Hozzáférés-vezérlés kezelése kezelt funkciótár
Ez a cikk az Azure Machine Learning-kezelt funkciótár való hozzáférés (engedélyezés) kezelését ismerteti. Az Azure szerepköralapú hozzáférés-vezérlése (Azure RBAC) felügyeli az Azure-erőforrásokhoz való hozzáférést, beleértve az új erőforrások létrehozását vagy a meglévők használatát. A Microsoft Entra-azonosítóban szereplő felhasználókhoz meghatározott szerepkörök vannak rendelve, amelyek hozzáférést biztosítanak az erőforrásokhoz. Az Azure beépített szerepköröket és egyéni szerepkörök létrehozását is lehetővé teszi.
Identitások és felhasználói típusok
Az Azure Machine Learning az alábbi kezelt funkciótár erőforrások szerepköralapú hozzáférés-vezérlését támogatja:
- funkciótár
- funkciótároló entitás
- funkciókészlet
Az erőforrásokhoz való hozzáférés szabályozásához vegye figyelembe az itt látható felhasználói típusokat. Az identitás minden felhasználótípus esetében lehet Microsoft Entra-identitás, szolgáltatásnév vagy Azure-beli felügyelt identitás (mind a rendszer által felügyelt, mind a felhasználó által hozzárendelt).
- Funkciókészlet-fejlesztők (például adatelemzők, adatmérnökök és gépi tanulási mérnökök): Elsősorban a funkciótár-munkaterületen dolgoznak, és a következőket kezelik:
- Szolgáltatásfelügyeleti életciklus a létrehozástól az archiválásig
- Materialization and feature backfill set-up
- Funkciófrissítés és minőségfigyelés
- Szolgáltatáskészlet-felhasználók (például adatelemzők és gépi tanulási mérnökök): Elsősorban projekt-munkaterületen dolgoznak, és az alábbi módokon használják a funkciókat:
- Funkciófelderítés a modell újrafelhasználása érdekében
- Kísérletezés a funkciókkal a betanítás során, annak kiderítése, hogy ezek a funkciók javítják-e a modell teljesítményét
- A funkciókat használó betanítási/következtetési folyamatok beállítása
- Szolgáltatástár rendszergazdái: Általában a következőket kezelik:
- Funkciótár életciklus-kezelés (a létrehozástól a kivonásig)
- A funkciótár felhasználói hozzáférési életciklusának kezelése
- Szolgáltatástároló konfigurációja: kvóta és tárolás (offline/online áruházak)
- Költségkezelés
Ez a táblázat az egyes felhasználói típusokhoz szükséges engedélyeket ismerteti:
| Szerepkör | Leírás | Szükséges engedélyek |
|---|---|---|
feature store admin |
ki hozhat létre/frissíthet/törölhet szolgáltatástárolót? | A szerepkörhöz feature store admin szükséges engedélyek |
feature set consumer |
akik a gépi tanulási életciklusban használhatják a definiált funkciókészleteket. | A szerepkörhöz feature set consumer szükséges engedélyek |
feature set developer |
ki hozhat létre/frissíthet funkciókészleteket, vagy beállíthat materializációkat – például a feladatokat és az ismétlődő feladatokat. | A szerepkörhöz feature set developer szükséges engedélyek |
Ha a szolgáltatástároló materializálást igényel, ezekre az engedélyekre is szükség van:
| Szerepkör | Leírás | Szükséges engedélyek |
|---|---|---|
feature store materialization managed identity |
Az Azure felhasználó által hozzárendelt felügyelt identitás, amelyet a funkciótároló materializálási feladatok használnak az adathozzáféréshez. Erre akkor van szükség, ha a funkciótároló engedélyezi a materializálást | A szerepkörhöz feature store materialization managed identity szükséges engedélyek |
A szerepkör létrehozásával kapcsolatos további információkért lásd: Egyéni szerepkör létrehozása.
Források
A hozzáférés biztosítása az alábbi erőforrásokat foglalja magában:
- az Azure Machine Learning felügyelt szolgáltatástárolója
- az Azure Storage-fiók (Gen2), amelyet a szolgáltatástároló offline tárolóként használ
- az Azure felhasználó által hozzárendelt felügyelt identitás, amelyet a szolgáltatástároló a materializálási feladatokhoz használ
- A szolgáltatáskészlet forrásadatait üzemeltető Azure-felhasználói tárfiókok
A szerepkörhöz feature store admin szükséges engedélyek
Egy kezelt funkciótár létrehozásához és/vagy törléséhez javasoljuk az erőforráscsoport beépített Contributor és User Access Administrator szerepköreinek használatát. Az alábbi minimális engedélyekkel egyéni Feature store admin szerepkört is létrehozhat:
| Hatókör | Művelet/szerepkör |
|---|---|
| resourceGroup (a szolgáltatástároló létrehozásának helye) | Microsoft.MachineLearningServices/workspaces/featurestores/read |
| resourceGroup (a szolgáltatástároló létrehozásának helye) | Microsoft.MachineLearningServices/workspaces/featurestores/write |
| resourceGroup (a szolgáltatástároló létrehozásának helye) | Microsoft.MachineLearningServices/workspaces/featurestores/delete |
| a funkciótároló | Microsoft.Authorization/roleAssignments/write |
| a felhasználó által hozzárendelt felügyelt identitás | Felügyelt identitáskezelő szerepkör |
Szolgáltatástároló kiépítésekor a többi erőforrás alapértelmezés szerint ki lesz építve. A meglévő erőforrásokat azonban használhatja. Ha új erőforrásokra van szükség, a szolgáltatástárolót létrehozó identitásnak a következő engedélyekkel kell rendelkeznie az erőforráscsoporton:
- Microsoft.Storage/storageAccounts/write
- Microsoft.Storage/storageAccounts/blobServices/containers/write
- Microsoft.Insights/components/write
- Microsoft.KeyVault/vaults/write
- Microsoft.ContainerRegistry/registries/write
- Microsoft.OperationalInsights/workspaces/write
- Microsoft.ManagedIdentity/userAssignedIdentities/write
A szerepkörhöz feature set consumer szükséges engedélyek
Az alábbi beépített szerepkörök használatával használhatja a szolgáltatástárolóban definiált szolgáltatáskészleteket:
| Hatókör | Szerepkör |
|---|---|
| a funkciótároló | AzureML-adattudós |
| a forrásadattárfiókok; vagyis a funkció adatforrásokat állít be | Storage Blob Data Reader szerepkör |
| a tárolási funkciótároló offline tárfiókja | Storage Blob Data Reader szerepkör |
Feljegyzés
Ez AzureML Data Scientist lehetővé teszi a felhasználók számára, hogy szolgáltatáskészleteket hozzanak létre és frissítsenek a funkciótárban.
