Freigeben über


Verwalten der Zugriffssteuerung für den verwalteten Feature Store

In diesem Artikel erfahren Sie, wie Sie den Zugriff auf (bzw. die Autorisierung für) einen verwalteten Feature Store von Azure Machine Learning verwalten können. Mit rollenbasierter Zugriffssteuerung von Azure (Azure RBAC) wird der Zugriff auf Azure-Ressourcen verwaltet, z. B. die Möglichkeit, neue Ressourcen zu erstellen oder vorhandene zu verwenden. Benutzende in Ihrer Microsoft Entra ID-Instanz erhalten bestimmte Rollen, die Zugriff auf Ressourcen gewähren. Azure bietet sowohl integrierte Rollen als auch die Möglichkeit, benutzerdefinierte Rollen zu erstellen.

Identitäten und Benutzertypen

Azure Machine Learning unterstützt die rollenbasierte Zugriffssteuerung für die folgenden verwalteten Feature Store-Ressourcen:

  • Feature Store
  • Feature Store-Entität
  • Featuresatz

Um den Zugriff auf diese Ressourcen zu steuern, berücksichtigen Sie die hier gezeigten Benutzertypen. Für jeden Benutzendentyp kann die Identität eine Microsoft Entra-Identität, ein Dienstprinzipal oder eine verwaltete Azure-Identität (sowohl systemseitig verwaltet als auch benutzerseitig zugewiesen) sein.

  • Featuresatzentwickelnde (z. B. wissenschaftliche Fachkräfte für Daten, technische Fachkräfte für Daten und technische Fachkräfte für maschinelles Lernen) arbeiten in erster Linie mit dem Feature Store-Arbeitsbereich und sind für Folgendes verantwortlich.
    • Lebenszyklus der Featureverwaltung von der Erstellung bis zur Archivierung
    • Einrichtung von Materialisierung und Featureabgleich
    • Überwachen der Aktualität und Qualität von Features
  • Nutzer*innen von Featuresätzen (z. B. wissenschaftliche Fachkräfte für Daten und technische Fachkräfte für maschinelles Lernen) arbeiten hauptsächlich in einem Projektarbeitsbereich und nutzen Features auf folgende Art und Weise:
    • Featureermittlung für die Modellwiederverwendung
    • Experimentieren mit Features während des Trainings, um festzustellen, ob diese Features die Modellleistung verbessern
    • Einrichten der Trainings-/Rückschlusspipelines, die die Features verwenden
  • Feature Store-Administrator*innen sind in der Regel für Folgendes verantwortlich:
    • Feature Store-Lebenszyklusverwaltung (von der Erstellung bis zur Außerbetriebnahme)
    • Lebenszyklusverwaltung des Benutzerzugriffs auf den Feature Store
    • Feature Store-Konfiguration: Kontingent und Speicher (Offline-/Onlinespeicher)
    • Kostenverwaltung

In dieser Tabelle sind die Berechtigungen aufgeführt, die für jeden Benutzertyp erforderlich sind:

Role BESCHREIBUNG Erforderliche Berechtigungen
feature store admin Berechtigungen zum Erstellen/Aktualisieren/Löschen des Feature Stores Für die Rolle feature store admin erforderliche Berechtigungen
feature set consumer Berechtigungen zum Verwenden definierter Featuresätze im Lebenszyklus des maschinellen Lernens Für die Rolle feature set consumer erforderliche Berechtigungen
feature set developer Berechtigungen zum Erstellen/Aktualisieren von Featuresätzen oder zum Einrichten von Materialisierungen wie Abgleich und wiederkehrende Aufträge. Für die Rolle feature set developer erforderliche Berechtigungen

Wenn Ihr Feature Store Materialisierungen erfordert, sind außerdem diese Berechtigungen erforderlich:

Role BESCHREIBUNG Erforderliche Berechtigungen
feature store materialization managed identity Die benutzerseitig zugewiesene verwaltete Azure-Identität, die von Feature Store-Materialisierungsaufträgen für den Datenzugriff verwendet wird. Diese Identität ist erforderlich, wenn für den Feature Store die Materialisierung aktiviert ist. Für die Rolle feature store materialization managed identity erforderliche Berechtigungen

Weitere Informationen zur Rollenerstellung finden Sie in der Ressource Erstellen von benutzerdefinierten Rollen.

Ressourcen

Die Gewährung des Zugriffs beinhaltet die folgenden Ressourcen:

  • der verwaltete Feature Store von Azure Machine Learning
  • das Azure-Speicherkonto (Gen2), das vom Feature Store als Offlinespeicher verwendet wird
  • die benutzerseitig zugewiesene verwaltete Azure-Identität, die vom Feature Store für seine Materialisierungsaufträge verwendet wird
  • Azure-Benutzerspeicherkonten, in denen die Quelldaten des Funktionsumfangs gehostet werden

Für die Rolle feature store admin erforderliche Berechtigungen

Zum Erstellen bzw. Löschen eines verwalteten Feature Store wird empfohlen, die integrierten Rollen Contributor und User Access Administrator für die Ressourcengruppe zu verwenden. Sie können auch eine benutzerdefinierte Rolle vom Typ Feature store admin mit den folgenden Mindestberechtigungen erstellen:

`Scope` Aktion/Rolle
resourceGroup (der Standort für die Feature Store-Erstellung) Microsoft.MachineLearningServices/workspaces/featurestores/read
resourceGroup (der Standort für die Feature Store-Erstellung) Microsoft.MachineLearningServices/workspaces/featurestores/write
resourceGroup (der Standort für die Feature Store-Erstellung) Microsoft.MachineLearningServices/workspaces/featurestores/delete
der Feature Store Microsoft.Authorization/roleAssignments/write
die benutzerseitig zugewiesene verwaltete Identität Rolle „Operator für verwaltete Identität“

