マネージド Feature Store のアクセス制御を管理する
この記事では、Azure Machine Learning マネージド Feature Store へのアクセス (認可) を管理する方法について説明します。 Azure ロールベースのアクセス制御 (Azure RBAC) は、新しいリソースの作成や既存のリソースの使用などを始めとして、Azure リソースへのアクセスを管理します。 Microsoft Entra ID 内のユーザーには特定のロールが与えられ、これによってリソースへのアクセス権が付与されます。 Azure には、組み込みロールと、カスタム ロールを作成する機能の両方が用意されています。
ID とユーザーの種類
Azure Machine Learning では、次のマネージド Feature Store リソースに対するロールベースのアクセス制御がサポートされています。
- Feature Store
- Feature Store エンティティ
- 特徴量セット
これらのリソースへのアクセスを制御するには、次に示すユーザーの種類を検討してください。 ユーザーの種類それぞれの ID は、Microsoft Entra の ID、サービス プリンシパル、または Azure マネージド ID (システム マネージドとユーザー割り当ての両方) のどれでもかまいません。
- 特徴量セット開発者 (データ科学者、データ エンジニア、機械学習エンジニアなど): 主に特徴量ストア ワークスペースでの作業を行い、次のことを扱います。
- 特徴量管理ライフサイクル (作成からアーカイブまで)
- 具体化と特徴量バックフィルの設定
- 特徴量の鮮度と品質の監視
- 特徴量セット コンシューマー (データ科学者や機械学習エンジニアなど): 主にプロジェクト ワークスペースで作業し、次のように特徴量を使用します。
- モデルの再利用のための特徴量検出
- トレーニング中に特徴量を実験して、それらの特徴量でモデルのパフォーマンスが向上するかどうかを確認する
- 特徴量を使用するトレーニングまたは推論パイプラインの設定
- Feature Store 管理者: 通常、次の処理を行います。
- Feature Store のライフサイクル管理 (作成から廃止まで)
- Feature Store のユーザー アクセス ライフサイクル管理
- Feature Store 構成: クォータとストレージ (オフライン/オンライン ストア)
- コスト管理
次の表で、ユーザーの種類ごとに必要なアクセス許可について説明します。
| ロール | 説明 | 必要なアクセス許可 |
|---|---|---|
feature store admin |
Feature Store を作成、更新、削除できるユーザー | feature store admin ロールに必要なアクセス許可 |
feature set consumer |
定義された特徴量セットを機械学習ライフサイクルで使用できるユーザー。 | feature set consumer ロールに必要なアクセス許可 |
feature set developer |
特徴量セットの作成と更新ができる、またはバックフィルや繰り返しジョブなどの具体化を設定できるユーザー。 | feature set developer ロールに必要なアクセス許可 |
Feature Store で具体化が必要な場合は、これらのアクセス許可も必要です。
| ロール | 説明 | 必要なアクセス許可 |
|---|---|---|
feature store materialization managed identity |
データ アクセスのために Feature Store 具体化ジョブで使用される Azure ユーザー割り当てマネージド ID。 この ID は特徴量ストアによってマテリアライズが有効化される場合に必要です。 | feature store materialization managed identity ロールに必要なアクセス許可 |
ロール作成の詳細については、カスタム ロール作成のリソースを参照してください。
リソース
アクセス権の付与には、次のリソースが必要です。
- Azure Machine Learning マネージド Feature Store
- Feature Store でオフライン ストアとして使用される Azure ストレージ アカウント (Gen2)
- Feature Store でその具体化ジョブに使用される Azure ユーザー割り当てマネージド ID
- 特徴量セット ソース データをホストする Azure ユーザー ストレージ アカウント
feature store admin ロールに必要なアクセス許可
マネージド Feature Store を作成または削除するには、リソース グループで Contributor と User Access Administrator の組み込みロールをお勧めします。 また、最小限のアクセス許可を含むカスタム Feature store admin ロールを作成することもできます。
| Scope | アクション/ロール |
|---|---|
| resourceGroup (Feature Store の作成場所) | Microsoft.MachineLearningServices/workspaces/featurestores/read |
| resourceGroup (Feature Store の作成場所) | Microsoft.MachineLearningServices/workspaces/featurestores/write |
| resourceGroup (Feature Store の作成場所) | Microsoft.MachineLearningServices/workspaces/featurestores/delete |
| Feature Store | Microsoft.Authorization/roleAssignments/write |
| ユーザー割り当てマネージド ID | マネージド ID オペレーター ロール |
Feature Store がプロビジョニングされると、既定で他のリソースがプロビジョニングされます。 ただし、既存のリソースを使用できます。 新しいリソースが必要な場合、Feature Store を作成する ID には、リソース グループに対する次のアクセス許可が必要です。
- Microsoft.Storage/storageAccounts/write
- Microsoft.Storage/storageAccounts/blobServices/containers/write
- Microsoft.Insights/components/write
- Microsoft.KeyVault/vaults/write
- Microsoft.ContainerRegistry/registries/write
- Microsoft.OperationalInsights/workspaces/write
- Microsoft.ManagedIdentity/userAssignedIdentities/write
feature set consumer ロールに必要なアクセス許可
Feature Store で定義されている特徴量セットを使用するには、次の組み込みロールを使用します。
