Verwalten der Zugriffssteuerung für den verwalteten Feature Store
In diesem Artikel erfahren Sie, wie Sie den Zugriff auf (bzw. die Autorisierung für) einen verwalteten Feature Store von Azure Machine Learning verwalten können. Mit rollenbasierter Zugriffssteuerung von Azure (Azure RBAC) wird der Zugriff auf Azure-Ressourcen verwaltet, z. B. die Möglichkeit, neue Ressourcen zu erstellen oder vorhandene zu verwenden. Benutzende in Ihrer Microsoft Entra ID-Instanz erhalten bestimmte Rollen, die Zugriff auf Ressourcen gewähren. Azure bietet sowohl integrierte Rollen als auch die Möglichkeit, benutzerdefinierte Rollen zu erstellen.
Identitäten und Benutzertypen
Azure Machine Learning unterstützt die rollenbasierte Zugriffssteuerung für die folgenden verwalteten Feature Store-Ressourcen:
- Feature Store
- Feature Store-Entität
- Featuresatz
Um den Zugriff auf diese Ressourcen zu steuern, berücksichtigen Sie die hier gezeigten Benutzertypen. Für jeden Benutzendentyp kann die Identität eine Microsoft Entra-Identität, ein Dienstprinzipal oder eine verwaltete Azure-Identität (sowohl systemseitig verwaltet als auch benutzerseitig zugewiesen) sein.
- Featuresatzentwickelnde (z. B. wissenschaftliche Fachkräfte für Daten, technische Fachkräfte für Daten und technische Fachkräfte für maschinelles Lernen) arbeiten in erster Linie mit dem Feature Store-Arbeitsbereich und sind für Folgendes verantwortlich.
- Lebenszyklus der Featureverwaltung von der Erstellung bis zur Archivierung
- Einrichtung von Materialisierung und Featureabgleich
- Überwachen der Aktualität und Qualität von Features
- Nutzer*innen von Featuresätzen (z. B. wissenschaftliche Fachkräfte für Daten und technische Fachkräfte für maschinelles Lernen) arbeiten hauptsächlich in einem Projektarbeitsbereich und nutzen Features auf folgende Art und Weise:
- Featureermittlung für die Modellwiederverwendung
- Experimentieren mit Features während des Trainings, um festzustellen, ob diese Features die Modellleistung verbessern
- Einrichten der Trainings-/Rückschlusspipelines, die die Features verwenden
- Feature Store-Administrator*innen sind in der Regel für Folgendes verantwortlich:
- Feature Store-Lebenszyklusverwaltung (von der Erstellung bis zur Außerbetriebnahme)
- Lebenszyklusverwaltung des Benutzerzugriffs auf den Feature Store
- Feature Store-Konfiguration: Kontingent und Speicher (Offline-/Onlinespeicher)
- Kostenverwaltung
In dieser Tabelle sind die Berechtigungen aufgeführt, die für jeden Benutzertyp erforderlich sind:
Role | BESCHREIBUNG | Erforderliche Berechtigungen |
---|---|---|
feature store admin |
Berechtigungen zum Erstellen/Aktualisieren/Löschen des Feature Stores | Für die Rolle feature store admin erforderliche Berechtigungen |
feature set consumer |
Berechtigungen zum Verwenden definierter Featuresätze im Lebenszyklus des maschinellen Lernens | Für die Rolle feature set consumer erforderliche Berechtigungen |
feature set developer |
Berechtigungen zum Erstellen/Aktualisieren von Featuresätzen oder zum Einrichten von Materialisierungen wie Abgleich und wiederkehrende Aufträge. | Für die Rolle feature set developer erforderliche Berechtigungen |
Wenn Ihr Feature Store Materialisierungen erfordert, sind außerdem diese Berechtigungen erforderlich:
Role | BESCHREIBUNG | Erforderliche Berechtigungen |
---|---|---|
feature store materialization managed identity |
Die benutzerseitig zugewiesene verwaltete Azure-Identität, die von Feature Store-Materialisierungsaufträgen für den Datenzugriff verwendet wird. Diese Identität ist erforderlich, wenn für den Feature Store die Materialisierung aktiviert ist. | Für die Rolle feature store materialization managed identity erforderliche Berechtigungen |
Weitere Informationen zur Rollenerstellung finden Sie in der Ressource Erstellen von benutzerdefinierten Rollen.
