Gerenciar o controle de acesso para armazenamento de recursos gerenciados
Este artigo descreve como gerenciar o acesso (autorização) a um repositório de recursos gerenciados do Azure Machine Learning. O controle de acesso baseado em função do Azure (Azure RBAC) gerencia o acesso aos recursos do Azure, incluindo a capacidade de criar novos recursos ou usar os existentes. Os usuários em sua ID do Microsoft Entra recebem funções específicas, que concedem acesso a recursos. O Azure fornece funções internas e a capacidade de criar funções personalizadas.
Identidades e tipos de usuário
O Azure Machine Learning dá suporte ao controle de acesso baseado em função para estes recursos de armazenamento de recursos gerenciados:
- loja de recursos
- entidade do repositório de recursos
- conjunto de recursos
Para controlar o acesso a esses recursos, considere os tipos de usuário mostrados aqui. Para cada tipo de usuário, a identidade pode ser uma identidade do Microsoft Entra, uma entidade de serviço ou uma identidade gerenciada do Azure (gerenciada pelo sistema e atribuída pelo usuário).
- Desenvolvedores de conjuntos de recursos (por exemplo, cientistas de dados, engenheiros de dados e engenheiros de aprendizado de máquina): eles trabalham principalmente com o espaço de trabalho do repositório de recursos e lidam com
- O ciclo de vida do gerenciamento de recursos, da criação ao arquivamento
- Materialização e configuração de backfill de recursos
- Monitorização da frescura e qualidade das características
- Consumidores do conjunto de recursos (por exemplo, cientistas de dados e engenheiros de aprendizado de máquina): eles trabalham principalmente em um espaço de trabalho de projeto e usam recursos das seguintes maneiras:
- Descoberta de recursos para reutilização de modelos
- Experimentação com recursos durante o treinamento, para ver se esses recursos melhoram o desempenho do modelo
- Configuração dos pipelines de treinamento/inferência que usam os recursos
- Administradores da loja de recursos: eles normalmente lidam:
- Gerenciamento do ciclo de vida da loja de recursos (da criação à desativação)
- Gerenciamento do ciclo de vida do acesso do usuário do repositório de recursos
- Configuração do repositório de recursos: cota e armazenamento (lojas offline/online)
- Gestão de custos
Esta tabela descreve as permissões necessárias para cada tipo de usuário:
| Função | Description | Permissões obrigatórias |
|---|---|---|
feature store admin |
Quem pode criar/atualizar/excluir o repositório de recursos | Permissões necessárias para a feature store admin função |
feature set consumer |
que podem usar conjuntos de recursos definidos em seu ciclo de vida de aprendizado de máquina. | Permissões necessárias para a feature set consumer função |
feature set developer |
quem pode criar/atualizar conjuntos de recursos ou configurar materializações - por exemplo, trabalhos recorrentes e de preenchimento. | Permissões necessárias para a feature set developer função |
Se o seu repositório de recursos exigir materialização, estas permissões também são necessárias:
| Função | Description | Permissões obrigatórias |
|---|---|---|
feature store materialization managed identity |
A identidade gerenciada atribuída pelo usuário do Azure que os trabalhos de materialização do repositório de recursos usam para acesso a dados. Essa identidade é necessária se o repositório de recursos permitir a materialização | Permissões necessárias para a feature store materialization managed identity função |
Para obter mais informações sobre a criação de funções, visite o recurso criar função personalizada.
Recursos
A concessão de acesso envolve os seguintes recursos:
- o repositório de recursos gerenciados do Azure Machine Learning
- a conta de armazenamento do Azure (Gen2) que o repositório de recursos usa como um repositório offline
- a identidade gerenciada atribuída pelo usuário do Azure que o repositório de recursos usa para seus trabalhos de materialização
- as contas de armazenamento de usuário do Azure que hospedam os dados de origem do conjunto de recursos
Permissões necessárias para a feature store admin função
Para criar e/ou excluir um repositório de recursos gerenciados, recomendamos o interno Contributor e User Access Administrator as funções no grupo de recursos. Você também pode criar uma função personalizada Feature store admin com estas permissões mínimas:
| Âmbito | Ação/Papel |
|---|---|
| resourceGroup (o local de criação do repositório de recursos) | Microsoft.MachineLearningServices/workspaces/featurestores/read |
| resourceGroup (o local de criação do repositório de recursos) | Microsoft.MachineLearningServices/workspaces/featurestores/write |
| resourceGroup (o local de criação do repositório de recursos) | Microsoft.MachineLearningServices/workspaces/featurestores/delete |
| a loja de recursos | Microsoft.Authorization/roleAssignments/write |
| a identidade gerenciada atribuída ao usuário | Função de Operador de Identidade Gerenciado |
Quando um repositório de recursos é provisionado, outros recursos são provisionados por padrão. No entanto, você pode usar os recursos existentes. Se forem necessários novos recursos, a identidade que cria o repositório de recursos deve ter estas permissões no grupo de recursos:
- Microsoft.Storage/storageAccounts/write
- Microsoft.Storage/storageAccounts/blobServices/containers/write
- Microsoft.Insights/componentes/gravação
- Microsoft.KeyVault/cofres/gravação
- Microsoft.ContainerRegistry/registries/write
- Microsoft.OperationalInsights/workspaces/write
- Microsoft.ManagedIdentity/userAssignedIdentities/write
Permissões necessárias para a feature set consumer função
Use estas funções internas para consumir os conjuntos de recursos definidos no repositório de recursos:
| Âmbito | Role |
|---|---|
| a loja de recursos | Cientistas de Dados do AzureML |
| as contas de armazenamento de dados de origem; Em outras palavras, as fontes de dados do conjunto de recursos | Função Leitor de Dados de Blob de Armazenamento |
| A conta de armazenamento do armazenamento de recursos de armazenamento offline | Função Leitor de Dados de Blob de Armazenamento |
Nota
O AzureML Data Scientist permite que os usuários criem e atualizem conjuntos de recursos no repositório de recursos.
