Gestire il controllo di accesso per l'archivio delle funzionalità gestite
Questo articolo descrive come gestire l'accesso (autorizzazione) a un archivio delle funzionalità gestite di Azure Machine Learning. Il Controllo degli accessi in base al ruolo di Azure gestisce l'accesso alle risorse di Azure, inclusa la possibilità di creare nuove risorse o di usare quelle esistenti. Gli utenti dell'ID Microsoft Entra ricevono ruoli specifici, che concedono l'accesso alle risorse. Azure fornisce sia ruoli predefiniti che la possibilità di creare ruoli personalizzati.
Identità e tipi utente
Azure Machine Learning supporta il controllo degli accessi in base al ruolo per queste risorse dell'archivio delle funzionalità gestite:
- Archivio delle funzionalità
- Entità dell’archivio delle funzionalità
- Set di funzionalità
Per controllare l'accesso a queste risorse, prendere in considerazione i tipi utente mostrati qui. Per ogni tipo di utente, l'identità può essere un'identità Microsoft Entra, un'entità servizio o un'identità gestita di Azure (sia gestita dal sistema che assegnata dall'utente).
- Sviluppatori di set di funzionalità (ad esempio, data scientist, data engineer e ingegneri di Machine Learning): funzionano principalmente con l'area di lavoro dell'archivio funzionalità e gestiscono
- Ciclo di vita della gestione delle funzionalità, dalla creazione all'archivio
- Materializzazione e configurazione della funzionalità di back-fill
- Funzionalità di aggiornamento e di monitoraggio della qualità
- Consumer del set di funzionalità (ad esempio, scienziati dei dati e ingegneri dei dati): lavorano principalmente in un'area di lavoro del progetto e usano le funzionalità nei modi seguenti:
- Individuazione delle funzionalità per il riutilizzo del modello
- Sperimentazione con le funzionalità durante il training per verificare se queste funzionalità migliorano le prestazioni del modello
- Configurare le pipeline di training e di inferenza che usano le funzionalità
- Amministratori dell'archivio delle funzionalità- in genere gestiscono:
- Gestione del ciclo di vita dell'archivio delle funzionalità (dalla creazione al ritiro)
- Gestione del ciclo di vita dell'accesso utente dell'archivio delle funzionalità
- Configurazione dell'archivio delle funzionalità: quota e archiviazione (negozi offline/online)
- Gestione costi
Questa tabella descrive le autorizzazioni necessarie per ogni tipo utente:
| Ruolo | Descrizione | Autorizzazioni necessarie |
|---|---|---|
feature store admin |
chi può creare/aggiornare/eliminare l'archivio delle funzionalità | Autorizzazioni necessarie per il ruolofeature store admin |
feature set consumer |
che possono usare set di funzionalità definiti nel ciclo di vita dell’apprendimento automatico. | Autorizzazioni necessarie per il ruolofeature set consumer |
feature set developer |
chi può creare/aggiornare i set di funzionalità o configurare materializzazioni, ad esempio processi di back-fill e processi ricorrenti. | Autorizzazioni necessarie per il ruolofeature set developer |
Se l'archivio delle funzionalità richiede la materializzazione, sono necessarie anche le autorizzazioni seguenti:
| Ruolo | Descrizione | Autorizzazioni necessarie |
|---|---|---|
feature store materialization managed identity |
L’identità gestita assegnata dall'utente di Azure usata dai processi di materializzazione dell'archivio delle funzionalità per l'accesso ai dati. Questa identità è necessaria se l'archivio funzionalità abilita la materializzazione | Autorizzazioni necessarie per il ruolofeature store materialization managed identity |
Per altre informazioni sulla creazione di ruoli, visitare la risorsa di creazione del ruolo personalizzata.
Risorse
La concessione dell'accesso coinvolge le risorse seguenti:
- l’archivio delle funzionalità gestite di Azure Machine Learning
- l'account di archiviazione di Azure (Gen2) usato dall'archivio delle funzionalità come archivio offline
- l’identità gestita assegnata dall'utente di Azure usata dall'archivio delle funzionalità per i processi di materializzazione
- account di archiviazione utente di Azure che ospitano i dati di origine del set di funzionalità
Autorizzazioni necessarie per il ruolo feature store admin
Per creare e/o eliminare un archivio delle funzionalità gestite si consiglia di usare i ruoli predefiniti Contributor e User Access Administrator i ruoli per il gruppo di risorse. È anche possibile creare un ruolo personalizzato Feature store admin con le seguenti autorizzazioni minime:
| Ambito | Azione/Ruolo |
|---|---|
| resourceGroup (percorso della creazione dell'archivio delle funzionalità) | Microsoft.MachineLearningServices/workspaces/featurestores/read |
| resourceGroup (percorso della creazione dell'archivio delle funzionalità) | Microsoft.MachineLearningServices/workspaces/featurestores/write |
| resourceGroup (percorso della creazione dell'archivio delle funzionalità) | Microsoft.MachineLearningServices/workspaces/featurestores/delete |
| archivio delle funzionalità | Microsoft.Authorization/roleAssignments/write |
| l’identità gestita assegnata dall'utente | Ruolo Operatore di identità gestita |
Quando viene effettuato il provisioning di un archivio delle funzionalità, per impostazione predefinita viene effettuato il provisioning di altre risorse. Tuttavia, è possibile usare le risorse esistenti. Se sono necessarie nuove risorse, l'identità che crea l'archivio delle funzionalità deve avere queste autorizzazioni per il gruppo di risorse:
- Microsoft.Storage/storageAccounts/write
- Microsoft.Storage/storageAccounts/blobServices/containers/write
- Microsoft.Insights/components/write
- Microsoft.KeyVault/vaults/write
- Microsoft.ContainerRegistry/registries/write
- Microsoft.OperationalInsights/workspaces/write
- Microsoft.ManagedIdentity/userAssignedIdentities/write
Autorizzazioni necessarie per il ruolo feature set consumer
Usare questi ruoli predefiniti per utilizzare i set di funzionalità definiti nell'archivio delle funzionalità:
| Ambito | Ruolo |
|---|---|
| l’archivio delle funzionalità | Scienziato dei dati AzureML |
| gli account di archiviazione dei dati di origine; cioè le origini dati del set di funzionalità | Ruolo con autorizzazioni di lettura per i dati dei BLOB di archiviazione |
| l’account di archiviazione dell'archivio delle funzionalità offline | Ruolo con autorizzazioni di lettura per i dati dei BLOB di archiviazione |
Nota
Il AzureML Data Scientist consente agli utenti di creare e aggiornare i set di funzionalità nell'archivio delle funzionalità.
