マネージド Feature Store のアクセス制御を管理する

  • [アーティクル]

この記事では、Azure Machine Learning マネージド Feature Store へのアクセス (認可) を管理する方法について説明します。 Azure ロールベースのアクセス制御 (Azure RBAC) は、新しいリソースの作成や既存のリソースの使用などを始めとして、Azure リソースへのアクセスを管理します。 Microsoft Entra ID のユーザーには、リソースへのアクセス権を付与する特定のロールが割り当てられます。 Azure には、組み込みロールと、カスタム ロールを作成する機能の両方が用意されています。

ID とユーザーの種類

Azure Machine Learning では、次のマネージド Feature Store リソースに対するロールベースのアクセス制御がサポートされています。

  • Feature Store
  • Feature Store エンティティ
  • 特徴量セット

これらのリソースへのアクセスを制御するには、次に示すユーザーの種類を検討してください。 ユーザーの種類ごとに、ID には、Microsoft Entra ID、サービス プリンシパル、または Azure マネージド ID (システム マネージドとユーザー割り当ての両方) のいずれかを指定できます。

  • 特徴量セット開発者 (データ科学者、データ エンジニア、機械学習エンジニアなど): 主に Feature Store ワークスペースで作業し、次のことを処理します。
    • 作成からアーカイブまで、特徴量管理のライフサイクル
    • 具体化と特徴量バックフィルの設定
    • 特徴量の鮮度と品質の監視
  • 特徴量セット コンシューマー (データ科学者や機械学習エンジニアなど): 主にプロジェクト ワークスペースで作業し、次のように特徴量を使用します。
    • モデルの再利用のための特徴量検出
    • トレーニング中に特徴量を実験して、それらの特徴量でモデルのパフォーマンスが向上するかどうかを確認する
    • 特徴量を使用するトレーニングまたは推論パイプラインの設定
  • Feature Store 管理者: 通常、次の処理を行います。
    • Feature Store のライフサイクル管理 (作成から廃止まで)
    • Feature Store のユーザー アクセス ライフサイクル管理
    • Feature Store 構成: クォータとストレージ (オフライン/オンライン ストア)
    • コスト管理

次の表で、ユーザーの種類ごとに必要なアクセス許可について説明します。

ロール 説明 必要なアクセス許可
feature store admin Feature Store を作成、更新、削除できるユーザー feature store admin ロールに必要なアクセス許可
feature set consumer 定義された特徴量セットを機械学習ライフサイクルで使用できるユーザー。 feature set consumer ロールに必要なアクセス許可
feature set developer 特徴量セットの作成と更新ができる、またはバックフィルや繰り返しジョブなどの具体化を設定できるユーザー。 feature set developer ロールに必要なアクセス許可

Feature Store で具体化が必要な場合は、これらのアクセス許可も必要です。

ロール 説明 必要なアクセス許可
feature store materialization managed identity データ アクセスのために Feature Store 具体化ジョブで使用される Azure ユーザー割り当てマネージド ID。 これは、Feature Store で具体化が有効な場合に必要です feature store materialization managed identity ロールに必要なアクセス許可

ロール作成の詳細については、「カスタム ロールの作成」を参照してください。

リソース

アクセス権の付与には、次のリソースが必要です。

  • Azure Machine Learning マネージド Feature Store
  • Feature Store でオフライン ストアとして使用される Azure ストレージ アカウント (Gen2)
  • Feature Store でその具体化ジョブに使用される Azure ユーザー割り当てマネージド ID
  • 特徴量セット ソース データをホストする Azure ユーザー ストレージ アカウント

feature store admin ロールに必要なアクセス許可

マネージド Feature Store を作成または削除するには、リソース グループで ContributorUser Access Administrator の組み込みロールをお勧めします。 また、最小限のアクセス許可を含むカスタム Feature store admin ロールを作成することもできます。

Scope アクション/ロール
resourceGroup (Feature Store の作成場所) Microsoft.MachineLearningServices/workspaces/featurestores/read
resourceGroup (Feature Store の作成場所) Microsoft.MachineLearningServices/workspaces/featurestores/write
resourceGroup (Feature Store の作成場所) Microsoft.MachineLearningServices/workspaces/featurestores/delete
Feature Store Microsoft.Authorization/roleAssignments/write
ユーザー割り当てマネージド ID マネージド ID オペレーター ロール

Feature Store がプロビジョニングされると、既定で他のリソースがプロビジョニングされます。 ただし、既存のリソースを使用できます。 新しいリソースが必要な場合、Feature Store を作成する ID には、リソース グループに対する次のアクセス許可が必要です。