Ressourcen
Die Gewährung des Zugriffs beinhaltet die folgenden Ressourcen:
- der verwaltete Feature Store von Azure Machine Learning
- das Azure-Speicherkonto (Gen2), das vom Feature Store als Offlinespeicher verwendet wird
- die benutzerseitig zugewiesene verwaltete Azure-Identität, die vom Feature Store für seine Materialisierungsaufträge verwendet wird
- Azure-Benutzerspeicherkonten, in denen die Quelldaten des Funktionsumfangs gehostet werden
Für die Rolle feature store admin
erforderliche Berechtigungen
Zum Erstellen bzw. Löschen eines verwalteten Feature Store wird empfohlen, die integrierten Rollen Contributor
und User Access Administrator
für die Ressourcengruppe zu verwenden. Sie können auch eine benutzerdefinierte Rolle vom Typ Feature store admin
mit den folgenden Mindestberechtigungen erstellen:
`Scope` | Aktion/Rolle |
---|---|
resourceGroup (der Standort für die Feature Store-Erstellung) | Microsoft.MachineLearningServices/workspaces/featurestores/read |
resourceGroup (der Standort für die Feature Store-Erstellung) | Microsoft.MachineLearningServices/workspaces/featurestores/write |
resourceGroup (der Standort für die Feature Store-Erstellung) | Microsoft.MachineLearningServices/workspaces/featurestores/delete |
der Feature Store | Microsoft.Authorization/roleAssignments/write |
die benutzerseitig zugewiesene verwaltete Identität | Rolle „Operator für verwaltete Identität“ |
Wenn ein Feature Store bereitgestellt wird, werden andere Ressourcen standardmäßig bereitgestellt. Sie können jedoch vorhandene Ressourcen verwenden. Wenn neue Ressourcen benötigt werden, muss die Identität, die den Feature Store erstellt, über die folgenden Berechtigungen für die Ressourcengruppe verfügen:
- Microsoft.Storage/storageAccounts/write
- Microsoft.Storage/storageAccounts/blobServices/containers/write
- Microsoft.Insights/components/write
- Microsoft.KeyVault/vaults/write
- Microsoft.ContainerRegistry/registries/write
- Microsoft.OperationalInsights/workspaces/write
- Microsoft.ManagedIdentity/userAssignedIdentities/write
Für die Rolle feature set consumer
erforderliche Berechtigungen
Verwenden Sie die folgenden integrierten Rollen, um die im Feature Store definierten Featuresätze zu nutzen:
`Scope` | Role |
---|---|
der Feature Store | AzureML Data Scientist |
Quelldaten-Speicherkonten. Mit anderen Worten, die Datenquellen des Featuresatzes | Rolle „Leser von Speicherblobdaten“ |
Speicherkonto des Offlinespeichers für den Feature Store | Rolle „Leser von Speicherblobdaten“ |
Hinweis
AzureML Data Scientist
ermöglicht es den Benutzer*innen, Featuresätze im Feature Store zu erstellen und zu aktualisieren.
