Verwalten der Zugriffssteuerung für den verwalteten Feature Store
In diesem Artikel erfahren Sie, wie Sie den Zugriff auf (bzw. die Autorisierung für) einen verwalteten Feature Store von Azure Machine Learning verwalten können. Mit rollenbasierter Zugriffssteuerung von Azure (Azure RBAC) wird der Zugriff auf Azure-Ressourcen verwaltet, z. B. die Möglichkeit, neue Ressourcen zu erstellen oder vorhandene zu verwenden. Benutzern in Ihrer Microsoft Entra ID werden bestimmte Rollen zugewiesen, die Zugriff auf Ressourcen gewähren. Azure bietet sowohl integrierte Rollen als auch die Möglichkeit, benutzerdefinierte Rollen zu erstellen.
Identitäten und Benutzertypen
Azure Machine Learning unterstützt die rollenbasierte Zugriffssteuerung für die folgenden verwalteten Feature Store-Ressourcen:
- Feature Store
- Feature Store-Entität
- Featuresatz
Um den Zugriff auf diese Ressourcen zu steuern, berücksichtigen Sie die hier gezeigten Benutzertypen. Für jeden Benutzertyp kann die Identität entweder eine Azure Active Directory-Identität, ein Dienstprinzipal oder eine verwaltete Azure-Identität (sowohl systemseitig verwaltet als auch benutzerseitig zugewiesen) sein.
- Featuresatzentwickler*innen (z. B. wissenschaftliche Fachkräfte für Daten, technische Fachkräfte für Daten und technische Fachkräfte für maschinelles Lernen) arbeiten in erster Linie mit dem Feature Store-Arbeitsbereich und sind für Folgendes verantwortlich:
- Lebenszyklus der Featureverwaltung von der Erstellung bis zur Archivierung
- Einrichtung von Materialisierung und Featureabgleich
- Überwachen der Aktualität und Qualität von Features
- Nutzer*innen von Featuresätzen (z. B. wissenschaftliche Fachkräfte für Daten und technische Fachkräfte für maschinelles Lernen) arbeiten hauptsächlich in einem Projektarbeitsbereich und nutzen Features auf folgende Art und Weise:
- Featureermittlung für die Modellwiederverwendung
- Experimentieren mit Features während des Trainings, um festzustellen, ob diese Features die Modellleistung verbessern
- Einrichten der Trainings-/Rückschlusspipelines, die die Features verwenden
- Feature Store-Administrator*innen sind in der Regel für Folgendes verantwortlich:
- Feature Store-Lebenszyklusverwaltung (von der Erstellung bis zur Außerbetriebnahme)
- Lebenszyklusverwaltung des Benutzerzugriffs auf den Feature Store
- Feature Store-Konfiguration: Kontingent und Speicher (Offline-/Onlinespeicher)
- Kostenverwaltung
In dieser Tabelle sind die Berechtigungen aufgeführt, die für jeden Benutzertyp erforderlich sind:
| Role | BESCHREIBUNG | Erforderliche Berechtigungen |
|---|---|---|
feature store admin |
Berechtigungen zum Erstellen/Aktualisieren/Löschen des Feature Stores | Für die Rolle feature store admin erforderliche Berechtigungen |
feature set consumer |
Berechtigungen zum Verwenden definierter Featuresätze im Lebenszyklus des maschinellen Lernens | Für die Rolle feature set consumer erforderliche Berechtigungen |
feature set developer |
Berechtigungen zum Erstellen/Aktualisieren von Featuresätzen oder zum Einrichten von Materialisierungen wie Abgleich und wiederkehrende Aufträge. | Für die Rolle feature set developer erforderliche Berechtigungen |
Wenn Ihr Feature Store Materialisierungen erfordert, sind außerdem diese Berechtigungen erforderlich:
| Role | BESCHREIBUNG | Erforderliche Berechtigungen |
|---|---|---|
feature store materialization managed identity |
Die benutzerseitig zugewiesene verwaltete Azure-Identität, die von Feature Store-Materialisierungsaufträgen für den Datenzugriff verwendet wird. Diese ist erforderlich, wenn für den Feature Store die Materialisierung aktiviert ist. | Für die Rolle feature store materialization managed identity erforderliche Berechtigungen |
Weitere Informationen zur Rollenerstellung finden Sie unter Erstellen einer benutzerdefinierten Rolle.
