurar o firewall do Armazenamento do Azure

Você precisa permitir o acesso para a máquina, onde você executa o navegador usando o Speech Studio. Se as definições da firewall da sua conta de armazenamento permitirem o acesso público a partir de todas as redes, pode ignorar esta subsecção. Caso contrário, siga estes passos.

  1. Aceda ao portal do Azure e inicie sessão com a sua conta do Azure.
  2. Selecione a conta de armazenamento.
  3. No grupo Segurança + rede no painel esquerdo, selecione Rede.
  4. Na seção Firewall, digite o endereço IP da máquina à qual você executa o navegador da Web ou a sub-rede IP, à qual pertence o endereço IP da máquina.
  5. Selecione Guardar.

Próximos passos