Gestire il controllo di accesso per archivio delle funzionalità gestite
Questo articolo descrive come gestire l'accesso (autorizzazione) a un archivio delle funzionalità gestite di Azure Machine Learning. Il controllo degli accessi in base al ruolo di Azure gestisce l'accesso alle risorse di Azure, inclusa la possibilità di creare nuove risorse o di usare quelle esistenti. Agli utenti dell'ID Microsoft Entra vengono assegnati ruoli specifici, che concedono l'accesso alle risorse. Azure offre ruoli predefiniti e la possibilità di creare ruoli personalizzati.
Identità e tipi di utente
Azure Machine Learning supporta il controllo degli accessi in base al ruolo per queste risorse archivio delle funzionalità gestite:
- Archivio funzionalità
- Entità archivio funzionalità
- set di funzionalità
Per controllare l'accesso a queste risorse, prendere in considerazione i tipi di utente illustrati qui. Per ogni tipo di utente, l'identità può essere un'identità Microsoft Entra, un'entità servizio o un'identità gestita di Azure (sia gestita dal sistema che assegnata dall'utente).
- Sviluppatori di set di funzionalità (ad esempio, data scientist, data engineer e ingegneri di Machine Learning): funzionano principalmente con l'area di lavoro dell'archivio funzionalità e gestiscono:
- Ciclo di vita della gestione delle funzionalità, dalla creazione all'archivio
- Configurazione del riempimento delle funzionalità e della materializzazione
- Funzionalità di aggiornamento e monitoraggio della qualità
- Consumer di set di funzionalità (ad esempio, data scientist e ingegneri di Machine Learning): funzionano principalmente in un'area di lavoro del progetto e usano le funzionalità in questi modi:
- Individuazione delle funzionalità per il riutilizzo del modello
- Sperimentazione con funzionalità durante il training per verificare se queste funzionalità migliorano le prestazioni del modello
- Configurare le pipeline di training/inferenza che usano le funzionalità
- Amministrazione dell'archivio funzionalità: in genere gestiscono:
- Gestione del ciclo di vita dell'archivio funzionalità (dalla creazione al ritiro)
- Gestione del ciclo di vita dell'accesso utente dell'archivio funzionalità
- Configurazione dell'archivio funzionalità: quota e archiviazione (negozi offline/online)
- Gestione costi
Questa tabella descrive le autorizzazioni necessarie per ogni tipo di utente:
| Ruolo | Descrizione | Autorizzazioni necessarie |
|---|---|---|
feature store admin |
chi può creare/aggiornare/eliminare l'archivio funzionalità | Autorizzazioni necessarie per il feature store admin ruolo |
feature set consumer |
che possono usare set di funzionalità definiti nel ciclo di vita di Machine Learning. | Autorizzazioni necessarie per il feature set consumer ruolo |
feature set developer |
chi può creare/aggiornare set di funzionalità o configurare materializzazioni, ad esempio backfill e processi ricorrenti. | Autorizzazioni necessarie per il feature set developer ruolo |
Se l'archivio funzionalità richiede la materializzazione, sono necessarie anche queste autorizzazioni:
| Ruolo | Descrizione | Autorizzazioni necessarie |
|---|---|---|
feature store materialization managed identity |
Identità gestita assegnata dall'utente di Azure usata dai processi di materializzazione dell'archivio funzionalità per l'accesso ai dati. Questa operazione è necessaria se l'archivio funzionalità abilita la materializzazione | Autorizzazioni necessarie per il feature store materialization managed identity ruolo |
Per altre informazioni sulla creazione di ruoli, vedere Creare un ruolo personalizzato.