| Scope | Role |
|---|---|
| Feature Store | AzureML データ サイエンティスト |
| ソース データ ストレージ アカウント。つまり、特徴量セットのデータ ソース | ストレージ BLOB データ閲覧者ロール |
| ストレージ Feature Store オフライン ストアのストレージ アカウント | ストレージ BLOB データ閲覧者ロール |
Note
AzureML Data Scientist は、ユーザーが Feature Store で特徴量セットを作成および更新できるようにします。
AzureML Data Scientist ロールの使用を避けるには、これらの個々のアクションを使用できます。
| Scope | アクション/ロール |
|---|---|
| Feature Store | Microsoft.MachineLearningServices/workspaces/featurestores/read |
| Feature Store | Microsoft.MachineLearningServices/workspaces/featuresets/read |
| Feature Store | Microsoft.MachineLearningServices/workspaces/featurestoreentities/read |
| Feature Store | Microsoft.MachineLearningServices/workspaces/datastores/listSecrets/action |
| Feature Store | Microsoft.MachineLearningServices/workspaces/jobs/read |
feature set developer ロールに必要なアクセス許可
Feature Store の特徴量セットを開発するには、次の組み込みロールを使用します。
| Scope | Role |
|---|---|
| Feature Store | AzureML データ サイエンティスト |
| ソース データのストレージ アカウント | ストレージ BLOB データ閲覧者ロール |
| Feature Store オフライン ストアのストレージ アカウント | ストレージ BLOB データ閲覧者ロール |
AzureML Data Scientist ロールの使用を避けるには、これらの個々のアクション (Featureset consumer に記載されているアクション以外) を使用できます
| Scope | Role |
|---|---|
| Feature Store | Microsoft.MachineLearningServices/workspaces/featuresets/write |
| Feature Store | Microsoft.MachineLearningServices/workspaces/featuresets/delete |
| Feature Store | Microsoft.MachineLearningServices/workspaces/featuresets/action |
| Feature Store | Microsoft.MachineLearningServices/workspaces/featurestoreentities/write |
| Feature Store | Microsoft.MachineLearningServices/workspaces/featurestoreentities/delete |
| Feature Store | Microsoft.MachineLearningServices/workspaces/featurestoreentities/action |
feature store materialization managed identity ロールに必要なアクセス許可
feature set consumer ロールに必要なすべてのアクセス許可に加えて、次の組み込みロールを使用します。
| 範囲 | アクション/ロール |
|---|---|
| Feature Store | AzureML データ科学者ロール |
| Feature Store オフライン ストアのストレージ アカウント | ストレージ BLOB データ共同作成者 |
| ソース データのストレージ アカウント | ストレージ BLOB データ閲覧者ロール |
マネージド Feature Store 用に作成された新しいアクション
マネージド Feature Store の使用に対して、次の新しいアクションが作成されます。
| アクション | 説明 |
|---|---|
| Microsoft.MachineLearningServices/workspaces/featurestores/read | Feature Store の一覧表示、取得 |
| Microsoft.MachineLearningServices/workspaces/featurestores/write | Feature Store を作成および更新します (具体化ストア、具体化コンピューティングなどを構成します) |
| Microsoft.MachineLearningServices/workspaces/featurestores/delete | Feature Store の削除 |
| Microsoft.MachineLearningServices/workspaces/featuresets/read | 特徴量セットを一覧表示および表示します |
| Microsoft.MachineLearningServices/workspaces/featuresets/write | 特徴量セットを作成および更新します。 作成または更新と同時に具体化設定を構成できます |
| Microsoft.MachineLearningServices/workspaces/featuresets/delete | 特徴量セットの削除 |
| Microsoft.MachineLearningServices/workspaces/featuresets/action | 特徴量セットに対するアクションをトリガーする (バックフィル ジョブなど) |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/read | Feature Store エンティティを一覧表示および表示します |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/write | Feature Store エンティティを作成および更新します |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/delete | エンティティの削除 |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/action | Feature Store エンティティに対するアクションをトリガーします |
特徴量ストア エンティティと特徴量セットのインスタンスに対する ACL (アクセス制御リスト) はありません。