Gerenciar o controle de acesso para repositório de recursos gerenciados
Este artigo descreve como gerenciar o acesso (autorização) a um repositório de recursos gerenciados do Azure Machine Learning. O Azure RBAC (controle de acesso baseado em função do Azure) gerencia o acesso aos recursos do Azure, incluindo a capacidade de criar novos recursos ou usar os já existentes. Os usuários em seu Microsoft Entra ID recebem funções específicas, que concedem acesso aos recursos. O Azure fornece funções internas e a capacidade de criar funções personalizadas.
Identidades e tipos de usuário
O Azure Machine Learning dá suporte ao controle de acesso baseado em função para esses recursos do repositório de recursos gerenciados:
- Repositório de recursos
- entidade do repositório de recursos
- Conjunto de recursos
Para controlar o acesso a esses recursos, considere os tipos de usuário mostrados aqui. Para cada tipo de usuário, a identidade pode ser uma identidade do Microsoft Entra, uma entidade de serviço ou uma identidade gerenciada do Azure (gerenciada pelo sistema e atribuída pelo usuário).
- Desenvolvedores de conjunto de recursos (por exemplo, cientista de dados, engenheiros de dados e engenheiros de aprendizado de máquina): eles trabalham principalmente com o workspace do repositório de recursos e lidam com:
- Ciclo de vida de gerenciamento de recursos, da criação ao arquivo
- Configuração de materialização e provisionamento de recursos
- Atualização de recursos e monitoramento de qualidade
- Consumidores do conjunto de recursos (por exemplo, cientista de dados e engenheiros de aprendizado de máquina): eles trabalham principalmente em um workspace de projeto e usam recursos das seguintes formas:
- Descoberta de recursos para reutilização de modelo
- Experimentação com recursos durante o treinamento, para ver se esses recursos melhoram o desempenho do modelo
- Configuração dos pipelines de treinamento/inferência que usam os recursos
- Administradores do repositório de recursos: eles normalmente lidam com:
- Gerenciamento do ciclo de vida do repositório de recursos (da criação à desativação)
- Gerenciamento do ciclo de vida de acesso do usuário ao repositório de recursos
- Configuração do repositório de recursos: cota e armazenamento (repositórios offline/online)
- Gerenciamento de custos
Esta tabela descreve as permissões necessárias para cada tipo de usuário:
| Função | Descrição | Permissões necessárias |
|---|---|---|
feature store admin |
quem pode criar/atualizar/excluir o repositório de recursos | Permissões necessárias para a feature store admin função |
feature set consumer |
que podem usar conjuntos de recursos definidos em seu ciclo de vida de aprendizado de máquina. | Permissões necessárias para a feature set consumer função |
feature set developer |
quem pode criar/atualizar conjuntos de recursos ou configurar materializações, por exemplo, provisionamento e trabalhos recorrentes. | Permissões necessárias para a feature set developer função |
Se o repositório de recursos exigir materialização, essas permissões também serão necessárias:
| Função | Descrição | Permissões necessárias |
|---|---|---|
feature store materialization managed identity |
A identidade gerenciada atribuída pelo usuário do Azure usada pelos trabalhos de materialização do repositório de recursos para acesso a dados. Isso será necessário se o repositório de recursos habilitar a materialização | Permissões necessárias para a feature store materialization managed identity função |
Para obter mais informações sobre a criação de função, consulte Criar função personalizada.
Recursos
A concessão de acesso envolve estes recursos:
- o repositório de recursos gerenciado do Azure Machine Learning
- a conta de armazenamento do Azure (Gen2) usada pelo repositório de recursos como repositório offline
- a identidade gerenciada atribuída pelo usuário do Azure usada pelo repositório de recursos para seus trabalhos de materialização
- As contas de armazenamento de usuário do Azure que hospedam os dados de origem do conjunto de recursos
Permissões necessárias para a feature store admin função
Para criar e/ou excluir uma repositório de recursos gerenciados, recomendamos usar as funções internas Contributor e User Access Administrator no grupo de recursos. Você também pode criar uma função Feature store admin personalizada com estas permissões mínimas:
| Escopo | Ação/Função |
|---|---|
| resourceGroup (o local da criação do repositório de recursos) | Microsoft.MachineLearningServices/workspaces/featurestores/read |
| resourceGroup (o local da criação do repositório de recursos) | Microsoft.MachineLearningServices/workspaces/featurestores/write |
| resourceGroup (o local da criação do repositório de recursos) | Microsoft.MachineLearningServices/workspaces/featurestores/delete |
| o repositório de recursos | Microsoft.Authorization/roleAssignments/write |
| a identidade gerenciada atribuída pelo usuário. | Operador de Identidade Gerenciada |
Quando um repositório de recursos é provisionado, outros recursos são provisionados por padrão. No entanto, você pode usar os recursos existentes. Se novos recursos forem necessários, a identidade que cria o repositório de recursos deverá ter essas permissões no grupo de recursos:
- Microsoft.Storage/storageAccounts/write
- Microsoft.Storage/storageAccounts/blobServices/containers/write
- Microsoft.Insights/components/write
- Microsoft.KeyVault/vaults/write
- Microsoft.ContainerRegistry/registries/write
- Microsoft.OperationalInsights/workspaces/write
- Microsoft.ManagedIdentity/userAssignedIdentities/write
Permissões necessárias para a feature set consumer função
Use essas funções internas para consumir os conjuntos de recursos definidos no repositório de recursos:
| Escopo | Função |
|---|---|
| o repositório de recursos | Cientista de Dados do AzureML |
| as contas de armazenamento de dados de origem, em outras palavras, as fontes de dados do conjunto de recursos | Função Leitor de Dados do Blob de Armazenamento |
| a conta de armazenamento offline do repositório de recursos de armazenamento | Função Leitor de Dados do Blob de Armazenamento |
Observação
O AzureML Data Scientist permite que os usuários criem e atualizem conjuntos de recursos no repositório de recursos.
