Toegangsbeheer beheren voor het beheerde functiearchief
In dit artikel wordt beschreven hoe u de toegang (autorisatie) beheert tot een door Azure Machine Learning beheerd functiearchief. Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) beheert de toegang tot Azure-resources, inclusief de mogelijkheid om nieuwe resources te maken of bestaande resources te gebruiken. Gebruikers in uw Microsoft Entra-id ontvangen specifieke rollen, die toegang verlenen tot resources. Azure biedt zowel ingebouwde rollen als de mogelijkheid om aangepaste rollen te maken.
Identiteiten en gebruikerstypen
Azure Machine Learning biedt ondersteuning voor op rollen gebaseerd toegangsbeheer voor deze resources voor het opslaan van beheerde functies:
- functiearchief
- entiteit functiearchief
- functieset
Als u de toegang tot deze resources wilt beheren, moet u rekening houden met de gebruikerstypen die hier worden weergegeven. Voor elk gebruikerstype kan de identiteit een Microsoft Entra-identiteit, een service-principal of een door het Azure beheerde identiteit zijn (zowel door het systeem beheerd als door de gebruiker toegewezen).
- Ontwikkelaars van functiessets (bijvoorbeeld data scientist, data engineers en machine learning-engineers): ze werken voornamelijk met de werkruimte voor het functiearchief en verwerken ze
- De levenscyclus van functiebeheer, van maken tot archiveren
- Configuratie van materialisatie en functiebackfill
- Functie versheid en kwaliteitscontrole
- Gebruikers van functieset (bijvoorbeeld data scientist en machine learning-engineers): ze werken voornamelijk in een projectwerkruimte en gebruiken functies op deze manieren:
- Functiedetectie voor hergebruik van modellen
- Experimenteren met functies tijdens de training om te zien of deze functies de modelprestaties verbeteren
- De trainings-/deductiepijplijnen instellen die gebruikmaken van de functies
- Beheerders van het functiearchief: ze verwerken doorgaans het volgende:
- Levenscyclusbeheer van functieopslag (van maken tot buitengebruikstelling)
- Levenscyclusbeheer voor gebruikerstoegang tot feature store
- Configuratie van functiearchief: quota en opslag (offline/online winkels)
- Kostenbeheer
In deze tabel worden de machtigingen beschreven die vereist zijn voor elk gebruikerstype:
| Rol | Beschrijving | Vereiste machtigingen |
|---|---|---|
feature store admin |
wie een functiearchief kan maken/bijwerken/verwijderen | Vereiste machtigingen voor de feature store admin rol |
feature set consumer |
die gedefinieerde functiesets kunnen gebruiken in hun machine learning-levenscyclus. | Vereiste machtigingen voor de feature set consumer rol |
feature set developer |
wie functiesets kan maken/bijwerken of materialisaties instellen, bijvoorbeeld backfill en terugkerende taken. | Vereiste machtigingen voor de feature set developer rol |
Als voor uw functiearchief materialisatie is vereist, zijn deze machtigingen ook vereist:
| Rol | Beschrijving | Vereiste machtigingen |
|---|---|---|
feature store materialization managed identity |
De door de gebruiker toegewezen beheerde identiteit van Azure die door de functieopslagtaken wordt gebruikt voor gegevenstoegang. Deze identiteit is vereist als het functiearchief materialisatie mogelijk maakt | Vereiste machtigingen voor de feature store materialization managed identity rol |
Ga naar de aangepaste rolresource maken voor meer informatie over het maken van rollen .
Resources
Het verlenen van toegang omvat deze resources:
- het beheerde functiearchief van Azure Machine Learning
- het Azure-opslagaccount (Gen2) dat door het functiearchief wordt gebruikt als offlinearchief
- de door de gebruiker toegewezen beheerde identiteit van Azure die door de functieopslag wordt gebruikt voor de materialisatietaken
- de Azure-gebruikersopslagaccounts die als host fungeren voor de brongegevens van de functieset
Vereiste machtigingen voor de feature store admin rol
Als u een beheerd functiearchief wilt maken en/of verwijderen, wordt u aangeraden de ingebouwde Contributor functies en rollen in de resourcegroep te maken en User Access Administrator /of te verwijderen. U kunt ook een aangepaste Feature store admin rol maken met deze minimale machtigingen:
| Bereik | Actie/rol |
|---|---|
| resourceGroup (de locatie van het maken van het functiearchief) | Microsoft.MachineLearningServices/workspaces/featurestores/read |
| resourceGroup (de locatie van het maken van het functiearchief) | Microsoft.MachineLearningServices/workspaces/featurestores/write |
| resourceGroup (de locatie van het maken van het functiearchief) | Microsoft.MachineLearningServices/workspaces/featurestores/delete |
| het functiearchief | Microsoft.Authorization/roleAssignments/write |
| de door de gebruiker toegewezen beheerde identiteit | Rol van operator voor beheerde identiteit |
Wanneer een functiearchief is ingericht, worden andere resources standaard ingericht. U kunt echter bestaande resources gebruiken. Als er nieuwe resources nodig zijn, moet de identiteit waarmee het functiearchief wordt gemaakt, deze machtigingen hebben voor de resourcegroep:
- Microsoft.Storage/storageAccounts/write
- Microsoft.Storage/storageAccounts/blobServices/containers/write
- Microsoft.Insights/components/write
- Microsoft.KeyVault/vaults/write
- Microsoft.ContainerRegistry/registries/write
- Microsoft.OperationalInsights/workspaces/write
- Microsoft.ManagedIdentity/userAssignedIdentities/write
Vereiste machtigingen voor de feature set consumer rol
Gebruik deze ingebouwde rollen om de functiesets te gebruiken die zijn gedefinieerd in het functiearchief:
| Bereik | Role |
|---|---|
| het functiearchief | AzureML Data Scientist |
| de brongegevensopslagaccounts; met andere woorden, de gegevensbronnen van de functieset | Rol opslagblobgegevenslezer |
| het opslagfunctiearchief offlineopslagaccount | Rol opslagblobgegevenslezer |
Notitie
Hiermee AzureML Data Scientist kunnen de gebruikers functiesets maken en bijwerken in het functiearchief.