Ressourcen
Die Gewährung des Zugriffs beinhaltet die folgenden Ressourcen:
- der verwaltete Feature Store von Azure Machine Learning
- das Azure-Speicherkonto (Gen2), das vom Feature Store als Offlinespeicher verwendet wird
- die benutzerseitig zugewiesene verwaltete Azure-Identität, die vom Feature Store für seine Materialisierungsaufträge verwendet wird
- die Azure-Benutzerspeicherkonten, in denen die Quelldaten des Featuresatzes gehostet werden
Für die Rolle feature store admin erforderliche Berechtigungen
Zum Erstellen bzw. Löschen eines verwalteten Feature Store wird empfohlen, die integrierten Rollen Contributor und User Access Administrator für die Ressourcengruppe zu verwenden. Sie können auch eine benutzerdefinierte Rolle vom Typ Feature store admin mit den folgenden Mindestberechtigungen erstellen:
| `Scope` | Aktion/Rolle |
|---|---|
| resourceGroup (der Standort für die Feature Store-Erstellung) | Microsoft.MachineLearningServices/workspaces/featurestores/read |
| resourceGroup (der Standort für die Feature Store-Erstellung) | Microsoft.MachineLearningServices/workspaces/featurestores/write |
| resourceGroup (der Standort für die Feature Store-Erstellung) | Microsoft.MachineLearningServices/workspaces/featurestores/delete |
| der Feature Store | Microsoft.Authorization/roleAssignments/write |
| die benutzerseitig zugewiesene verwaltete Identität | Rolle „Operator für verwaltete Identität“ |
Wenn ein Feature Store bereitgestellt wird, werden andere Ressourcen standardmäßig bereitgestellt. Sie können jedoch vorhandene Ressourcen verwenden. Wenn neue Ressourcen benötigt werden, muss die Identität, die den Feature Store erstellt, über die folgenden Berechtigungen für die Ressourcengruppe verfügen:
- Microsoft.Storage/storageAccounts/write
- Microsoft.Storage/storageAccounts/blobServices/containers/write
- Microsoft.Insights/components/write
- Microsoft.KeyVault/vaults/write
- Microsoft.ContainerRegistry/registries/write
- Microsoft.OperationalInsights/workspaces/write
- Microsoft.ManagedIdentity/userAssignedIdentities/write
Für die Rolle feature set consumer erforderliche Berechtigungen
Verwenden Sie die folgenden integrierten Rollen, um die im Feature Store definierten Featuresätze zu nutzen:
| `Scope` | Role |
|---|---|
| der Feature Store | AzureML Data Scientist |
| Quelldaten-Speicherkonten. Mit anderen Worten, die Datenquellen des Featuresatzes | Rolle „Leser von Speicherblobdaten“ |
| Speicherkonto des Offlinespeichers für den Feature Store | Rolle „Leser von Speicherblobdaten“ |
Hinweis
AzureML Data Scientist ermöglicht es den Benutzer*innen, Featuresätze im Feature Store zu erstellen und zu aktualisieren.
Wenn die Rolle AzureML Data Scientist nicht verwendet werden soll, können Sie diese einzelnen Aktionen verwenden:
| `Scope` | Aktion/Rolle |
|---|---|
| der Feature Store | Microsoft.MachineLearningServices/workspaces/featurestores/read |
| der Feature Store | Microsoft.MachineLearningServices/workspaces/featuresets/read |
| der Feature Store | Microsoft.MachineLearningServices/workspaces/featurestoreentities/read |
| der Feature Store | Microsoft.MachineLearningServices/workspaces/datastores/listSecrets/action |
| der Feature Store | Microsoft.MachineLearningServices/workspaces/jobs/read |
Für die Rolle feature set developer erforderliche Berechtigungen
Verwenden Sie die folgenden integrierten Rollen, um Featuresätze im Feature Store zu entwickeln:
| `Scope` | Role |
|---|---|
| der Feature Store | AzureML Data Scientist |
| Speicherkonten der Quelldaten | Rolle „Leser von Speicherblobdaten“ |
| Speicherkonto des Offlinespeichers für den Feature Store | Rolle „Leser von Speicherblobdaten“ |
Wenn die Rolle AzureML Data Scientist nicht verwendet werden soll, können Sie diese einzelnen Aktionen (neben den für Featureset consumer aufgeführten Aktionen) verwenden.
| `Scope` | Role |
|---|---|
| der Feature Store | Microsoft.MachineLearningServices/workspaces/featuresets/write |
| der Feature Store | Microsoft.MachineLearningServices/workspaces/featuresets/delete |
| der Feature Store | Microsoft.MachineLearningServices/workspaces/featuresets/action |
| der Feature Store | Microsoft.MachineLearningServices/workspaces/featurestoreentities/write |
| der Feature Store | Microsoft.MachineLearningServices/workspaces/featurestoreentities/delete |
| der Feature Store | Microsoft.MachineLearningServices/workspaces/featurestoreentities/action |
Für die Rolle feature store materialization managed identity erforderliche Berechtigungen
Weisen Sie zusätzlich zu allen für die Rolle feature set consumer erforderlichen Berechtigungen die folgenden integrierten Rollen zu:
| `Scope` | Aktion/Rolle |
|---|---|
| Feature Store | AzureML-Rolle „Wissenschaftliche Fachkraft für Daten“ |
| Speicherkonto des Offlinespeichers für Feature Store | Rolle „Mitwirkender an Storage Blob-Daten“ |
| Speicherkonten von Quelldaten | Rolle „Leser von Speicherblobdaten“ |
Neue Aktionen, die für den verwalteten Feature Store erstellt werden
Die folgenden neuen Aktionen werden für die Verwendung des verwalteten Feature Store erstellt:
| Aktion | BESCHREIBUNG |
|---|---|
| Microsoft.MachineLearningServices/workspaces/featurestores/read | Auflisten, Feature Store abrufen |
| Microsoft.MachineLearningServices/workspaces/featurestores/write | Feature Store erstellen und aktualisieren (Konfigurieren von Materialisierungsspeichern, Materialisierungscompute-Instanzen usw.) |
| Microsoft.MachineLearningServices/workspaces/featurestores/delete | Feature Store löschen |
| Microsoft.MachineLearningServices/workspaces/featuresets/read | Featuresätze auflisten und anzeigen |
| Microsoft.MachineLearningServices/workspaces/featuresets/write | Featuresätze erstellen und aktualisieren Kann Materialisierungseinstellungen nicht nur erstellen oder aktualisieren, sondern auch konfigurieren |
| Microsoft.MachineLearningServices/workspaces/featuresets/delete | Featuresätze löschen |
| Microsoft.MachineLearningServices/workspaces/featuresets/action | Aktionen für Featuresätze auslösen (z. B. Abgleichauftrag) |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/read | Feature Store-Entitäten auflisten und anzeigen |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/write | Feature Store-Entitäten erstellen und aktualisieren |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/delete | Löschen von Entitäten |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/action | Aktionen für Feature Store-Entitäten auslösen |
Es gibt keine Zugriffssteuerungsliste für Instanzen einer Feature Store-Entität und eines Featuresatzes.
Nächste Schritte
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für