Správa řízení přístupu pro spravované uložiště funkcí
Tento článek popisuje, jak spravovat přístup (autorizaci) ke službě Azure Machine Learning spravované uložiště funkcí. Řízení přístupu na základě role v Azure (Azure RBAC) spravuje přístup k prostředkům Azure, včetně možnosti vytvářet nové prostředky nebo používat stávající. Uživatelům ve vašem Microsoft Entra ID jsou přiřazeny konkrétní role, které udělují přístup k prostředkům. Azure poskytuje předdefinované role i možnost vytvářet vlastní role.
Identity a typy uživatelů
Azure Machine Learning podporuje řízení přístupu na základě role pro tyto prostředky spravované uložiště funkcí:
- úložiště funkcí
- entita úložiště funkcí
- sada funkcí
Pokud chcete řídit přístup k těmto prostředkům, zvažte typy uživatelů, které jsou zde uvedeny. Pro každý typ uživatele může být identita Microsoft Entra, instanční objekt nebo spravovaná identita Azure (spravovaná systémem i přiřazená uživatelem).
- Vývojáři sady funkcí (například datový vědec, datoví inženýři a technici strojového učení): Primárně pracují s pracovním prostorem úložiště funkcí a zpracovávají:
- Životní cyklus správy funkcí od vytvoření po archivaci
- Nastavení materializace a zpětného vyplňování funkcí
- Sledování aktuálnosti a kvality funkcí
- Uživatelé sady funkcí (například datoví vědci a technici strojového učení): Primárně pracují v pracovním prostoru projektu a používají funkce těmito způsoby:
- Zjišťování funkcí pro opakované použití modelu
- Experimentovánísch
- Nastavení kanálů trénování a odvozování, které používají tyto funkce
- Správci úložiště funkcí: Obvykle zpracovávají:
- Správa životního cyklu úložiště funkcí (od vytvoření po vyřazení)
- Správa životního cyklu přístupu uživatelů k úložišti funkcí
- Konfigurace úložiště funkcí: kvóta a úložiště (offline nebo online obchody)
- Správa nákladů
Tato tabulka popisuje oprávnění požadovaná pro každý typ uživatele:
| Role | Popis | Požadována oprávnění |
|---|---|---|
feature store admin |
kdo může vytvořit, aktualizovat nebo odstranit úložiště funkcí | Oprávnění požadovaná pro feature store admin roli |
feature set consumer |
kteří můžou v životním cyklu strojového učení používat definované sady funkcí. | Oprávnění požadovaná pro feature set consumer roli |
feature set developer |
kdo může vytvářet nebo aktualizovat sady funkcí nebo nastavovat materializace – například backfill a rekurentní úlohy. | Oprávnění požadovaná pro feature set developer roli |
Pokud úložiště funkcí vyžaduje materializaci, vyžadují se také tato oprávnění:
| Role | Popis | Požadována oprávnění |
|---|---|---|
feature store materialization managed identity |
Spravovaná identita přiřazená uživatelem Azure, kterou úlohy materializace funkcí ukládají pro přístup k datům. To se vyžaduje, pokud úložiště funkcí povolí materializaci. | Oprávnění požadovaná pro feature store materialization managed identity roli |
Další informace o vytváření rolí najdete v tématu Vytvoření vlastní role.
Zdroje informací
Udělení přístupu zahrnuje tyto prostředky:
- úložiště spravovaných funkcí služby Azure Machine Learning
- účet úložiště Azure (Gen2), který úložiště funkcí používá jako offline úložiště
- spravovaná identita přiřazená uživatelem Azure, kterou úložiště funkcí používá pro své úlohy materializace
- Účty úložiště uživatelů Azure, které hostují zdrojová data sady funkcí
Oprávnění požadovaná pro feature store admin roli
Pokud chcete vytvořit nebo odstranit spravované uložiště funkcí, doporučujeme předdefinované Contributor role a User Access Administrator role ve skupině prostředků. Můžete také vytvořit vlastní Feature store admin roli s těmito minimálními oprávněními:
| Obor | Akce nebo role |
|---|---|
| resourceGroup (umístění vytvoření úložiště funkcí) | Microsoft.MachineLearningServices/workspaces/featurestores/read |
| resourceGroup (umístění vytvoření úložiště funkcí) | Microsoft.MachineLearningServices/workspaces/featurestores/write |
| resourceGroup (umístění vytvoření úložiště funkcí) | Microsoft.MachineLearningServices/workspaces/featurestores/delete |
| úložiště funkcí | Microsoft.Authorization/roleAssignments/write |
| spravovaná identita přiřazená uživatelem | Role operátora spravované identity |
Při zřizování úložiště funkcí se ve výchozím nastavení zřídí další prostředky. Můžete ale použít existující prostředky. Pokud jsou potřeba nové prostředky, identita, která vytváří úložiště funkcí, musí mít tato oprávnění ke skupině prostředků:
- Microsoft.Storage/storageAccounts/write
- Microsoft.Storage/storageAccounts/blobServices/containers/write
- Microsoft.Insights/components/write
- Microsoft.KeyVault/vaults/write
- Microsoft.ContainerRegistry/registry/write
- Microsoft.OperationalInsights/workspaces/write
- Microsoft.ManagedIdentity/userAssignedIdentities/write
Oprávnění požadovaná pro feature set consumer roli
Pomocí těchto předdefinovaných rolí můžete využívat sady funkcí definované v úložišti funkcí:
| Obor | Role |
|---|---|
| úložiště funkcí | AzureML Data Scientist |
| zdrojové účty úložiště dat; Jinými slovy, zdroje dat sady funkcí | Role Čtenář dat objektů blob služby Storage |
| úložiště funkcí úložiště offline úložiště | Role Čtenář dat objektů blob služby Storage |
Poznámka:
Umožňuje AzureML Data Scientist uživatelům vytvářet a aktualizovat sady funkcí v úložišti funkcí.