Para evitar o AzureML Data Scientist uso da função, você pode usar estas ações individuais:
| Âmbito | Ação/Papel |
|---|---|
| a loja de recursos | Microsoft.MachineLearningServices/workspaces/featurestores/read |
| a loja de recursos | Microsoft.MachineLearningServices/workspaces/featuresets/read |
| a loja de recursos | Microsoft.MachineLearningServices/workspaces/featurestoreentities/read |
| a loja de recursos | Microsoft.MachineLearningServices/workspaces/datastores/listSecrets/action |
| a loja de recursos | Microsoft.MachineLearningServices/workspaces/jobs/read |
Permissões necessárias para a feature set developer função
Para desenvolver conjuntos de recursos no repositório de recursos, use estas funções internas:
| Âmbito | Role |
|---|---|
| a loja de recursos | Cientistas de Dados do AzureML |
| as contas de armazenamento de dados de origem | Função Leitor de Dados de Blob de Armazenamento |
| A conta de armazenamento do repositório offline do Feature Store | Função Leitor de Dados de Blob de Armazenamento |
Para evitar o AzureML Data Scientist uso da função, você pode usar essas ações individuais (além das ações listadas para Featureset consumer)
| Âmbito | Role |
|---|---|
| a loja de recursos | Microsoft.MachineLearningServices/workspaces/featuresets/write |
| a loja de recursos | Microsoft.MachineLearningServices/workspaces/featuresets/delete |
| a loja de recursos | Microsoft.MachineLearningServices/workspaces/featuresets/action |
| a loja de recursos | Microsoft.MachineLearningServices/workspaces/featurestoreentities/write |
| a loja de recursos | Microsoft.MachineLearningServices/workspaces/featurestoreentities/delete |
| a loja de recursos | Microsoft.MachineLearningServices/workspaces/featurestoreentities/action |
Permissões necessárias para a feature store materialization managed identity função
Além de todas as permissões que a feature set consumer função exige, use estas funções internas:
| Âmbito | Ação/Papel |
|---|---|
| loja de recursos | Função de cientista de dados do AzureML |
| Conta de armazenamento da loja offline do Feature Store | Função de Colaborador de Dados de Blob de Armazenamento |
| Contas de armazenamento de dados de origem | Função Leitor de Dados de Blob de Armazenamento |
Novas ações criadas para o repositório de recursos gerenciados
Estas novas ações são criadas para o uso do repositório de recursos gerenciados:
| Ação | Descrição |
|---|---|
| Microsoft.MachineLearningServices/workspaces/featurestores/read | Listar, obter repositório de recursos |
| Microsoft.MachineLearningServices/workspaces/featurestores/write | Criar e atualizar o repositório de recursos (configurar repositórios de materialização, computação de materialização, etc.) |
| Microsoft.MachineLearningServices/workspaces/featurestores/delete | Excluir repositório de recursos |
| Microsoft.MachineLearningServices/workspaces/featuresets/read | Listar e mostrar conjuntos de recursos |
| Microsoft.MachineLearningServices/workspaces/featuresets/write | Crie e atualize conjuntos de recursos. Pode configurar configurações de materialização juntamente com criar ou atualizar |
| Microsoft.MachineLearningServices/workspaces/featuresets/delete | Excluir conjuntos de recursos |
| Microsoft.MachineLearningServices/workspaces/featuresets/action | Acionar ações em conjuntos de recursos (por exemplo, um trabalho de preenchimento) |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/read | Listar e mostrar entidades do repositório de recursos |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/write | Criar e atualizar entidades do repositório de recursos |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/delete | Eliminar entidades |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/action | Acionar ações em entidades do repositório de recursos |
Não há ACL (lista de controle de acesso) para instâncias de uma entidade de armazenamento de recursos e um conjunto de recursos.