관리 기능 저장소에 대한 액세스 제어 관리
이 문서에서는 Azure Machine Learning 관리 기능 저장소에 대한 액세스(권한 부여)를 관리하는 방법을 설명합니다. Azure RBAC(Azure 역할 기반 액세스 제어)는 새 리소스를 만들거나 기존 리소스를 사용하는 기능을 포함하여 Azure 리소스에 대한 액세스를 관리합니다. Microsoft Entra ID의 사용자는 리소스에 대한 액세스 권한을 부여하는 특정 역할을 받습니다. Azure는 기본 제공 역할과 사용자 지정 역할을 만드는 기능을 모두 제공합니다.
ID 및 사용자 유형
Azure Machine Learning은 다음과 같은 관리 기능 저장소 리소스에 대한 역할 기반 액세스 제어를 지원합니다.
- 기능 저장소
- 기능 저장소 엔터티
- 기능 집합
이러한 리소스에 대한 액세스를 제어하려면 여기에 표시된 사용자 유형을 고려합니다. 각 사용자 유형에 대해 ID는 Microsoft Entra ID, 서비스 주체 또는 Azure 관리 ID(시스템 관리 및 사용자 할당 모두)일 수 있습니다.
- 기능 집합 개발자 (예: 데이터 과학자, 데이터 엔지니어 및 기계 학습 엔지니어): 주로 기능 저장소 작업 영역에서 작업하며 처리합니다.
- 생성에서 보관까지의 기능 관리 수명 주기
- 구체화 및 기능 백필 설정
- 기능 최신 상태 및 품질 모니터링
- 기능 집합 소비자(예: 데이터 과학자 및 기계 학습 엔지니어): 이들은 주로 프로젝트 작업 영역에서 작업하며 다음과 같은 방식으로 기능을 사용합니다.
- 모델 재사용을 위한 기능 검색
- 학습 중 기능을 실험하여 해당 기능이 모델 성능을 개선하는지 확인합니다.
- 기능을 사용하는 학습/유추 파이프라인 설정
- 기능 저장소 관리자: 일반적으로 다음을 처리합니다.
- 기능 저장소 수명 주기 관리(만들기부터 사용 중지까지)
- 기능 저장소 사용자 액세스 수명 주기 관리
- 기능 스토리지 구성: 할당량 및 스토리지(오프라인/온라인 저장소)
- 원가 관리
이 표에서는 각 사용자 유형에 필요한 권한을 설명합니다.
| 역할 | 설명 | 필요한 사용 권한 |
|---|---|---|
feature store admin |
기능 저장소를 만들기/업데이트/삭제할 수 있는 사람 | feature store admin 역할에 필요한 권한 |
feature set consumer |
기계 학습 수명 주기에서 정의된 기능 집합을 사용할 수 있는 사람. | feature set consumer 역할에 필요한 권한 |
feature set developer |
기능 집합을 만들기/업데이트하거나 구체화(예: 백필 및 되풀이 작업)를 설정할 수 있는 사용자입니다. | feature set developer 역할에 필요한 권한 |
기능 저장소에 구체화가 필요한 경우 다음 권한도 필요합니다.
| 역할 | 설명 | 필요한 사용 권한 |
|---|---|---|
feature store materialization managed identity |
기능 저장소 구체화 작업이 데이터 액세스에 사용하는 Azure 사용자 할당 관리 ID입니다. 기능 저장소에서 구체화를 사용하도록 설정하는 경우 이 ID가 필요합니다. | feature store materialization managed identity 역할에 필요한 권한 |
역할 만들기에 대한 자세한 내용은 사용자 지정 역할 리소스 만들기를 참조하세요.
리소스
액세스 권한 부여에는 다음 리소스가 포함됩니다.
- Azure Machine Learning 관리 기능 저장소
- 기능 저장소가 오프라인 저장소로 사용하는 Azure Storage 계정(Gen2)
- 기능 저장소가 구체화 작업에 사용하는 Azure 사용자 할당 관리 ID
- 기능 집합 원본 데이터를 호스트하는 Azure 사용자 스토리지 계정
feature store admin 역할에 필요한 권한
관리 기능 저장소를 만들기 및/또는 삭제하려면 리소스 그룹에 기본 제공되는 Contributor 및 User Access Administrator 역할을 사용하는 것이 좋습니다. 다음과 같은 최소 권한으로 사용자 지정 Feature store admin 역할을 만들 수도 있습니다.
| 범위 | 작업/역할 |
|---|---|
| ResourceGroup(기능 저장소 만들기 위치) | Microsoft.MachineLearningServices/workspaces/featurestores/read |
| ResourceGroup(기능 저장소 만들기 위치) | Microsoft.MachineLearningServices/workspaces/featurestores/write |
| ResourceGroup(기능 저장소 만들기 위치) | Microsoft.MachineLearningServices/workspaces/featurestores/delete |
| 기능 저장소 | Microsoft.Authorization/roleAssignments/write |
| 사용자가 할당한 관리 ID | 관리 ID 운영자 역할 |
기능 저장소가 프로비전되면 기본적으로 다른 리소스가 프로비전됩니다. 그러나 기존 리소스를 사용할 수 있습니다. 새 리소스가 필요한 경우 기능 저장소를 만드는 ID에는 리소스 그룹에 대한 다음 권한이 있어야 합니다.