A szerepkör használatának AzureML Data Scientist elkerülése érdekében az alábbi egyéni műveleteket használhatja:
| Hatókör | Művelet/szerepkör |
|---|---|
| a funkciótároló | Microsoft.MachineLearningServices/workspaces/featurestores/read |
| a funkciótároló | Microsoft.MachineLearningServices/workspaces/featuresets/read |
| a funkciótároló | Microsoft.MachineLearningServices/workspaces/featurestoreentities/read |
| a funkciótároló | Microsoft.MachineLearningServices/workspaces/datastores/listSecrets/action |
| a funkciótároló | Microsoft.MachineLearningServices/workspaces/jobs/read |
A szerepkörhöz feature set developer szükséges engedélyek
A szolgáltatáskészletek funkciótárolóban való fejlesztéséhez használja az alábbi beépített szerepköröket:
| Hatókör | Szerepkör |
|---|---|
| a funkciótároló | AzureML-adattudós |
| a forrásadattárfiókok | Storage Blob Data Reader szerepkör |
| a funkciótároló offline áruházbeli tárfiókja | Storage Blob Data Reader szerepkör |
A szerepkör használatának elkerülése érdekében ezeket az AzureML Data Scientist egyéni műveleteket használhatja (a felsorolt Featureset consumerműveleteken kívül)
| Hatókör | Szerepkör |
|---|---|
| a funkciótároló | Microsoft.MachineLearningServices/workspaces/featuresets/write |
| a funkciótároló | Microsoft.MachineLearningServices/workspaces/featuresets/delete |
| a funkciótároló | Microsoft.MachineLearningServices/workspaces/featuresets/action |
| a funkciótároló | Microsoft.MachineLearningServices/workspaces/featurestoreentities/write |
| a funkciótároló | Microsoft.MachineLearningServices/workspaces/featurestoreentities/delete |
| a funkciótároló | Microsoft.MachineLearningServices/workspaces/featurestoreentities/action |
A szerepkörhöz feature store materialization managed identity szükséges engedélyek
A szerepkör által igényelt összes engedély feature set consumer mellett adja meg ezeket a beépített szerepköröket:
| Hatókör | Művelet/szerepkör |
|---|---|
| funkciótár | AzureML adattudós szerepkör |
| a szolgáltatástároló offline áruházának tárfiókja | Storage Blob Data Közreműködői szerepkör |
| forrásadatok tárfiókja | Storage Blob Data Reader szerepkör |
Új műveletek kezelt funkciótár
Ezek az új műveletek kezelt funkciótár használathoz jönnek létre:
| Művelet | Leírás |
|---|---|
| Microsoft.MachineLearningServices/workspaces/featurestores/read | Lista, funkciótár lekérése |
| Microsoft.MachineLearningServices/workspaces/featurestores/write | A funkciótároló létrehozása és frissítése (materializálási tárolók konfigurálása, materializálási számítás stb.) |
| Microsoft.MachineLearningServices/workspaces/featurestores/delete | Funkciótároló törlése |
| Microsoft.MachineLearningServices/workspaces/featuresets/read | Funkciókészletek listázása és megjelenítése |
| Microsoft.MachineLearningServices/workspaces/featuresets/write | Szolgáltatáskészletek létrehozása és frissítése. Konfigurálhatja a materializálási beállításokat a létrehozással vagy frissítéssel együtt |
| Microsoft.MachineLearningServices/workspaces/featuresets/delete | Funkciókészletek törlése |
| Microsoft.MachineLearningServices/workspaces/featuresets/action | Aktiválási műveletek funkciókészleteken (például egy háttérbetöltési feladaton) |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/read | Funkciótár-entitások listázása és megjelenítése |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/write | Szolgáltatástár-entitások létrehozása és frissítése |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/delete | Entitások törlése |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/action | Aktiválási műveletek funkciótár-entitásokon |
A szolgáltatástár-entitások és szolgáltatáskészletek példányaihoz nincs ACL.