  • Microsoft.Storage/storageAccounts/write
  • Microsoft.Storage/storageAccounts/blobServices/containers/write
  • Microsoft.Insights/components/write
  • Microsoft.KeyVault/vaults/write
  • Microsoft.ContainerRegistry/registries/write
  • Microsoft.OperationalInsights/workspaces/write
  • Microsoft.ManagedIdentity/userAssignedIdentities/write

feature set consumer ロールに必要なアクセス許可

Feature Store で定義されている特徴量セットを使用するには、次の組み込みロールを使用します。

Scope Role
Feature Store AzureML データ サイエンティスト
ソース データ ストレージ アカウント。つまり、特徴量セットのデータ ソース ストレージ BLOB データ閲覧者ロール
ストレージ Feature Store オフライン ストアのストレージ アカウント ストレージ BLOB データ閲覧者ロール

Note

AzureML Data Scientist は、ユーザーが Feature Store で特徴量セットを作成および更新できるようにします。

AzureML Data Scientist ロールの使用を避けるには、これらの個々のアクションを使用できます。

Scope アクション/ロール
Feature Store Microsoft.MachineLearningServices/workspaces/featurestores/read
Feature Store Microsoft.MachineLearningServices/workspaces/featuresets/read
Feature Store Microsoft.MachineLearningServices/workspaces/featurestoreentities/read
Feature Store Microsoft.MachineLearningServices/workspaces/datastores/listSecrets/action
Feature Store Microsoft.MachineLearningServices/workspaces/jobs/read

feature set developer ロールに必要なアクセス許可

Feature Store の特徴量セットを開発するには、次の組み込みロールを使用します。

Scope Role
Feature Store AzureML データ サイエンティスト
ソース データのストレージ アカウント ストレージ BLOB データ閲覧者ロール
Feature Store オフライン ストアのストレージ アカウント ストレージ BLOB データ閲覧者ロール

AzureML Data Scientist ロールの使用を避けるには、これらの個々のアクション (Featureset consumer に記載されているアクション以外) を使用できます

Scope Role
Feature Store Microsoft.MachineLearningServices/workspaces/featuresets/write
Feature Store Microsoft.MachineLearningServices/workspaces/featuresets/delete
Feature Store Microsoft.MachineLearningServices/workspaces/featuresets/action
Feature Store Microsoft.MachineLearningServices/workspaces/featurestoreentities/write
Feature Store Microsoft.MachineLearningServices/workspaces/featurestoreentities/delete
Feature Store Microsoft.MachineLearningServices/workspaces/featurestoreentities/action

feature store materialization managed identity ロールに必要なアクセス許可

feature set consumer ロールに必要なすべてのアクセス許可に加えて、次の組み込みロールを付与します。

Scope アクション/ロール
Feature Store AzureML データ科学者ロール
Feature Store オフライン ストアのストレージ アカウント ストレージ BLOB データ共同作成者
ソース データのストレージ アカウント ストレージ BLOB データ閲覧者ロール

マネージド Feature Store 用に作成された新しいアクション

マネージド Feature Store の使用に対して、次の新しいアクションが作成されます。

アクション 説明
Microsoft.MachineLearningServices/workspaces/featurestores/read Feature Store の一覧表示、取得
Microsoft.MachineLearningServices/workspaces/featurestores/write Feature Store を作成および更新します (具体化ストア、具体化コンピューティングなどを構成します)
Microsoft.MachineLearningServices/workspaces/featurestores/delete Feature Store の削除
Microsoft.MachineLearningServices/workspaces/featuresets/read 特徴量セットを一覧表示および表示します
Microsoft.MachineLearningServices/workspaces/featuresets/write 特徴量セットを作成および更新します。 作成または更新と同時に具体化設定を構成できます
Microsoft.MachineLearningServices/workspaces/featuresets/delete 特徴量セットの削除
Microsoft.MachineLearningServices/workspaces/featuresets/action 特徴量セットに対するアクションをトリガーする (バックフィル ジョブなど)
Microsoft.MachineLearningServices/workspaces/featurestoreentities/read Feature Store エンティティを一覧表示および表示します
Microsoft.MachineLearningServices/workspaces/featurestoreentities/write Feature Store エンティティを作成および更新します
Microsoft.MachineLearningServices/workspaces/featurestoreentities/delete エンティティの削除
Microsoft.MachineLearningServices/workspaces/featurestoreentities/action Feature Store エンティティに対するアクションをトリガーします

Feature Store エンティティと特徴量セットのインスタンスに対する ACL はありません。

次の手順