Abyste se vyhnuli použití AzureML Data Scientist role, můžete použít tyto jednotlivé akce:
| Obor | Akce nebo role |
|---|---|
| úložiště funkcí | Microsoft.MachineLearningServices/workspaces/featurestores/read |
| úložiště funkcí | Microsoft.MachineLearningServices/workspaces/featuresets/read |
| úložiště funkcí | Microsoft.MachineLearningServices/workspaces/featurestoreentities/read |
| úložiště funkcí | Microsoft.MachineLearningServices/workspaces/datastores/listSecrets/action |
| úložiště funkcí | Microsoft.MachineLearningServices/workspaces/jobs/read |
Oprávnění požadovaná pro feature set developer roli
K vývoji sad funkcí v úložišti funkcí použijte tyto předdefinované role:
| Obor | Role |
|---|---|
| úložiště funkcí | AzureML Data Scientist |
| účty úložiště zdrojových dat | Role Čtenář dat objektů blob služby Storage |
| úložiště úložiště offline úložiště funkcí | Role Čtenář dat objektů blob služby Storage |
Abyste se vyhnuli použití AzureML Data Scientist role, můžete použít tyto jednotlivé akce (kromě akcí uvedených pro Featureset consumer)
| Obor | Role |
|---|---|
| úložiště funkcí | Microsoft.MachineLearningServices/workspaces/featuresets/write |
| úložiště funkcí | Microsoft.MachineLearningServices/workspaces/featuresets/delete |
| úložiště funkcí | Microsoft.MachineLearningServices/workspaces/featuresets/action |
| úložiště funkcí | Microsoft.MachineLearningServices/workspaces/featurestoreentities/write |
| úložiště funkcí | Microsoft.MachineLearningServices/workspaces/featurestoreentities/delete |
| úložiště funkcí | Microsoft.MachineLearningServices/workspaces/featurestoreentities/action |
Oprávnění požadovaná pro feature store materialization managed identity roli
Kromě všech oprávnění, která feature set consumer role vyžaduje, udělte tyto předdefinované role:
| Obor | Akce nebo role |
|---|---|
| úložiště funkcí | Role Datoví vědci AzureML |
| účet úložiště funkcí v offline úložišti | Role Přispěvatel dat v objektech blob služby Storage |
| účty úložiště zdrojových dat | Role Čtenář dat objektů blob služby Storage |
Nové akce vytvořené pro spravované uložiště funkcí
Tyto nové akce se vytvoří pro spravované uložiště funkcí využití:
| Akce | Popis |
|---|---|
| Microsoft.MachineLearningServices/workspaces/featurestores/read | Seznam, získání úložiště funkcí |
| Microsoft.MachineLearningServices/workspaces/featurestores/write | Vytvoření a aktualizace úložiště funkcí (konfigurace úložišť materializace, výpočetních prostředků materializace atd.) |
| Microsoft.MachineLearningServices/workspaces/featurestores/delete | Odstranění úložiště funkcí |
| Microsoft.MachineLearningServices/workspaces/featuresets/read | Zobrazení seznamu a zobrazení sad funkcí |
| Microsoft.MachineLearningServices/workspaces/featuresets/write | Vytváření a aktualizace sad funkcí Může nakonfigurovat nastavení materializace spolu s vytvořením nebo aktualizací. |
| Microsoft.MachineLearningServices/workspaces/featuresets/delete | Odstranění sad funkcí |
| Microsoft.MachineLearningServices/workspaces/featuresets/action | Aktivace akcí u sad funkcí (například úloha obnovení) |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/read | Výpis a zobrazení entit úložiště funkcí |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/write | Vytváření a aktualizace entit úložiště funkcí |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/delete | Odstranění entit |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/action | Aktivace akcí u entit úložiště funkcí |
Pro instance entity úložiště funkcí a sady funkcí neexistuje žádný seznam ACL.