Zarządzanie kontrolą dostępu dla magazyn zarządzanych funkcji
W tym artykule opisano sposób zarządzania dostępem (autoryzacją) do usługi Azure Machine Learning magazyn zarządzanych funkcji. Kontrola dostępu oparta na rolach (RBAC) platformy Azure zarządza dostępem do zasobów platformy Azure, w tym możliwość tworzenia nowych zasobów lub używania istniejących. Użytkownicy w identyfikatorze Entra firmy Microsoft otrzymują określone role, które udzielają dostępu do zasobów. Platforma Azure oferuje zarówno wbudowane role, jak i możliwość tworzenia ról niestandardowych.
Tożsamości i typy użytkowników
Usługa Azure Machine Learning obsługuje kontrolę dostępu opartą na rolach dla tych zasobów magazyn zarządzanych funkcji:
- magazyn funkcji
- jednostka magazynu funkcji
- zestaw funkcji
Aby kontrolować dostęp do tych zasobów, należy wziąć pod uwagę typy użytkowników pokazane tutaj. Dla każdego typu użytkownika tożsamość może być tożsamością firmy Microsoft Entra, jednostką usługi lub tożsamością zarządzaną platformy Azure (zarówno zarządzaną przez system, jak i przypisaną przez użytkownika).
- Deweloperzy zestawu funkcji (na przykład analitycy danych, inżynierowie danych i inżynierowie uczenia maszynowego): pracują przede wszystkim z obszarem roboczym magazynu funkcji i obsługują
- Cykl życia zarządzania funkcjami — od tworzenia do archiwum
- Materializacja i konfiguracja wypełniania funkcji
- Świeżość funkcji i monitorowanie jakości
- Użytkownicy zestawu funkcji (na przykład analitycy danych i inżynierowie uczenia maszynowego): pracują głównie w obszarze roboczym projektu i używają funkcji na następujące sposoby:
- Odnajdywanie funkcji na potrzeby ponownego użycia modelu
- Eksperymentowanie z funkcjami podczas trenowania, aby sprawdzić, czy te funkcje zwiększają wydajność modelu
- Konfigurowanie potoków trenowania/wnioskowania korzystających z funkcji
- Administratorzy magazynu funkcji: zazwyczaj obsługują:
- Zarządzanie cyklem życia magazynu funkcji (od tworzenia do wycofania)
- Zarządzanie cyklem życia dostępu użytkowników magazynu funkcji
- Konfiguracja magazynu funkcji: limit przydziału i magazynu (magazyny offline/online)
- Zarządzanie kosztami
W tej tabeli opisano uprawnienia wymagane dla każdego typu użytkownika:
| Rola | opis | Wymagane uprawnienia |
|---|---|---|
feature store admin |
kto może tworzyć/aktualizować/usuwać magazyn funkcji | Uprawnienia wymagane dla feature store admin roli |
feature set consumer |
kto może używać zdefiniowanych zestawów funkcji w cyklu życia uczenia maszynowego. | Uprawnienia wymagane dla feature set consumer roli |
feature set developer |
kto może tworzyć/aktualizować zestawy funkcji lub konfigurować materializacje — na przykład wypełnianie i powtarzanie zadań. | Uprawnienia wymagane dla feature set developer roli |
Jeśli magazyn funkcji wymaga materializacji, wymagane są również następujące uprawnienia:
| Rola | opis | Wymagane uprawnienia |
|---|---|---|
feature store materialization managed identity |
Tożsamość zarządzana przypisana przez użytkownika platformy Azure używana przez zadania materializacji magazynu funkcji na potrzeby dostępu do danych. Ta tożsamość jest wymagana, jeśli magazyn funkcji umożliwia materializację | Uprawnienia wymagane dla feature store materialization managed identity roli |
Aby uzyskać więcej informacji na temat tworzenia roli, odwiedź stronę tworzenia zasobu roli niestandardowej.
Zasoby
Udzielanie dostępu obejmuje następujące zasoby:
- magazyn funkcji zarządzanych usługi Azure Machine Learning
- konto usługi Azure Storage (Gen2), którego magazyn funkcji używa jako magazynu offline
- tożsamość zarządzana przypisana przez użytkownika platformy Azure używana przez magazyn funkcji na potrzeby zadań materializacji
- konta magazynu użytkowników platformy Azure hostujące dane źródłowe zestawu funkcji
Uprawnienia wymagane dla feature store admin roli
Aby utworzyć i/lub usunąć magazyn zarządzanych funkcji, zalecamy wbudowane Contributor i User Access Administrator role w grupie zasobów. Możesz również utworzyć rolę niestandardową Feature store admin z następującymi minimalnymi uprawnieniami:
| Scope | Akcja/rola |
|---|---|
| resourceGroup (lokalizacja tworzenia magazynu funkcji) | Microsoft.MachineLearningServices/workspaces/featurestores/read |
| resourceGroup (lokalizacja tworzenia magazynu funkcji) | Microsoft.MachineLearningServices/workspaces/featurestores/write |
| resourceGroup (lokalizacja tworzenia magazynu funkcji) | Microsoft.MachineLearningServices/workspaces/featurestores/delete |
| magazyn funkcji | Microsoft.Authorization/roleAssignments/write |
| tożsamość zarządzana przypisana przez użytkownika | Rola Operator tożsamości zarządzanej |
Po aprowizacji magazynu funkcji inne zasoby są domyślnie aprowizowane. Można jednak użyć istniejących zasobów. Jeśli są potrzebne nowe zasoby, tożsamość, która tworzy magazyn funkcji, musi mieć następujące uprawnienia do grupy zasobów:
- Microsoft.Storage/storageAccounts/write
- Microsoft.Storage/storageAccounts/blobServices/containers/write
- Microsoft.Insights/components/write
- Microsoft.KeyVault/vaults/write
- Microsoft.ContainerRegistry/registries/write
- Microsoft.OperationalInsights/workspaces/write
- Microsoft.ManagedIdentity/userAssignedIdentities/write
Uprawnienia wymagane dla feature set consumer roli
Użyj tych wbudowanych ról, aby korzystać z zestawów funkcji zdefiniowanych w magazynie funkcji:
| Scope | Rola |
|---|---|
| magazyn funkcji | Badacze danych AzureML |
| źródłowe konta magazynu danych; innymi słowy, źródła danych zestawu funkcji | Rola Czytelnik danych obiektu blob usługi Storage |
| magazyn funkcji magazynu w trybie offline — konto magazynu | Rola Czytelnik danych obiektu blob usługi Storage |
Uwaga
Funkcja AzureML Data Scientist umożliwia użytkownikom tworzenie i aktualizowanie zestawów funkcji w magazynie funkcji.
