Gérer le contrôle d’accès pour magasin de fonctionnalités géré
Cet article explique comment gérer l’accès (autorisation) à un magasin de fonctionnalités géré Azure Machine Learning. Le contrôle d’accès en fonction du rôle Azure (RBAC Azure) gère l’accès aux ressources Azure, notamment la création de ressources ou l’utilisation de ressources existantes. Les utilisateurs de votre Microsoft Entra ID reçoivent des rôles spécifiques, qui octroient l’accès aux ressources. Azure propose des rôles intégrés et permet de créer des rôles personnalisés.
Identités et types d’utilisateurs
Azure Machine Learning prend en charge le contrôle d’accès en fonction du rôle pour les ressources suivantes du magasin de fonctionnalités géré :
- magasin de fonctionnalités
- entité de magasin de fonctionnalités
- ensemble de fonctionnalités
Pour contrôler l’accès à ces ressources, tenez compte des types d’utilisateurs indiqués ici. Pour chaque type d’utilisateur, l’identité peut être une identité Microsoft Entra, un principal de service ou une identité managée Azure (gérée par le système et affectée par l’utilisateur).
- Développeurs d’ensembles de fonctionnalités (par exemple scientifiques des données, ingénieurs Données et ingénieurs Machine Learning) : ils utilisent principalement l’espace de travail du magasin de caractéristiques pour gérer les aspects suivants :
- Cycle de vie de la gestion des caractéristiques, de la création à l’archivage
- Configuration de la matérialisation et du remplissage des caractéristiques
- Monitoring de l’actualisation et de la qualité des caractéristiques
- Consommateurs d’ensembles de caractéristiques (par exemple les scientifiques des données et les ingénieurs Machine Learning) : ils travaillent principalement dans un espace de travail de projet, et utilisent les caractéristiques de plusieurs façons, comme indiqué ci-dessous :
- Découverte des caractéristiques pour la réutilisation des modèles
- Expérimentation des caractéristiques durant l’entraînement, pour voir si elles améliorent les performances du modèle
- Configuration des pipelines d’entraînement/d’inférence qui utilisent les caractéristiques
- Administrateurs du magasin de caractéristiques : ils prennent généralement en charge les aspects suivants :
- Gestion du cycle de vie du magasin de caractéristiques (de la création à la mise hors service)
- Gestion du cycle de vie de l’accès des utilisateurs au magasin de caractéristiques
- Configuration du magasin de caractéristiques : quota et stockage (magasins hors connexion/en ligne)
- Gestion des coûts
Ce tableau décrit les autorisations nécessaires pour chaque type d’utilisateur :
| Rôle | Description | Autorisations requises |
|---|---|---|
feature store admin |
qui peut créer/mettre à jour/supprimer un magasin de fonctionnalités | Autorisations requises pour le feature store admin rôle |
feature set consumer |
qui peut utiliser des ensembles de fonctionnalités définis dans leur cycle de vie d’apprentissage automatique. | Autorisations requises pour le feature set consumer rôle |
feature set developer |
qui peut créer/mettre à jour des ensembles de caractéristiques, ou configurer des matérialisations, par exemple les travaux de remplissage de données et les travaux récurrents. | Autorisations requises pour le feature set developer rôle |
Si votre magasin de caractéristiques nécessite une matérialisation, les autorisations suivantes sont également nécessaires :
| Rôle | Description | Autorisations requises |
|---|---|---|
feature store materialization managed identity |
Identité managée affectée par l’utilisateur Azure, qui permet aux travaux de matérialisation du magasin de caractéristiques d’accéder aux données. L’identité est obligatoire si le magasin de fonctionnalités permet la matérialisation | Autorisations requises pour le feature store materialization managed identity rôle |
Pour plus d’informations sur la création de rôles, consultez la ressource créer un rôle personnalisé.
Ressources
L’octroi de l’accès implique les ressources suivantes :
- magasin de fonctionnalités géré Azure Machine Learning
- le compte Stockage Azure (Gen2) que le magasin de caractéristiques utilise en tant que magasin hors connexion
- l’identité managée affectée par l’utilisateur Azure, dont le magasin de caractéristiques se sert pour ses travaux de matérialisation
- Les comptes de stockage d’utilisateurs Azure qui hébergent les données sources de l’ensemble de caractéristiques
Autorisations requises pour le feature store admin rôle
Pour créer et/ou supprimer un magasin de fonctionnalités géré, nous vous recommandons les rôles intégrés Contributor et User Access Administrator sur le groupe de ressources. Vous pouvez également créer un rôle Feature store admin personnalisé avec les autorisations minimales suivantes :
| Portée | Action/rôle |
|---|---|
| resourceGroup (emplacement de création du magasin de caractéristiques) | Microsoft.MachineLearningServices/workspaces/featurestores/read |
| resourceGroup (emplacement de création du magasin de caractéristiques) | Microsoft.MachineLearningServices/workspaces/featurestores/write |
| resourceGroup (emplacement de création du magasin de caractéristiques) | Microsoft.MachineLearningServices/workspaces/featurestores/delete |
| le magasin de fonctionnalités | Microsoft.Authorization/roleAssignments/write |
| l’identité managée affectée par l’utilisateur | Rôle Opérateur d’identités managées |
Quand un magasin de caractéristiques est provisionné, les autres ressources sont provisionnées par défaut. Toutefois, vous pouvez utiliser les ressources existantes. Si de nouvelles ressources sont nécessaires, l’identité qui crée le magasin de caractéristiques doit disposer des autorisations suivantes sur le groupe de ressources :
- Microsoft.Storage/storageAccounts/write
- Microsoft.Storage/storageAccounts/blobServices/containers/write
- Microsoft.Insights/components/write
- Microsoft.KeyVault/vaults/write
- Microsoft.ContainerRegistry/registries/write
- Microsoft.OperationalInsights/workspaces/write
- Microsoft.ManagedIdentity/userAssignedIdentities/write
Autorisations requises pour le feature set consumer rôle
Utilisez les rôles intégrés suivants pour consommer les ensembles de caractéristiques définis dans le magasin de caractéristiques :
| Étendue | Role |
|---|---|
| le magasin de fonctionnalités | Scientifique des données AzureML |
| les comptes de stockage des données sources ; en d’autres termes, les sources de données de l’ensemble de caractéristiques | Rôle Lecteur des données Blob du stockage |
| le compte de stockage du magasin hors connexion du magasin de caractéristiques | Rôle Lecteur des données Blob du stockage |
Remarque
Le AzureML Data Scientist permet aux utilisateurs de créer et de mettre à jour des ensembles de caractéristiques dans le magasin de caractéristiques.
