Administrar el control de acceso del almacén de características gestionado
Este artículo describe cómo administrar el acceso (autorización) a un almacén de características gestionado de Azure Machine Learning. El control de acceso basado en roles de Azure (RBAC de Azure) administra el acceso a los recursos de Azure, incluida la capacidad de crear nuevos recursos o usar los existentes. Los usuarios de Microsoft Entra ID reciben roles específicos, que conceden acceso a los recursos. Azure proporciona tanto roles integrados como la capacidad de crear roles personalizados.
Identidades y tipos de usuario
Azure Machine Learning admite el control de acceso basado en roles para estos recursos de almacén de características gestionados:
- almacén de características
- entidad del almacén de características
- conjunto de características
Para controlar el acceso a estos recursos, tenga en cuenta los tipos de usuario que se muestran aquí. Para cada tipo de usuario, la identidad puede ser una identidad de Microsoft Entra, una entidad de servicio o una identidad administrada de Azure (tanto administrada por el sistema como asignada por el usuario).
- Desarrolladores de conjuntos de características (por ejemplo, científicos de datos, ingenieros de datos e ingenieros de aprendizaje automático): funcionan principalmente con el área de trabajo del almacén de características y controlan
- Ciclo de vida de administración de características, desde la creación hasta el archivo
- Materialización y configuración de reposición de características
- Actualización de características y supervisión de calidad
- Consumidores de conjuntos de características (por ejemplo, científicos de datos e ingenieros de aprendizaje automático): funcionan principalmente en un área de trabajo de proyecto y usan características de estas maneras:
- Detección de características para la reutilización del modelo
- Experimentación con características durante el entrenamiento para ver si esas características mejoran el rendimiento del modelo
- Configuración de las canalizaciones de entrenamiento e inferencia que usan las características
- Administradores del almacén de características: normalmente controlan:
- Administración del ciclo de vida del almacén de características (desde la creación hasta la retirada)
- Administración del ciclo de vida de acceso de usuarios del almacén de características
- Configuración del almacén de características: cuota y almacenamiento (almacenes sin conexión o en línea)
- Administración de costos
En esta tabla se enumeran los permisos necesarios para cada tipo de usuario:
| Role | Descripción | Permisos necesarios |
|---|---|---|
feature store admin |
quién puede crear, actualizar o eliminar los almacenes de características | Permisos necesarios para el feature store admin rol |
feature set consumer |
quién puede usar conjuntos de características definidos en su ciclo de vida de aprendizaje automático. | Permisos necesarios para el feature set consumer rol |
feature set developer |
quién puede crear o actualizar conjuntos de características o configurar materializaciones, por ejemplo, reposición y trabajos recurrentes. | Permisos necesarios para el feature set developer rol |
Si el almacén de características requiere materialización, también son necesarios estos permisos:
| Role | Descripción | Permisos necesarios |
|---|---|---|
feature store materialization managed identity |
La identidad administrada asignada por el usuario de Azure que usan los trabajos de materialización del almacén de características para el acceso a datos. Esta identidad es necesaria si el almacén de características habilita la materialización | Permisos necesarios para el feature store materialization managed identity rol |
Para obtener más información acerca de la creación de roles, visite el recurso crear rol personalizado.
Recursos
La concesión de acceso implica estos recursos:
- el almacén de características gestionados de Azure Machine Learning
- la cuenta de almacenamiento de Azure (Gen2) que el almacén de características usa como almacén sin conexión
- la identidad administrada asignada por el usuario de Azure que usa el almacén de características para sus trabajos de materialización
- las cuentas de almacenamiento de usuario de Azure que hospedan los datos de origen del conjunto de características
Permisos necesarios para el rol feature store admin
Para crear o eliminar un almacén de características gestionado, se recomiendan los roles integrados de Contributor y User Access Administrator en el grupo de recursos. También puede crear un rol de Feature store admin personalizado con estos permisos mínimos:
| Ámbito | Acción o rol |
|---|---|
| resourceGroup (la ubicación de la creación del almacén de características) | Microsoft.MachineLearningServices/workspaces/featurestores/read |
| resourceGroup (la ubicación de la creación del almacén de características) | Microsoft.MachineLearningServices/workspaces/featurestores/write |
| resourceGroup (la ubicación de la creación del almacén de características) | Microsoft.MachineLearningServices/workspaces/featurestores/delete |
| el almacén de características | Microsoft.Authorization/roleAssignments/write |
| la identidad administrada asignada por el usuario | Rol de operador de identidad administrada |
Cuando se aprovisiona un almacén de características, otros recursos se aprovisionan de forma predeterminada. Sin embargo, puede usar los recursos existentes. Si se necesitan nuevos recursos, la identidad que crea el almacén de características debe tener estos permisos en el grupo de recursos:
- Microsoft.Storage/storageAccounts/write
- Microsoft.Storage/storageAccounts/blobServices/containers/write
- Microsoft.Insights/Components/Write
- Microsoft.KeyVault/vaults/write
- Microsoft.ContainerRegistry/registries/write
- Microsoft.OperationalInsights/workspaces/write
- Microsoft.ManagedIdentity/userAssignedIdentities/write
Permisos necesarios para el rol feature set consumer
Use estos roles integrados para consumir los conjuntos de características definidos en el almacén de características:
| Ámbito | Rol |
|---|---|
| el almacén de características | Científico de datos de AzureML |
| las cuentas de almacenamiento de datos de origen; es decir, los orígenes de datos del conjunto de características | rol Lector de datos de Storage Blob |
| la cuenta de almacenamiento sin conexión del almacén de características de almacenamiento | rol Lector de datos de Storage Blob |
Nota:
El rol de AzureML Data Scientist permite a los usuarios crear y actualizar conjuntos de características en el almacén de características.
