Управление доступом для хранилище управляемых функций
В этой статье описывается управление доступом (авторизацией) к Машинное обучение Azure хранилище управляемых функций. Управление доступом на основе ролей Azure (Azure RBAC) управляет доступом к ресурсам Azure, включая возможность создавать новые ресурсы или использовать существующие. Пользователи в идентификаторе Microsoft Entra получают определенные роли, которые предоставляют доступ к ресурсам. Azure предоставляет как встроенные роли, так и возможность создания настраиваемых ролей.
Удостоверения и типы пользователей
Машинное обучение Azure поддерживает управление доступом на основе ролей для этих хранилище управляемых функций ресурсов:
- Хранилище компонентов
- Сущность хранилища компонентов
- набор компонентов
Чтобы управлять доступом к этим ресурсам, рассмотрим типы пользователей, показанные здесь. Для каждого типа пользователя удостоверение может быть удостоверением Microsoft Entra, субъектом-службой или управляемым удостоверением Azure (назначаемое системой и назначаемое пользователем).
- Разработчики набора компонентов (например, специалист по обработке и анализу данных, инженеры и инженеры машинного обучения): они в основном работают с рабочей областью хранилища компонентов и обрабатывают их.
- Жизненный цикл управления функциями, от создания до архива
- Настройка материализации и резервной заполнения компонентов
- Свежесть функций и мониторинг качества
- Потребители набора функций (например, специалист по обработке и анализу данных и инженеры машинного обучения): они в основном работают в рабочей области проекта и используют функции следующим образом:
- Обнаружение компонентов для повторного использования модели
- Экспериментирование с функциями во время обучения, чтобы узнать, улучшают ли эти функции производительность модели
- Настройка конвейеров обучения и вывода, использующих функции
- Администраторы хранилища компонентов: обычно они обрабатывают:
- Управление жизненным циклом хранилища компонентов (от создания до выхода на пенсию)
- Управление жизненным циклом доступа пользователей в хранилище компонентов
- Конфигурация хранилища компонентов: квота и хранилище (автономные или онлайн-магазины)
- Управление затратами
В этой таблице описываются разрешения, необходимые для каждого типа пользователя:
| Роль | Description | Необходимые разрешения |
|---|---|---|
feature store admin |
Кто может создавать и обновлять или удалять хранилище компонентов | Разрешения, необходимые для feature store admin роли |
feature set consumer |
кто может использовать определенные наборы функций в жизненном цикле машинного обучения. | Разрешения, необходимые для feature set consumer роли |
feature set developer |
кто может создавать и обновлять наборы компонентов или настраивать материализации, например резервные и периодические задания. | Разрешения, необходимые для feature set developer роли |
Если для хранилища компонентов требуется материализация, эти разрешения также требуются:
| Роль | Description | Необходимые разрешения |
|---|---|---|
feature store materialization managed identity |
Управляемое удостоверение, назначаемое пользователем Azure, используемое заданиями материализации хранилища компонентов для доступа к данным. Это удостоверение необходимо, если хранилище компонентов включает материализацию | Разрешения, необходимые для feature store materialization managed identity роли |
Дополнительные сведения о создании роли см. в ресурсе создания настраиваемой роли .
Ресурсы
Предоставление доступа включает следующие ресурсы:
- хранилище управляемых компонентов Машинное обучение Azure
- учетная запись хранения Azure (2-го поколения), которую хранилище компонентов использует в качестве автономного хранилища.
- Управляемое удостоверение, назначаемое пользователем Azure, которое хранилище функций использует для заданий материализации.
- учетные записи хранения пользователей Azure, в которых размещаются исходные данные набора компонентов
Разрешения, необходимые для feature store admin роли
Чтобы создать и/или удалить хранилище управляемых функций, рекомендуется использовать встроенные Contributor и User Access Administrator роли в группе ресурсов. Вы также можете создать пользовательскую Feature store admin роль с этими минимальными разрешениями:
| Область | Действие или роль |
|---|---|
| resourceGroup (расположение создания хранилища компонентов) | Microsoft.MachineLearningServices/workspaces/featurestores/read |
| resourceGroup (расположение создания хранилища компонентов) | Microsoft.MachineLearningServices/workspaces/featurestores/write |
| resourceGroup (расположение создания хранилища компонентов) | Microsoft.MachineLearningServices/workspaces/featurestores/delete |
| Хранилище компонентов | Microsoft.Authorization/roleAssignments/write. |
| назначаемое пользователем управляемое удостоверение | Роль оператора управляемого удостоверения |
При подготовке хранилища компонентов другие ресурсы подготавливаются по умолчанию. Однако можно использовать существующие ресурсы. Если требуются новые ресурсы, удостоверение, создающее хранилище компонентов, должно иметь следующие разрешения в группе ресурсов:
- Microsoft.Storage/storageAccounts/write
- Microsoft.Storage/storageAccounts/blobServices/containers/write
- Microsoft.Insights/components/write
- Microsoft.KeyVault/vaults/write
- Microsoft.ContainerRegistry/registries/write
- Microsoft.OperationalInsights/workspaces/write
- Microsoft.ManagedIdentity/userAssignedIdentities/write
Разрешения, необходимые для feature set consumer роли
Используйте эти встроенные роли для использования наборов компонентов, определенных в хранилище компонентов:
| Область | Роль |
|---|---|
| Хранилище компонентов | Специалист по обработке и анализу данных MLflow |
| учетные записи хранения исходных данных; другими словами, источники данных набора компонентов | Роль чтения данных BLOB-объектов хранилища |
| Учетная запись хранения в автономном хранилище хранилища | Роль чтения данных BLOB-объектов хранилища |
Примечание.
