Mengelola kontrol akses untuk toko fitur terkelola
Dalam artikel ini, Anda mempelajari cara mengelola akses (otorisasi) ke toko fitur terkelola Azure Machine Learning. Kontrol akses berbasis peran Azure (Azure RBAC) digunakan untuk mengelola akses ke sumber daya Azure, seperti kemampuan untuk membuat sumber daya baru atau menggunakan sumber daya yang sudah ada. Pengguna di Azure Active Directory (Azure AD) diberi peran tertentu, yang memberikan akses ke sumber daya. Azure menyediakan peran bawaan dan kemampuan untuk membuat peran kustom.
Penting
Fitur ini sedang dalam pratinjau umum. Versi pratinjau ini disediakan tanpa perjanjian tingkat layanan, dan tidak disarankan untuk beban kerja produksi. Fitur tertentu mungkin tidak didukung atau mungkin memiliki kemampuan yang dibatasi.
Untuk informasi lebih lanjut, lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure.
Identitas dan jenis pengguna
Azure Machine Learning mendukung kontrol akses berbasis peran untuk sumber daya toko fitur terkelola berikut:
- penyimpanan fitur
- entitas penyimpanan fitur
- set fitur
Untuk mengontrol akses ke sumber daya ini, pertimbangkan jenis pengguna di bawah ini. Untuk setiap jenis pengguna, identitas dapat berupa identitas Azure Active Directory, perwakilan layanan, atau identitas terkelola Azure (baik yang dikelola sistem maupun ditetapkan pengguna).
- Pengembang set fitur (misalnya, ilmuwan data, insinyur data, dan insinyur pembelajaran mesin): Mereka bekerja terutama dengan ruang kerja penyimpanan fitur dan bertanggung jawab untuk:
- Mengelola siklus hidup fitur: Dari pengarsipan ton pembuatan
- Menyiapkan materialisasi dan isi ulang fitur
- Memantau kesegaran dan kualitas fitur
- Konsumen set fitur (misalnya, ilmuwan data dan insinyur pembelajaran mesin): Mereka bekerja terutama di ruang kerja proyek dan menggunakan fitur:
- Menemukan fitur untuk digunakan kembali dalam model
- Bereksperimen dengan fitur selama pelatihan untuk melihat apakah meningkatkan performa model
- Menyiapkan alur pelatihan/inferensi untuk menggunakan fitur
- Admin penyimpanan fitur: Mereka biasanya bertanggung jawab untuk:
- Mengelola siklus hidup penyimpanan fitur (pembuatan hingga penghentian)
- Mengelola siklus hidup akses pengguna ke penyimpanan fitur
- Mengonfigurasi penyimpanan fitur: kuota dan penyimpanan (toko offline/online)
- Mengelola biaya
Izin yang diperlukan untuk setiap jenis pengguna dijelaskan dalam tabel berikut:
| Peran | Deskripsi | Memerlukan izin |
|---|---|---|
feature store admin |
siapa yang dapat membuat/memperbarui/menghapus penyimpanan fitur | Izin yang diperlukan untuk feature store admin peran |
feature set consumer |
siapa yang dapat menggunakan set fitur yang ditentukan dalam siklus hidup pembelajaran mesin mereka. | Izin yang diperlukan untuk feature set consumer peran |
feature set developer |
siapa yang dapat membuat/memperbarui set fitur, atau menyiapkan materialisasi seperti isi ulang dan pekerjaan berulang. | Izin yang diperlukan untuk feature set developer peran |
Jika materialisasi diaktifkan di penyimpanan fitur Anda, izin berikut juga diperlukan:
| Peran | Deskripsi | Memerlukan izin |
|---|---|---|
feature store materialization managed identity |
Identitas terkelola yang ditetapkan pengguna Azure yang digunakan oleh pekerjaan materialisasi penyimpanan fitur untuk akses data. Ini diperlukan jika penyimpanan fitur mengaktifkan materialisasi | Izin yang diperlukan untuk feature store materialization managed identity peran |
Untuk informasi tentang membuat peran, lihat artikel Membuat peran kustom
Sumber
Sumber daya berikut terlibat untuk memberikan akses:
- Penyimpanan Fitur terkelola Azure Machine Learning
- akun penyimpanan Azure (Gen2) yang digunakan oleh penyimpanan fitur sebagai penyimpanan offline
- identitas terkelola yang ditetapkan pengguna Azure yang digunakan oleh penyimpanan fitur untuk pekerjaan materialisasinya
- Akun penyimpanan Azure pengguna yang memiliki data sumber kumpulan fitur
Izin yang diperlukan untuk feature store admin peran
Untuk membuat dan/atau menghapus toko fitur terkelola, sebaiknya gunakan peran dan User Access Administrator bawaan Contributor pada grup sumber daya. Atau, Anda dapat membuat peran kustom Feature store admin dengan setidaknya izin berikut.