Para evitar el uso del rol de AzureML Data Scientist, puede usar estas acciones individuales:
| Ámbito | Acción o rol |
|---|---|
| el almacén de características | Microsoft.MachineLearningServices/workspaces/featurestores/read |
| el almacén de características | Microsoft.MachineLearningServices/workspaces/featuresets/read |
| el almacén de características | Microsoft.MachineLearningServices/workspaces/featurestoreentities/read |
| el almacén de características | Microsoft.MachineLearningServices/workspaces/datastores/listSecrets/action |
| el almacén de características | Microsoft.MachineLearningServices/workspaces/jobs/read |
Permisos necesarios para el rol feature set developer
Para desarrollar conjuntos de características en el almacén de características, use estos roles integrados:
| Ámbito | Rol |
|---|---|
| el almacén de características | Científico de datos de AzureML |
| las cuentas de almacenamiento de datos de origen | rol Lector de datos de Storage Blob |
| la cuenta de almacenamiento del almacén sin conexión del almacén de características | rol Lector de datos de Storage Blob |
Para evitar el uso del rol de AzureML Data Scientist, puede usar estas acciones individuales (además de las acciones enumeradas para Featureset consumer).
| Ámbito | Rol |
|---|---|
| el almacén de características | Microsoft.MachineLearningServices/workspaces/featuresets/write |
| el almacén de características | Microsoft.MachineLearningServices/workspaces/featuresets/delete |
| el almacén de características | Microsoft.MachineLearningServices/workspaces/featuresets/action |
| el almacén de características | Microsoft.MachineLearningServices/workspaces/featurestoreentities/write |
| el almacén de características | Microsoft.MachineLearningServices/workspaces/featurestoreentities/delete |
| el almacén de características | Microsoft.MachineLearningServices/workspaces/featurestoreentities/action |
Permisos necesarios para el rol feature store materialization managed identity
Además de todos los permisos que requiere el rol de feature set consumer, use estos roles integrados:
| Ámbito | Acción o rol |
|---|---|
| almacén de características | rol de científico de datos de AzureML |
| cuenta de almacenamiento del almacén de características de un almacén sin conexión | Rol de colaborador de datos de blobs de almacenamiento |
| cuentas de almacenamiento de datos de origen | rol Lector de datos de Storage Blob |
Nuevas acciones creadas para el almacén de características gestionado
Estas nuevas acciones se crean para el uso del almacén de características gestionado:
| Acción | Descripción |
|---|---|
| Microsoft.MachineLearningServices/workspaces/featurestores/read | Enumerar, obtener almacén de características |
| Microsoft.MachineLearningServices/workspaces/featurestores/write | Crear y actualizar el almacén de características (configurar almacenes de materialización, proceso de materialización, etc.) |
| Microsoft.MachineLearningServices/workspaces/featurestores/delete | Eliminar la tabla de características |
| Microsoft.MachineLearningServices/workspaces/featuresets/read | Enumerar y mostrar conjuntos de características |
| Microsoft.MachineLearningServices/workspaces/featuresets/write | Crear y actualizar conjuntos de características. Puede configurar las opciones de materialización junto con la creación o actualización |
| Microsoft.MachineLearningServices/workspaces/featuresets/delete | Eliminar los conjuntos de características |
| Microsoft.MachineLearningServices/workspaces/featuresets/action | Desencadenar acciones en conjuntos de características (por ejemplo, un trabajo de reposición) |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/read | Enumerar y mostrar entidades del almacén de características |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/write | Crear y actualizar entidades del almacén de características |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/delete | Eliminación de entidades |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/action | Desencadenar acciones en entidades del almacén de características |
No hay ninguna ACL (lista de control de acceso) para instancias de una entidad de almacén de características y un conjunto de características.