Pour éviter d’utiliser le rôle AzureML Data Scientist, vous pouvez utiliser les actions individuelles suivantes :
| Portée | Action/rôle |
|---|---|
| le magasin de fonctionnalités | Microsoft.MachineLearningServices/workspaces/featurestores/read |
| le magasin de fonctionnalités | Microsoft.MachineLearningServices/workspaces/featuresets/read |
| le magasin de fonctionnalités | Microsoft.MachineLearningServices/workspaces/featurestoreentities/read |
| le magasin de fonctionnalités | Microsoft.MachineLearningServices/workspaces/datastores/listSecrets/action |
| le magasin de fonctionnalités | Microsoft.MachineLearningServices/workspaces/jobs/read |
Autorisations requises pour le feature set developer rôle
Pour développer des ensembles de caractéristiques dans le magasin de caractéristiques, utilisez les rôles intégrés suivants :
| Étendue | Role |
|---|---|
| le magasin de fonctionnalités | Scientifique des données AzureML |
| les comptes de stockage des données sources | Rôle Lecteur des données Blob du stockage |
| le compte de stockage du magasin hors connexion du magasin de caractéristiques | Rôle Lecteur des données Blob du stockage |
Pour éviter d’utiliser le rôle AzureML Data Scientist, vous pouvez utiliser ces actions individuelles (en plus des actions listées pour Featureset consumer)
| Étendue | Role |
|---|---|
| le magasin de fonctionnalités | Microsoft.MachineLearningServices/workspaces/featuresets/write |
| le magasin de fonctionnalités | Microsoft.MachineLearningServices/workspaces/featuresets/delete |
| le magasin de fonctionnalités | Microsoft.MachineLearningServices/workspaces/featuresets/action |
| le magasin de fonctionnalités | Microsoft.MachineLearningServices/workspaces/featurestoreentities/write |
| le magasin de fonctionnalités | Microsoft.MachineLearningServices/workspaces/featurestoreentities/delete |
| le magasin de fonctionnalités | Microsoft.MachineLearningServices/workspaces/featurestoreentities/action |
Autorisations requises pour le feature store materialization managed identity rôle
En plus de toutes les autorisations nécessaires au rôle feature set consumer, utilisez les rôles intégrés suivants :
| Portée | Action/rôle |
|---|---|
| magasin de fonctionnalités | Rôle Scientifique des données AzureML |
| compte de stockage du magasin de fonctionnalités hors connexion | Rôle Contributeur aux données Blob du stockage |
| comptes de stockage de données sources | Rôle Lecteur des données Blob du stockage |
Nouvelles actions créées pour magasin de fonctionnalités géré
Les nouvelles actions suivantes sont créées pour être utilisées dans le magasin de fonctionnalités géré :
| Action | Description |
|---|---|
| Microsoft.MachineLearningServices/workspaces/featurestores/read | Lister, obtenir le magasin de fonctionnalités |
| Microsoft.MachineLearningServices/workspaces/featurestores/write | Créer et mettre à jour le magasin de caractéristiques (configurer les magasins de matérialisation, le calcul de matérialisation, etc.) |
| Microsoft.MachineLearningServices/workspaces/featurestores/delete | Supprimer le magasin de fonctionnalités |
| Microsoft.MachineLearningServices/workspaces/featuresets/read | Lister et afficher les ensembles de caractéristiques |
| Microsoft.MachineLearningServices/workspaces/featuresets/write | Créer et mettre à jour des ensembles de fonctionnalités. Peut configurer les paramètres de matérialisation ainsi que la création ou la mise à jour |
| Microsoft.MachineLearningServices/workspaces/featuresets/delete | Supprimer des ensembles de fonctionnalités |
| Microsoft.MachineLearningServices/workspaces/featuresets/action | Déclencher des actions sur des ensembles de fonctionnalités (par exemple, un travail de renvoi) |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/read | Lister et afficher les entités du magasin de caractéristiques |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/write | Créer et mettre à jour les entités du magasin de caractéristiques |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/delete | Supprimer des entités |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/action | Déclencher des actions sur les entités du magasin de fonctionnalités |
Il n’existe aucune liste de contrôle d’accès (ACL) pour les instances d’une entité de magasin de fonctionnalités et d’un ensemble de fonctionnalités.