Aby uniknąć korzystania z AzureML Data Scientist roli, możesz użyć następujących akcji:
| Scope | Akcja/rola |
|---|---|
| magazyn funkcji | Microsoft.MachineLearningServices/workspaces/featurestores/read |
| magazyn funkcji | Microsoft.MachineLearningServices/workspaces/featuresets/read |
| magazyn funkcji | Microsoft.MachineLearningServices/workspaces/featurestoreentities/read |
| magazyn funkcji | Microsoft.MachineLearningServices/workspaces/datastores/listSecrets/action |
| magazyn funkcji | Microsoft.MachineLearningServices/workspaces/jobs/read |
Uprawnienia wymagane dla feature set developer roli
Aby opracować zestawy funkcji w magazynie funkcji, użyj następujących wbudowanych ról:
| Scope | Rola |
|---|---|
| magazyn funkcji | Badacze danych AzureML |
| źródłowe konta magazynu danych | Rola Czytelnik danych obiektu blob usługi Storage |
| konto magazynu funkcji w trybie offline | Rola Czytelnik danych obiektu blob usługi Storage |
Aby uniknąć korzystania z AzureML Data Scientist roli, można użyć tych pojedynczych akcji (oprócz akcji wymienionych dla Featureset consumerelementu )
| Scope | Rola |
|---|---|
| magazyn funkcji | Microsoft.MachineLearningServices/workspaces/featuresets/write |
| magazyn funkcji | Microsoft.MachineLearningServices/workspaces/featuresets/delete |
| magazyn funkcji | Microsoft.MachineLearningServices/workspaces/featuresets/action |
| magazyn funkcji | Microsoft.MachineLearningServices/workspaces/featurestoreentities/write |
| magazyn funkcji | Microsoft.MachineLearningServices/workspaces/featurestoreentities/delete |
| magazyn funkcji | Microsoft.MachineLearningServices/workspaces/featurestoreentities/action |
Uprawnienia wymagane dla feature store materialization managed identity roli
Oprócz wszystkich uprawnień wymaganych feature set consumer przez rolę należy użyć tych wbudowanych ról:
| Scope | Akcja/rola |
|---|---|
| magazyn funkcji | Rola badacze dancyh usługi AzureML |
| konto magazynu funkcji magazynu funkcji w trybie offline | Rola Współautor danych obiektu blob usługi Storage |
| konta magazynu danych źródłowych | Rola Czytelnik danych obiektu blob usługi Storage |
Nowe akcje utworzone dla magazyn zarządzanych funkcji
Te nowe akcje są tworzone dla magazyn zarządzanych funkcji użycia:
| Akcja | opis |
|---|---|
| Microsoft.MachineLearningServices/workspaces/featurestores/read | Wyświetlanie listy, pobieranie magazynu funkcji |
| Microsoft.MachineLearningServices/workspaces/featurestores/write | Tworzenie i aktualizowanie magazynu funkcji (konfigurowanie magazynów materializacji, przetwarzanie materializacji itp.) |
| Microsoft.MachineLearningServices/workspaces/featurestores/delete | Usuwanie magazynu funkcji |
| Microsoft.MachineLearningServices/workspaces/featuresets/read | Wyświetlanie i wyświetlanie zestawów funkcji |
| Microsoft.MachineLearningServices/workspaces/featuresets/write | Tworzenie i aktualizowanie zestawów funkcji. Może skonfigurować ustawienia materializacji wraz z tworzeniem lub aktualizowaniem |
| Microsoft.MachineLearningServices/workspaces/featuresets/delete | Usuwanie zestawów funkcji |
| Microsoft.MachineLearningServices/workspaces/featuresets/action | Wyzwalanie akcji w zestawach funkcji (na przykład zadanie wypełniania danych) |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/read | Wyświetlanie i wyświetlanie jednostek magazynu funkcji |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/write | Tworzenie i aktualizowanie jednostek magazynu funkcji |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/delete | Usuwanie jednostek |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/action | Wyzwalanie akcji w jednostkach magazynu funkcji |
Nie ma listy ACL (listy kontroli dostępu) dla wystąpień jednostki magazynu funkcji i zestawu funkcji.