Wenn die Rolle AzureML Data Scientist
nicht verwendet werden soll, können Sie diese einzelnen Aktionen verwenden:
`Scope` | Aktion/Rolle |
---|---|
der Feature Store | Microsoft.MachineLearningServices/workspaces/featurestores/read |
der Feature Store | Microsoft.MachineLearningServices/workspaces/featuresets/read |
der Feature Store | Microsoft.MachineLearningServices/workspaces/featurestoreentities/read |
der Feature Store | Microsoft.MachineLearningServices/workspaces/datastores/listSecrets/action |
der Feature Store | Microsoft.MachineLearningServices/workspaces/jobs/read |
Für die Rolle feature set developer
erforderliche Berechtigungen
Verwenden Sie die folgenden integrierten Rollen, um Featuresätze im Feature Store zu entwickeln:
`Scope` | Role |
---|---|
der Feature Store | AzureML Data Scientist |
Speicherkonten der Quelldaten | Rolle „Leser von Speicherblobdaten“ |
Speicherkonto des Offlinespeichers für den Feature Store | Rolle „Leser von Speicherblobdaten“ |
Wenn die Rolle AzureML Data Scientist
nicht verwendet werden soll, können Sie diese einzelnen Aktionen (neben den für Featureset consumer
aufgeführten Aktionen) verwenden.
`Scope` | Role |
---|---|
der Feature Store | Microsoft.MachineLearningServices/workspaces/featuresets/write |
der Feature Store | Microsoft.MachineLearningServices/workspaces/featuresets/delete |
der Feature Store | Microsoft.MachineLearningServices/workspaces/featuresets/action |
der Feature Store | Microsoft.MachineLearningServices/workspaces/featurestoreentities/write |
der Feature Store | Microsoft.MachineLearningServices/workspaces/featurestoreentities/delete |
der Feature Store | Microsoft.MachineLearningServices/workspaces/featurestoreentities/action |
Für die Rolle feature store materialization managed identity
erforderliche Berechtigungen
Verwenden Sie zusätzlich zu allen für die Rolle feature set consumer
erforderlichen Berechtigungen die folgenden integrierten Rollen:
`Scope` | Aktion/Rolle |
---|---|
Feature Store | AzureML-Rolle „Wissenschaftliche Fachkraft für Daten“ |
Speicherkonto des Offlinespeichers für Feature Store | Rolle „Mitwirkender an Storage Blob-Daten“ |
Speicherkonten von Quelldaten | Rolle „Leser von Speicherblobdaten“ |
Neue Aktionen, die für den verwalteten Feature Store erstellt werden
Die folgenden neuen Aktionen werden für die Verwendung des verwalteten Feature Store erstellt:
Aktion | BESCHREIBUNG |
---|---|
Microsoft.MachineLearningServices/workspaces/featurestores/read | Auflisten, Feature Store abrufen |
Microsoft.MachineLearningServices/workspaces/featurestores/write | Feature Store erstellen und aktualisieren (Konfigurieren von Materialisierungsspeichern, Materialisierungscompute-Instanzen usw.) |
Microsoft.MachineLearningServices/workspaces/featurestores/delete | Feature Store löschen |
Microsoft.MachineLearningServices/workspaces/featuresets/read | Featuresätze auflisten und anzeigen |
Microsoft.MachineLearningServices/workspaces/featuresets/write | Featuresätze erstellen und aktualisieren Kann Materialisierungseinstellungen nicht nur erstellen oder aktualisieren, sondern auch konfigurieren |
Microsoft.MachineLearningServices/workspaces/featuresets/delete | Featuresätze löschen |
Microsoft.MachineLearningServices/workspaces/featuresets/action | Aktionen für Featuresätze auslösen (z. B. Abgleichauftrag) |
Microsoft.MachineLearningServices/workspaces/featurestoreentities/read | Feature Store-Entitäten auflisten und anzeigen |
Microsoft.MachineLearningServices/workspaces/featurestoreentities/write | Feature Store-Entitäten erstellen und aktualisieren |
Microsoft.MachineLearningServices/workspaces/featurestoreentities/delete | Löschen von Entitäten |
Microsoft.MachineLearningServices/workspaces/featurestoreentities/action | Aktionen für Feature Store-Entitäten auslösen |
Es gibt keine Zugriffssteuerungsliste für Instanzen einer Feature Store-Entität und eines Funktionsumfangs.