Azure Blob StorageからCustom Speechへ音声データを安全にアップロードする

はじめに

• Custom Speechでのデータセットのアップロードは、1. zip形式でのアップロード、2. 認証などがなくデータセットへパブリックアクセスができるURL経由の2つがあります
• Web上ではどちらでも問題ないのですが、例えばカスタムモデルの開発をすべてREST API経由で行おうとするとzip形式でのアップロードができず、パブリックURLでの方法となってしまい、データセットが外部からアクセスできてしまいます
• 本記事では、この問題を回避するための方法を解説します

やること

1. Speechリソースのシステム割り当てマネージドIDを有効にする
2. ストレージアカウントへのアクセスを制限する
3. Azure Storageファイヤウォールを設定する
4. Speechリソースにストレージへのアクセスロールを割り当てる

1. Speechリソースのシステム割り当てマネージドIDを有効にする

システム割り当てマネージドIDを有効にすると、ロールベースのアクセス制御ができるようになりますので、Blob Storageへのアクセスを許可できます。

Azure Portal上で、

1. Speechリソースを選択
2. 左側の リソース管理 で ID を選択
3. システムが割り当て済み タブで オン を選択

2. ストレージアカウントへのアクセスを制限する

ここで、Azure Blob Storageにアップされているファイルのパブリックアクセスを無効にします。

Azureポータル上で、

1. ストレージアカウントを選択
2. 設定 グループで 構成 を選択
3. BLOBパブリックアクセスを許可する を 無効 にする
4. ストレージ アカウント キーへのアクセスを許可する を 無効 に設定
5. 保存 を選択

3. Azure Storageファイアウォールを設定する

2の設定でアクセス制限をしましたが、Speechリソースのアクセスは許可したいので、下記の設定を行います。

1. ストレージアカウントを選択
2. セキュリティとネットワーク グループの ネットワーク を選択
3. ファイアウォールと仮想ネットワーク タブで 選択した仮想ネットワークとIPアドレスから有効 を選択
4. すべてのチェックボックスのチェックを解除
5. Microsoftネットワークルーティング が選択されていることを確認
6. リソースインスタンス セクションでリソースの種類として、 Microsoft.CognitiveServices/accounts を選択（インスタンス名は使用中のSpeechリソース名を選択）
7. 保存 を選択

4. Speechリソースにストレージへのアクセスロールを割り当てる

ファイアウォールを設定しただけだと、ストレージアカウント内のデータにはアクセスできないため、手順1で作成したマネージドIDに対して、ストレージBLOBデータ閲覧者ロールを割り当てます。

1. ストレージアカウントを選択
2. 左側の アクセス制御（IAM） を選択
3. このリソースへのアクセス件を付与 タイルの ロールの割り当てを追加 を選択
4. ロール で ストレージBLOBデータ閲覧者 を選択し、 次へ を選択
5. メンバー → アクセスの割り当て先 で マネージドID を選択
6. 手順1のマネージドIDを割り当て、 レビューと割り当て を選択
7. 設定を確認したら レビューと割り当て を選択

以上の手順で、Speechリソースからストレージアカウントのデータへアクセスできるようになります。