Als u het gebruik van de AzureML Data Scientist rol wilt voorkomen, kunt u deze afzonderlijke acties gebruiken:
| Bereik | Actie/rol |
|---|---|
| het functiearchief | Microsoft.MachineLearningServices/workspaces/featurestores/read |
| het functiearchief | Microsoft.MachineLearningServices/workspaces/featuresets/read |
| het functiearchief | Microsoft.MachineLearningServices/workspaces/featurestoreentities/read |
| het functiearchief | Microsoft.MachineLearningServices/workspaces/datastores/listSecrets/action |
| het functiearchief | Microsoft.MachineLearningServices/workspaces/jobs/read |
Vereiste machtigingen voor de feature set developer rol
Als u functiesets in het functiearchief wilt ontwikkelen, gebruikt u deze ingebouwde rollen:
| Bereik | Role |
|---|---|
| het functiearchief | AzureML Data Scientist |
| de brongegevensopslagaccounts | Rol opslagblobgegevenslezer |
| het offlineopslagaccount van het functiearchief | Rol opslagblobgegevenslezer |
Als u het gebruik van de AzureML Data Scientist rol wilt voorkomen, kunt u deze afzonderlijke acties gebruiken (naast de acties die worden vermeld voor Featureset consumer)
| Bereik | Role |
|---|---|
| het functiearchief | Microsoft.MachineLearningServices/workspaces/featuresets/write |
| het functiearchief | Microsoft.MachineLearningServices/workspaces/featuresets/delete |
| het functiearchief | Microsoft.MachineLearningServices/workspaces/featuresets/action |
| het functiearchief | Microsoft.MachineLearningServices/workspaces/featurestoreentities/write |
| het functiearchief | Microsoft.MachineLearningServices/workspaces/featurestoreentities/delete |
| het functiearchief | Microsoft.MachineLearningServices/workspaces/featurestoreentities/action |
Vereiste machtigingen voor de feature store materialization managed identity rol
Naast alle machtigingen die de feature set consumer rol nodig heeft, gebruikt u deze ingebouwde rollen:
| Bereik | Actie/rol |
|---|---|
| functiearchief | AzureML-Datawetenschapper-rol |
| opslagaccount van offlinearchief van het functiearchief | Rol Inzender voor opslagblobgegevens |
| opslagaccounts van brongegevens | Rol opslagblobgegevenslezer |
Nieuwe acties die zijn gemaakt voor het beheerde functiearchief
Deze nieuwe acties worden gemaakt voor het gebruik van het beheerde functiearchief:
| Actie | Beschrijving |
|---|---|
| Microsoft.MachineLearningServices/workspaces/featurestores/read | Lijst, functiearchief ophalen |
| Microsoft.MachineLearningServices/workspaces/featurestores/write | Het functiearchief maken en bijwerken (materialisatiearchieven configureren, materialisatie berekenen, enzovoort) |
| Microsoft.MachineLearningServices/workspaces/featurestores/delete | Functiearchief verwijderen |
| Microsoft.MachineLearningServices/workspaces/featuresets/read | Functiesets weergeven en weergeven |
| Microsoft.MachineLearningServices/workspaces/featuresets/write | Onderdelensets maken en bijwerken. Kan materialisatie-instellingen configureren, samen met maken of bijwerken |
| Microsoft.MachineLearningServices/workspaces/featuresets/delete | Onderdelensets verwijderen |
| Microsoft.MachineLearningServices/workspaces/featuresets/action | Triggeracties voor functiesets (bijvoorbeeld een backfilltaak) |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/read | Entiteiten voor het functiearchief weergeven en weergeven |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/write | Entiteiten voor het onderdelenarchief maken en bijwerken |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/delete | Entiteiten verwijderen |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/action | Triggeracties voor functieopslagentiteiten |
Er is geen ACL (toegangsbeheerlijst) voor exemplaren van een entiteit in het functiearchief en een functieset.