- Microsoft.Storage/storageAccounts/write
- Microsoft.Storage/storageAccounts/blobServices/containers/write
- Microsoft.Insights/components/write
- Microsoft.KeyVault/vaults/write
- Microsoft.ContainerRegistry/registries/write
- Microsoft.OperationalInsights/workspaces/write
- Microsoft.ManagedIdentity/userAssignedIdentities/write
feature set consumer 역할에 필요한 권한
다음 기본 제공 역할을 사용하여 기능 저장소에 정의된 기능 집합을 사용합니다.
| 범위 | 역할 |
|---|---|
| 기능 저장소 | AzureML 데이터 과학자 |
| 원본 데이터 스토리지 계정, 즉 기능 집합 원본 데이터 | Storage Blob 데이터 읽기 권한자 역할 |
| 스토리지 기능 저장소 오프라인 저장소 스토리지 계정 | Storage Blob 데이터 읽기 권한자 역할 |
참고 항목
AzureML Data Scientist를 사용하면 사용자가 기능 저장소에서 기능 집합을 만들고 업데이트할 수 있습니다.
AzureML Data Scientist 역할을 사용하지 않으려면 다음 개별 작업을 사용할 수 있습니다.
| 범위 | 작업/역할 |
|---|---|
| 기능 저장소 | Microsoft.MachineLearningServices/workspaces/featurestores/read |
| 기능 저장소 | Microsoft.MachineLearningServices/workspaces/featuresets/read |
| 기능 저장소 | Microsoft.MachineLearningServices/workspaces/featurestoreentities/read |
| 기능 저장소 | Microsoft.MachineLearningServices/workspaces/datastores/listSecrets/action |
| 기능 저장소 | Microsoft.MachineLearningServices/workspaces/jobs/read |
feature set developer 역할에 필요한 권한
기능 저장소에서 기능 집합을 개발하려면 다음 기본 제공 역할을 사용합니다.
| 범위 | 역할 |
|---|---|
| 기능 저장소 | AzureML 데이터 과학자 |
| 원본 데이터 스토리지 계정 | Storage Blob 데이터 읽기 권한자 역할 |
| 기능 저장소 오프라인 저장소 스토리지 계정 | Storage Blob 데이터 읽기 권한자 역할 |
AzureML Data Scientist 역할을 사용하지 않으려면 다음 개별 작업을 사용할 수 있습니다(Featureset consumer에 대해 나열된 작업 외에).
| 범위 | 역할 |
|---|---|
| 기능 저장소 | Microsoft.MachineLearningServices/workspaces/featuresets/write |
| 기능 저장소 | Microsoft.MachineLearningServices/workspaces/featuresets/delete |
| 기능 저장소 | Microsoft.MachineLearningServices/workspaces/featuresets/action |
| 기능 저장소 | Microsoft.MachineLearningServices/workspaces/featurestoreentities/write |
| 기능 저장소 | Microsoft.MachineLearningServices/workspaces/featurestoreentities/delete |
| 기능 저장소 | Microsoft.MachineLearningServices/workspaces/featurestoreentities/action |
feature store materialization managed identity 역할에 필요한 권한
역할에 필요한 모든 권한 feature set consumer 외에도 다음과 같은 기본 제공 역할을 사용합니다.
| 범위 | 작업/역할 |
|---|---|
| 기능 저장소 | AzureML 데이터 과학자 역할 |
| 기능 저장소 오프라인 저장소의 스토리지 계정 | Storage Blob 데이터 기여자 역할 |
| 원본 데이터의 스토리지 계정 | Storage Blob 데이터 읽기 권한자 역할 |
관리 기능 저장소에 대해 만들어진 새 작업
관리되는 기능 저장소 사용을 위해 다음과 같은 새로운 작업이 만들어집니다.
| 작업 | 설명 |
|---|---|
| Microsoft.MachineLearningServices/workspaces/featurestores/read | 목록, 기능 저장소 가져오기 |
| Microsoft.MachineLearningServices/workspaces/featurestores/write | 기능 저장소 만들기 및 업데이트(구체화 저장소 구성, 구체화 컴퓨팅 등) |
| Microsoft.MachineLearningServices/workspaces/featurestores/delete | 기능 저장소 삭제 |
| Microsoft.MachineLearningServices/workspaces/featuresets/read | 기능 집합을 나열하고 표시 |
| Microsoft.MachineLearningServices/workspaces/featuresets/write | 기능 집합을 만들고 업데이트합니다. 만들기 또는 업데이트와 함께 구체화 설정을 구성할 수 있습니다. |
| Microsoft.MachineLearningServices/workspaces/featuresets/delete | 기능 집합 삭제 |
| Microsoft.MachineLearningServices/workspaces/featuresets/action | 기능 집합에 대한 작업 트리거(예: 백필 작업) |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/read | 기능 저장소 항목을 나열하고 표시 |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/write | 기능 저장소 항목을 만들고 업데이트 |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/delete | 엔터티 삭제 |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/action | 기능 저장소 항목에 대한 작업 트리거 |
기능 저장소 엔터티 및 기능 집합의 인스턴스에 대한 ACL(액세스 제어 목록)은 없습니다.