管理受管理的功能存放區的存取控制
本文說明如何管理 Azure Machine Learning 受管理的功能存放區的存取權(授權)。 Azure 角色型存取控制(Azure RBAC)管理 Azure 資源的存取,包括建立新資源或使用現有資源的能力。 您Microsoft Entra ID 中的使用者會收到特定角色,這些角色會授與資源的存取權。 Azure 會同時提供內建角色以及可以建立自訂角色的能力。
身分識別和使用者型別
Azure Machine Learning 支援受管理的功能存放區資源的角色型存取控制:
- 功能存放區
- 功能存放區實體
- 功能集合
若要控制這些資源的存取,不妨使用此處顯示的使用者型別。 針對每個使用者類型,身分識別可以是Microsoft Entra 身分識別、服務主體或 Azure 受控識別(系統管理和使用者指派)。
- 功能集開發人員 (例如數據科學家、數據工程師和機器學習工程師):他們主要使用功能存放區工作區,並處理
- 功能管理生命週期,從建立到封存
- 具體化和功能回填設定
- 功能新鮮度和品質監視
- 功能集合取用者(例如資料科學家和機器學習工程師):他們主要在專案工作區中工作,並透過以下方式使用功能:
- 模型重複使用的功能發現
- 在訓練期間對功能進行測試,看看這些功能能否提高模型效能
- 設定使用這些功能的訓練/推斷準銷售案源
- 功能存放區管理員:他們通常處理以下項目:
- 功能存放區生命週期管理(從建立到淘汰)
- 功能存放區使用者存取生命週期管理
- 功能存放區設定:配額和儲存體(離線/連線商店)
- 成本管理
下表說明每種使用者型別所需的權限:
| 角色 | 描述 | 所需的權限 |
|---|---|---|
feature store admin |
誰可以建立/更新/刪除功能存放區 | feature store admin 角色所需的權限 |
feature set consumer |
誰可以在機器學習生命週期中,使用定義的功能集合。 | feature set consumer 角色所需的權限 |
feature set developer |
誰可以建立/更新功能集合,或設定具體化 - 例如回填和反覆作業。 | feature set developer 角色所需的權限 |
如果您的功能存放區需要具體化,另需以下權限:
| 角色 | 描述 | 所需的權限 |
|---|---|---|
feature store materialization managed identity |
功能存放區作業用於存取資料的 Azure 使用者指派的受控識別。 如果功能存放區啟用具體化,則需要此身分識別 | feature store materialization managed identity 角色所需的權限 |
如需建立角色的詳細資訊,請流覽 建立自定義角色 資源。
資源
授予存取權限涉及以下資源:
- Azure Machine Learning 受管理的功能存放區
- 功能存放區用於離線儲存的 Azure 儲存體帳戶(Gen2)
- 功能存放區用於具體化作業的 Azure 使用者指派的受控識別
- 裝載功能集源數據的 Azure 用戶帳戶
feature store admin 角色所需的權限
若要建立和/或刪除受管理的功能存放區,建議使用資源群組的內建 Contributor 和 User Access Administrator 角色。 您也可以建立具有以下最低權限的自訂 Feature store admin 角色:
| 範圍 | 動作/角色 |
|---|---|
| resourceGroup(功能存放區建立的位置) | Microsoft.MachineLearningServices/workspaces/featurestores/read |
| resourceGroup(功能存放區建立的位置) | Microsoft.MachineLearningServices/workspaces/featurestores/write |
| resourceGroup(功能存放區建立的位置) | Microsoft.MachineLearningServices/workspaces/featurestores/delete |
| 功能存放區 | Microsoft.Authorization/roleAssignments/write |
| 使用者指派的受控識別 | 受控識別操作員角色 |
若佈建功能存放區,預設會佈建其他資源。 但您可以使用現有資源。 如需新資源,建立功能存放區的身分識別,必須擁有資源群組的以下權限:
- Microsoft.Storage/storageAccounts/write
- Microsoft.Storage/storageAccounts/blobServices/containers/write
- Microsoft.Insights/components/write
- Microsoft.KeyVault/vaults/write
- Microsoft.ContainerRegistry/registries/write
- Microsoft.OperationalInsights/workspaces/write
- Microsoft.ManagedIdentity/userAssignedIdentities/write
feature set consumer 角色所需的權限
請使用內建角色,使用功能存放區定義的功能集合:
| 範圍 | 角色 |
|---|---|
| 功能存放區 | AzureML 資料科學家 |
| 來源資料儲存體帳戶;換句話說,功能集合資料來源 | 儲存體 Blob 資料讀者角色 |
| 儲存體功能存放區離線儲存儲存體帳戶 | 儲存體 Blob 資料讀者角色 |