| Cakupan | Tindakan/Peran |
|---|---|
| resourceGroup (tempat penyimpanan fitur akan dibuat) | Microsoft.MachineLearningServices/workspaces/featurestores/read |
| resourceGroup (tempat penyimpanan fitur akan dibuat) | Microsoft.MachineLearningServices/workspaces/featurestores/write |
| resourceGroup (tempat penyimpanan fitur akan dibuat) | Microsoft.MachineLearningServices/workspaces/featurestores/delete |
| penyimpanan fitur | Microsoft.Authorization/roleAssignments/write |
| identitas terkelola yang ditetapkan pengguna | Peran Operator Identitas Terkelola |
Saat menyediakan penyimpanan fitur, beberapa sumber daya lain juga akan disediakan secara default (atau Anda memiliki opsi untuk menggunakan yang sudah ada). Jika sumber daya baru perlu dibuat, identitas yang membuat penyimpanan fitur harus memiliki izin berikut pada grup sumber daya:
- Microsoft.Storage/storageAccounts/write
- Microsoft.Storage/storageAccounts/blobServices/containers/write
- Microsoft.Insights/components/write
- Microsoft.KeyVault/vaults/write
- Microsoft.ContainerRegistry/registries/write
- Microsoft.OperationalInsights/workspaces/write
- Microsoft.ManagedIdentity/userAssignedIdentities/write
Izin yang diperlukan untuk feature set consumer peran
Untuk menggunakan set fitur yang ditentukan di penyimpanan fitur, gunakan peran bawaan berikut:
| Cakupan | Peran |
|---|---|
| penyimpanan fitur | Ilmuwan Data AzureML |
| akun penyimpanan data sumber, yaitu, sumber data kumpulan fitur | Peran pembaca data penyimpanan blob |
| akun penyimpanan penyimpanan penyimpanan fitur penyimpanan offline | Peran pembaca data penyimpanan blob |
Catatan
juga AzureML Data Scientist akan memungkinkan pengguna membuat dan memperbarui set fitur di penyimpanan fitur.
Jika Anda ingin menghindari penggunaan peran, AzureML Data Scientist Anda dapat menggunakan tindakan individual ini.
| Cakupan | Tindakan/Peran |
|---|---|
| penyimpanan fitur | Microsoft.MachineLearningServices/workspaces/featurestores/read |
| penyimpanan fitur | Microsoft.MachineLearningServices/workspaces/featuresets/read |
| penyimpanan fitur | Microsoft.MachineLearningServices/workspaces/featurestoreentities/read |
| penyimpanan fitur | Microsoft.MachineLearningServices/workspaces/datastores/listSecrets/action |
| penyimpanan fitur | Microsoft.MachineLearningServices/workspaces/jobs/read |
Izin yang diperlukan untuk feature set developer peran
Untuk mengembangkan set fitur di penyimpanan fitur, gunakan peran bawaan berikut.
| Cakupan | Peran |
|---|---|
| penyimpanan fitur | Ilmuwan Data AzureML |
| akun penyimpanan data sumber | Peran pembaca data penyimpanan blob |
| akun penyimpanan penyimpanan penyimpanan fitur penyimpanan offline | Peran pembaca data penyimpanan blob |
Jika Anda ingin menghindari penggunaan AzureML Data Scientist peran, Anda dapat menggunakan tindakan individual ini (selain yang tercantum untuk Featureset consumer)
| Cakupan | Peran |
|---|---|
| penyimpanan fitur | Microsoft.MachineLearningServices/workspaces/featuresets/write |
| penyimpanan fitur | Microsoft.MachineLearningServices/workspaces/featuresets/delete |
| penyimpanan fitur | Microsoft.MachineLearningServices/workspaces/featuresets/action |
| penyimpanan fitur | Microsoft.MachineLearningServices/workspaces/featurestoreentities/write |
| penyimpanan fitur | Microsoft.MachineLearningServices/workspaces/featurestoreentities/delete |
| penyimpanan fitur | Microsoft.MachineLearningServices/workspaces/featurestoreentities/action |
Izin yang diperlukan untuk feature store materialization managed identity peran
Selain semua izin yang diperlukan oleh feature set consumer peran, berikan peran bawaan berikut:
| Cakupan | Tindakan/Peran |
|---|---|
| penyimpanan fitur | Peran Ilmuwan Data AzureML |
| akun penyimpanan penyimpanan penyimpanan fitur penyimpanan offline | Peran kontributor data penyimpanan blob |
| akun penyimpanan data sumber | Peran pembaca data penyimpanan blob |
Tindakan baru dibuat untuk toko fitur terkelola
Tindakan baru berikut dibuat untuk penggunaan toko fitur terkelola.
| Tindakan | Deskripsi |
|---|---|
| Microsoft.MachineLearningServices/workspaces/featurestores/read | Daftar, dapatkan penyimpanan fitur |
| Microsoft.MachineLearningServices/workspaces/featurestores/write | Membuat dan memperbarui penyimpanan fitur (mengonfigurasi penyimpanan materialisasi, komputasi materialisasi, dll.) |
| Microsoft.MachineLearningServices/workspaces/featurestores/delete | Menghapus penyimpanan fitur |
| Microsoft.MachineLearningServices/workspaces/featuresets/read | Mencantumkan dan menampilkan set fitur. |
| Microsoft.MachineLearningServices/workspaces/featuresets/write | Membuat dan memperbarui set fitur. Dapat mengonfigurasi pengaturan materialisasi bersama dengan membuat atau memperbarui |
| Microsoft.MachineLearningServices/workspaces/featuresets/delete | Menghapus set fitur |
| Microsoft.MachineLearningServices/workspaces/featuresets/action | Memicu tindakan pada set fitur (misalnya, pekerjaan isi ulang) |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/read | Mencantumkan dan menampilkan entitas penyimpanan fitur. |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/write | Membuat dan memperbarui entitas penyimpanan fitur. |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/delete | Menghapus entitas |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/action | Memicu tindakan pada entitas penyimpanan fitur |
Tidak ada ACL untuk instans entitas penyimpanan fitur dan set fitur.