Per evitare di usare il ruoloAzureML Data Scientist è possibile eseguire queste singole azioni:
| Ambito | Azione/Ruolo |
|---|---|
| l’archivio delle funzionalità | Microsoft.MachineLearningServices/workspaces/featurestores/read |
| l’archivio delle funzionalità | Microsoft.MachineLearningServices/workspaces/featuresets/read |
| l’archivio delle funzionalità | Microsoft.MachineLearningServices/workspaces/featurestoreentities/read |
| l’archivio delle funzionalità | Microsoft.MachineLearningServices/workspaces/datastores/listSecrets/action |
| l’archivio delle funzionalità | Microsoft.MachineLearningServices/workspaces/jobs/read |
Autorizzazioni necessarie per il ruolofeature set developer
Per sviluppare set di funzionalità nell'archivio delle funzionalità usare questi ruoli predefiniti:
| Ambito | Ruolo |
|---|---|
| l’archivio delle funzionalità | Scienziato dei dati AzureML |
| l’account di archiviazione dei dati di origine | Ruolo con autorizzazioni di lettura per i dati dei BLOB di archiviazione |
| l’account di archiviazione dell'archivio delle funzionalità offline | Ruolo con autorizzazioni di lettura per i dati dei BLOB di archiviazione |
Per evitare di usare il ruolo AzureML Data Scientist è possibile eseguire queste singole azioni (oltre alle azioni elencate per Featureset consumer)
| Ambito | Ruolo |
|---|---|
| l’archivio delle funzionalità | Microsoft.MachineLearningServices/workspaces/featuresets/write |
| l’archivio delle funzionalità | Microsoft.MachineLearningServices/workspaces/featuresets/delete |
| l’archivio delle funzionalità | Microsoft.MachineLearningServices/workspaces/featuresets/action |
| l’archivio delle funzionalità | Microsoft.MachineLearningServices/workspaces/featurestoreentities/write |
| l’archivio delle funzionalità | Microsoft.MachineLearningServices/workspaces/featurestoreentities/delete |
| l’archivio delle funzionalità | Microsoft.MachineLearningServices/workspaces/featurestoreentities/action |
Autorizzazioni necessarie per il ruolo feature store materialization managed identity
Oltre a tutte le autorizzazioni richieste dal feature set consumer ruolo, usare questi ruoli predefiniti:
| Ambito | Azione/Ruolo |
|---|---|
| Archivio delle funzionalità | Ruolo Scienziato dei dati di AzureML |
| l’account di archiviazione dell'archivio delle funzionalità offline | Ruolo Collaboratore ai dati del BLOB di archiviazione |
| Account di archiviazione dei dati di origine | Ruolo con autorizzazioni di lettura per i dati dei BLOB di archiviazione |
Nuove azioni create per l'archivio delle funzionalità gestite
Queste nuove azioni vengono create per l'utilizzo dell'archivio delle funzionalità gestite:
| Azione | Descrizione |
|---|---|
| Microsoft.MachineLearningServices/workspaces/featurestores/read | Elencare, recuperare l'archivio delle funzionalità |
| Microsoft.MachineLearningServices/workspaces/featurestores/write | Creare e aggiornare l'archivio delle funzionalità (configurare gli archivi di materializzazione, il calcolo della materializzazione e così via) |
| Microsoft.MachineLearningServices/workspaces/featurestores/delete | Eliminare l'archivio delle funzionalità |
| Microsoft.MachineLearningServices/workspaces/featuresets/read | Elencare e visualizzare i set di funzionalità |
| Microsoft.MachineLearningServices/workspaces/featuresets/write | Creare e aggiornare i set di funzionalità. Può configurare, creare e aggiornare le impostazioni di materializzazione |
| Microsoft.MachineLearningServices/workspaces/featuresets/delete | Eliminare i set di funzionalità |
| Microsoft.MachineLearningServices/workspaces/featuresets/action | Attivare azioni sui set di funzionalità (ad esempio, un processo di back-fill) |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/read | Elencare e visualizzare le entità dell'archivio delle funzionalità |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/write | Creare e aggiornare le entità dell'archivio delle funzionalità |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/delete | Eliminare entità |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/action | Attivare azioni sulle entità dell'archivio delle funzionalità |
Non esiste un elenco di controllo di accesso (elenco di controllo di accesso) per le istanze di un'entità dell'archivio di funzionalità e un set di funzionalità.