注意
AzureML Data Scientist 讓使用者在功能存放區中建立和更新功能集合。
若要避免使用 AzureML Data Scientist 角色,可以使用以下個別動作:
| 範圍 | 動作/角色 |
|---|---|
| 功能存放區 | Microsoft.MachineLearningServices/workspaces/featurestores/read |
| 功能存放區 | Microsoft.MachineLearningServices/workspaces/featuresets/read |
| 功能存放區 | Microsoft.MachineLearningServices/workspaces/featurestoreentities/read |
| 功能存放區 | Microsoft.MachineLearningServices/workspaces/datastores/listSecrets/action |
| 功能存放區 | Microsoft.MachineLearningServices/workspaces/jobs/read |
feature set developer 角色所需的權限
若要在功能存放區中開發功能集合,請使用以下內建角色:
| 範圍 | 角色 |
|---|---|
| 功能存放區 | AzureML 資料科學家 |
| 來源資料儲存體帳戶 | 儲存體 Blob 資料讀者角色 |
| 功能存放區離線儲存儲存體帳戶 | 儲存體 Blob 資料讀者角色 |
若要避免使用 AzureML Data Scientist 角色,可以使用這些個別動作(除了 Featureset consumer 列出的動作之外)
| 範圍 | 角色 |
|---|---|
| 功能存放區 | Microsoft.MachineLearningServices/workspaces/featuresets/write |
| 功能存放區 | Microsoft.MachineLearningServices/workspaces/featuresets/delete |
| 功能存放區 | Microsoft.MachineLearningServices/workspaces/featuresets/action |
| 功能存放區 | Microsoft.MachineLearningServices/workspaces/featurestoreentities/write |
| 功能存放區 | Microsoft.MachineLearningServices/workspaces/featurestoreentities/delete |
| 功能存放區 | Microsoft.MachineLearningServices/workspaces/featurestoreentities/action |
feature store materialization managed identity 角色所需的權限
除了角色需要的所有許可權 feature set consumer 之外,請使用這些內建角色:
| 範圍 | 動作/角色 |
|---|---|
| 功能存放區 | AzureML 資料科學家角色 |
| 功能存放區離線儲存的儲存體帳戶 | 儲存體 Blob 資料參與者角色 |
| 來源資料的儲存體帳戶 | 儲存體 Blob 資料讀者角色 |
為受管理的功能存放區建立的新動作
以下是為受管理的功能存放區使用方式建立的新動作:
| 動作 | 描述 |
|---|---|
| Microsoft.MachineLearningServices/workspaces/featurestores/read | 列出、取得功能存放區 |
| Microsoft.MachineLearningServices/workspaces/featurestores/write | 建立和更新功能存放區(設定具體化儲存、具體化運算等) |
| Microsoft.MachineLearningServices/workspaces/featurestores/delete | 刪除功能存放區 |
| Microsoft.MachineLearningServices/workspaces/featuresets/read | 列出和顯示功能集合 |
| Microsoft.MachineLearningServices/workspaces/featuresets/write | 建立和更新功能集合。 可以設定具體化設定,也可以建立或更新 |
| Microsoft.MachineLearningServices/workspaces/featuresets/delete | 刪除功能集合 |
| Microsoft.MachineLearningServices/workspaces/featuresets/action | 觸發功能集合的動作(例如回填作業) |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/read | 列出和顯示功能存放區實體 |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/write | 建立和更新功能存放區實體 |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/delete | 刪除實體 |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/action | 觸發功能存放區實體的動作 |
功能存放區實體和功能集的實例沒有 ACL (存取控制清單)。