Это AzureML Data Scientist позволяет пользователям создавать и обновлять наборы компонентов в хранилище компонентов.
Чтобы избежать использования AzureML Data Scientist роли, можно использовать следующие отдельные действия:
| Область | Действие или роль |
|---|---|
| Хранилище компонентов | Microsoft.MachineLearningServices/workspaces/featurestores/read |
| Хранилище компонентов | Microsoft.MachineLearningServices/workspaces/featuresets/read |
| Хранилище компонентов | Microsoft.MachineLearningServices/workspaces/featurestoreentities/read |
| Хранилище компонентов | Microsoft.MachineLearningServices/workspaces/datastores/listSecrets/action |
| Хранилище компонентов | Microsoft.MachineLearningServices/workspaces/jobs/read |
Разрешения, необходимые для feature set developer роли
Чтобы разработать наборы функций в хранилище компонентов, используйте следующие встроенные роли:
| Область | Роль |
|---|---|
| Хранилище компонентов | Специалист по обработке и анализу данных MLflow |
| учетные записи хранения исходных данных | Роль чтения данных BLOB-объектов хранилища |
| Учетная запись хранения автономного хранилища компонентов | Роль чтения данных BLOB-объектов хранилища |
Чтобы избежать использования AzureML Data Scientist роли, вы можете использовать эти отдельные действия (в дополнение к действиям, перечисленным для Featureset consumer)
| Область | Роль |
|---|---|
| Хранилище компонентов | Microsoft.MachineLearningServices/workspaces/featuresets/write |
| Хранилище компонентов | Microsoft.MachineLearningServices/workspaces/featuresets/delete |
| Хранилище компонентов | Microsoft.MachineLearningServices/workspaces/featuresets/action |
| Хранилище компонентов | Microsoft.MachineLearningServices/workspaces/featurestoreentities/write |
| Хранилище компонентов | Microsoft.MachineLearningServices/workspaces/featurestoreentities/delete |
| Хранилище компонентов | Microsoft.MachineLearningServices/workspaces/featurestoreentities/action |
Разрешения, необходимые для feature store materialization managed identity роли
Помимо всех необходимых feature set consumer ролей разрешений используйте следующие встроенные роли:
| Область | Действие или роль |
|---|---|
| Хранилище компонентов | Роль Специалист по обработке и анализу данных AzureML |
| учетная запись хранения автономного хранилища компонентов | Роль участника данных BLOB-объектов хранилища |
| учетные записи хранения исходных данных | Роль чтения данных BLOB-объектов хранилища |
Новые действия, созданные для хранилище управляемых функций
Эти новые действия создаются для хранилище управляемых функций использования:
| Действие | Description |
|---|---|
| Microsoft.MachineLearningServices/workspaces/featurestores/read | Перечисление, получение хранилища компонентов |
| Microsoft.MachineLearningServices/workspaces/featurestores/write | Создание и обновление хранилища компонентов (настройка хранилищ материализации, вычислений материализации и т. д.) |
| Microsoft.MachineLearningServices/workspaces/featurestores/delete | Удаление хранилища компонентов |
| Microsoft.MachineLearningServices/workspaces/featuresets/read | Вывод списка и отображения наборов компонентов |
| Microsoft.MachineLearningServices/workspaces/featuresets/write | Создание и обновление наборов компонентов. Может настраивать параметры материализации вместе с созданием или обновлением |
| Microsoft.MachineLearningServices/workspaces/featuresets/delete | Удаление наборов компонентов |
| Microsoft.MachineLearningServices/workspaces/featuresets/action | Активация действий над наборами компонентов (например, задание обратной заполнения) |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/read | Вывод списка и отображения сущностей хранилища компонентов |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/write | Создание и обновление сущностей хранилища компонентов |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/delete | Удаление сущностей |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/action | Активация действий в сущностях хранилища компонентов |
Нет ACL (список управления доступом) для экземпляров сущности хранилища компонентов и набора компонентов.