Para evitar o uso da função AzureML Data Scientist, é possível usar essas ações individuais:
| Escopo | Ação/Função |
|---|---|
| o repositório de recursos | Microsoft.MachineLearningServices/workspaces/featurestores/read |
| o repositório de recursos | Microsoft.MachineLearningServices/workspaces/featuresets/read |
| o repositório de recursos | Microsoft.MachineLearningServices/workspaces/featurestoreentities/read |
| o repositório de recursos | Microsoft.MachineLearningServices/workspaces/datastores/listSecrets/action |
| o repositório de recursos | Microsoft.MachineLearningServices/workspaces/jobs/read |
Permissões necessárias para a feature set developer função
Para desenvolver conjuntos de recursos no repositório de recursos, use estas funções internas:
| Escopo | Função |
|---|---|
| o repositório de recursos | Cientista de Dados do AzureML |
| as contas de armazenamento dos dados de origem | Função Leitor de Dados do Blob de Armazenamento |
| a conta de armazenamento offline do repositório de recursos | Função Leitor de Dados do Blob de Armazenamento |
Para evitar o uso da função AzureML Data Scientist, você pode usar essas ações individuais (além das ações listadas para Featureset consumer)
| Escopo | Função |
|---|---|
| o repositório de recursos | Microsoft.MachineLearningServices/workspaces/featuresets/write |
| o repositório de recursos | Microsoft.MachineLearningServices/workspaces/featuresets/delete |
| o repositório de recursos | Microsoft.MachineLearningServices/workspaces/featuresets/action |
| o repositório de recursos | Microsoft.MachineLearningServices/workspaces/featurestoreentities/write |
| o repositório de recursos | Microsoft.MachineLearningServices/workspaces/featurestoreentities/delete |
| o repositório de recursos | Microsoft.MachineLearningServices/workspaces/featurestoreentities/action |
Permissões necessárias para a feature store materialization managed identity função
Além de todas as permissões necessárias para a função feature set consumer, conceda estas funções internas:
| Escopo | Ação/Função |
|---|---|
| Repositório de recursos | Função de cientista de Dados do AzureML |
| conta de armazenamento do repositório de recursos offline | Função Colaborador de Dados do Blob de Armazenamento |
| contas de armazenamento de dados de origem | Função Leitor de Dados do Blob de Armazenamento |
Novas ações criadas para repositório de recursos gerenciados
Essas novas ações são criadas para uso do repositório de recursos gerenciados:
| Ação | Descrição |
|---|---|
| Microsoft.MachineLearningServices/workspaces/featurestores/read | Listar, obter repositório de recursos |
| Microsoft.MachineLearningServices/workspaces/featurestores/write | Criar e atualizar o repositório de recursos (configurar repositórios de materialização, computação de materialização etc.) |
| Microsoft.MachineLearningServices/workspaces/featurestores/delete | Excluir repositório de recursos |
| Microsoft.MachineLearningServices/workspaces/featuresets/read | Listar e mostrar os conjuntos de recursos |
| Microsoft.MachineLearningServices/workspaces/featuresets/write | Criar e atualizar conjuntos de recursos. Pode definir as configurações de materialização junto com a criação ou atualização |
| Microsoft.MachineLearningServices/workspaces/featuresets/delete | Excluir conjuntos de recursos |
| Microsoft.MachineLearningServices/workspaces/featuresets/action | Disparar ações em conjuntos de recursos (por exemplo, um trabalho de arquivo invertida) |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/read | Listar e mostrar as entidades de repositório de recursos |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/write | Criar e atualizar as entidades do repositório de recursos |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/delete | Excluir entidades |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/action | Disparar ações em entidades de repositório de recursos |
Não há ACL para instâncias de uma entidade de repositório de recursos e um conjunto de recursos.