Wenn ein Feature Store bereitgestellt wird, werden andere Ressourcen standardmäßig bereitgestellt. Sie können jedoch vorhandene Ressourcen verwenden. Wenn neue Ressourcen benötigt werden, muss die Identität, die den Feature Store erstellt, über die folgenden Berechtigungen für die Ressourcengruppe verfügen:

  • Microsoft.Storage/storageAccounts/write
  • Microsoft.Storage/storageAccounts/blobServices/containers/write
  • Microsoft.Insights/components/write
  • Microsoft.KeyVault/vaults/write
  • Microsoft.ContainerRegistry/registries/write
  • Microsoft.OperationalInsights/workspaces/write
  • Microsoft.ManagedIdentity/userAssignedIdentities/write

Für die Rolle feature set consumer erforderliche Berechtigungen

Verwenden Sie die folgenden integrierten Rollen, um die im Feature Store definierten Featuresätze zu nutzen:

`Scope` Role
der Feature Store AzureML Data Scientist
Quelldaten-Speicherkonten. Mit anderen Worten, die Datenquellen des Featuresatzes Rolle „Leser von Speicherblobdaten“
Speicherkonto des Offlinespeichers für den Feature Store Rolle „Leser von Speicherblobdaten“

Hinweis

AzureML Data Scientist ermöglicht es den Benutzer*innen, Featuresätze im Feature Store zu erstellen und zu aktualisieren.

Wenn die Rolle AzureML Data Scientist nicht verwendet werden soll, können Sie diese einzelnen Aktionen verwenden:

`Scope` Aktion/Rolle
der Feature Store Microsoft.MachineLearningServices/workspaces/featurestores/read
der Feature Store Microsoft.MachineLearningServices/workspaces/featuresets/read
der Feature Store Microsoft.MachineLearningServices/workspaces/featurestoreentities/read
der Feature Store Microsoft.MachineLearningServices/workspaces/datastores/listSecrets/action
der Feature Store Microsoft.MachineLearningServices/workspaces/jobs/read

Für die Rolle feature set developer erforderliche Berechtigungen

Verwenden Sie die folgenden integrierten Rollen, um Featuresätze im Feature Store zu entwickeln:

`Scope` Role
der Feature Store AzureML Data Scientist
Speicherkonten der Quelldaten Rolle „Leser von Speicherblobdaten“
Speicherkonto des Offlinespeichers für den Feature Store Rolle „Leser von Speicherblobdaten“

Wenn die Rolle AzureML Data Scientist nicht verwendet werden soll, können Sie diese einzelnen Aktionen (neben den für Featureset consumer aufgeführten Aktionen) verwenden.

`Scope` Role
der Feature Store Microsoft.MachineLearningServices/workspaces/featuresets/write
der Feature Store Microsoft.MachineLearningServices/workspaces/featuresets/delete
der Feature Store Microsoft.MachineLearningServices/workspaces/featuresets/action
der Feature Store Microsoft.MachineLearningServices/workspaces/featurestoreentities/write
der Feature Store Microsoft.MachineLearningServices/workspaces/featurestoreentities/delete
der Feature Store Microsoft.MachineLearningServices/workspaces/featurestoreentities/action

Für die Rolle feature store materialization managed identity erforderliche Berechtigungen

Verwenden Sie zusätzlich zu allen für die Rolle feature set consumer erforderlichen Berechtigungen die folgenden integrierten Rollen:

`Scope` Aktion/Rolle
Feature Store AzureML-Rolle „Wissenschaftliche Fachkraft für Daten“
Speicherkonto des Offlinespeichers für Feature Store Rolle „Mitwirkender an Storage Blob-Daten“
Speicherkonten von Quelldaten Rolle „Leser von Speicherblobdaten“

Neue Aktionen, die für den verwalteten Feature Store erstellt werden

Die folgenden neuen Aktionen werden für die Verwendung des verwalteten Feature Store erstellt:

Aktion BESCHREIBUNG
Microsoft.MachineLearningServices/workspaces/featurestores/read Auflisten, Feature Store abrufen
Microsoft.MachineLearningServices/workspaces/featurestores/write Feature Store erstellen und aktualisieren (Konfigurieren von Materialisierungsspeichern, Materialisierungscompute-Instanzen usw.)
Microsoft.MachineLearningServices/workspaces/featurestores/delete Feature Store löschen
Microsoft.MachineLearningServices/workspaces/featuresets/read Featuresätze auflisten und anzeigen
Microsoft.MachineLearningServices/workspaces/featuresets/write Featuresätze erstellen und aktualisieren Kann Materialisierungseinstellungen nicht nur erstellen oder aktualisieren, sondern auch konfigurieren
Microsoft.MachineLearningServices/workspaces/featuresets/delete Featuresätze löschen
Microsoft.MachineLearningServices/workspaces/featuresets/action Aktionen für Featuresätze auslösen (z. B. Abgleichauftrag)
Microsoft.MachineLearningServices/workspaces/featurestoreentities/read Feature Store-Entitäten auflisten und anzeigen
Microsoft.MachineLearningServices/workspaces/featurestoreentities/write Feature Store-Entitäten erstellen und aktualisieren
Microsoft.MachineLearningServices/workspaces/featurestoreentities/delete Löschen von Entitäten
Microsoft.MachineLearningServices/workspaces/featurestoreentities/action Aktionen für Feature Store-Entitäten auslösen

Es gibt keine Zugriffssteuerungsliste für Instanzen einer Feature Store-Entität und eines Funktionsumfangs.

Nächste Schritte