Risorse
La concessione dell'accesso comporta le risorse seguenti:
- Archivio delle funzionalità gestite di Azure Machine Learning
- l'account di archiviazione di Azure (Gen2) usato dall'archivio funzionalità come archivio offline
- Identità gestita assegnata dall'utente di Azure usata dall'archivio funzionalità per i processi di materializzazione
- Account di archiviazione utente di Azure che ospitano i dati di origine del set di funzionalità
Autorizzazioni necessarie per il feature store admin ruolo
Per creare e/o eliminare un archivio delle funzionalità gestite, è consigliabile usare i Contributor ruoli predefiniti e User Access Administrator nel gruppo di risorse. È anche possibile creare un ruolo personalizzato Feature store admin con queste autorizzazioni minime:
| Ambito | Azione/Ruolo |
|---|---|
| resourceGroup (posizione della creazione dell'archivio funzionalità) | Microsoft.MachineLearningServices/workspaces/featurestores/read |
| resourceGroup (posizione della creazione dell'archivio funzionalità) | Microsoft.MachineLearningServices/workspaces/featurestores/write |
| resourceGroup (posizione della creazione dell'archivio funzionalità) | Microsoft.MachineLearningServices/workspaces/featurestores/delete |
| archivio delle funzionalità | Microsoft.Authorization/roleAssignments/write |
| identità gestita assegnata dall'utente | Ruolo Operatore identità gestita |
Quando viene effettuato il provisioning di un archivio funzionalità, per impostazione predefinita viene effettuato il provisioning di altre risorse. Tuttavia, è possibile usare le risorse esistenti. Se sono necessarie nuove risorse, l'identità che crea l'archivio funzionalità deve avere queste autorizzazioni per il gruppo di risorse:
- Microsoft.Storage/storageAccounts/write
- Microsoft.Storage/storageAccounts/blobServices/containers/write
- Microsoft.Insights/components/write
- Microsoft.KeyVault/vaults/write
- Microsoft.ContainerRegistry/registries/write
- Microsoft.OperationalInsights/workspaces/write
- Microsoft.ManagedIdentity/userAssignedIdentities/write
Autorizzazioni necessarie per il feature set consumer ruolo
Usare questi ruoli predefiniti per utilizzare i set di funzionalità definiti nell'archivio funzionalità:
| Ambito | Ruolo |
|---|---|
| archivio delle funzionalità | Scienziato dei dati AzureML |
| gli account di archiviazione dei dati di origine; in altre parole, le origini dati del set di funzionalità | Ruolo con autorizzazioni di lettura per i dati dei BLOB di archiviazione |
| l'account di archiviazione offline dell'archivio delle funzionalità di archiviazione | Ruolo con autorizzazioni di lettura per i dati dei BLOB di archiviazione |
Nota
AzureML Data Scientist consente agli utenti di creare e aggiornare i set di funzionalità nell'archivio funzionalità.
Per evitare l'uso del AzureML Data Scientist ruolo, è possibile usare queste singole azioni:
| Ambito | Azione/Ruolo |
|---|---|
| archivio delle funzionalità | Microsoft.MachineLearningServices/workspaces/featurestores/read |
| archivio delle funzionalità | Microsoft.MachineLearningServices/workspaces/featuresets/read |
| archivio delle funzionalità | Microsoft.MachineLearningServices/workspaces/featurestoreentities/read |
| archivio delle funzionalità | Microsoft.MachineLearningServices/workspaces/datastores/listSecrets/action |
| archivio delle funzionalità | Microsoft.MachineLearningServices/workspaces/jobs/read |
Autorizzazioni necessarie per il feature set developer ruolo
Per sviluppare set di funzionalità nell'archivio funzionalità, usare questi ruoli predefiniti:
| Ambito | Ruolo |
|---|---|
| archivio delle funzionalità | Scienziato dei dati AzureML |
| account di archiviazione dati di origine | Ruolo con autorizzazioni di lettura per i dati dei BLOB di archiviazione |
| l'account di archiviazione offline dell'archivio delle funzionalità | Ruolo con autorizzazioni di lettura per i dati dei BLOB di archiviazione |
Per evitare l'uso del AzureML Data Scientist ruolo, è possibile usare queste singole azioni (oltre alle azioni elencate per Featureset consumer)
| Ambito | Ruolo |
|---|---|
| archivio delle funzionalità | Microsoft.MachineLearningServices/workspaces/featuresets/write |
| archivio delle funzionalità | Microsoft.MachineLearningServices/workspaces/featuresets/delete |
| archivio delle funzionalità | Microsoft.MachineLearningServices/workspaces/featuresets/action |
| archivio delle funzionalità | Microsoft.MachineLearningServices/workspaces/featurestoreentities/write |
| archivio delle funzionalità | Microsoft.MachineLearningServices/workspaces/featurestoreentities/delete |
| archivio delle funzionalità | Microsoft.MachineLearningServices/workspaces/featurestoreentities/action |
Autorizzazioni necessarie per il feature store materialization managed identity ruolo
Oltre a tutte le autorizzazioni richieste dal feature set consumer ruolo, concedere questi ruoli predefiniti:
| Ambito | Azione/Ruolo |
|---|---|
| Archivio funzionalità | Ruolo di Scienziato dei dati di AzureML |
| account di archiviazione dell'archivio funzionalità offline | ruolo Collaboratore dati BLOB Archiviazione |
| account di archiviazione dei dati di origine | Ruolo con autorizzazioni di lettura per i dati dei BLOB di archiviazione |
Nuove azioni create per archivio delle funzionalità gestite
Queste nuove azioni vengono create per archivio delle funzionalità gestite utilizzo:
| Azione | Descrizione |
|---|---|
| Microsoft.MachineLearningServices/workspaces/featurestores/read | Elencare, ottenere l'archivio funzionalità |
| Microsoft.MachineLearningServices/workspaces/featurestores/write | Creare e aggiornare l'archivio funzionalità (configurare archivi di materializzazione, calcolo della materializzazione e così via) |
| Microsoft.MachineLearningServices/workspaces/featurestores/delete | Eliminare l'archivio funzionalità |
| Microsoft.MachineLearningServices/workspaces/featuresets/read | Elencare e visualizzare set di funzionalità |
| Microsoft.MachineLearningServices/workspaces/featuresets/write | Creare e aggiornare set di funzionalità. Può configurare le impostazioni di materializzazione insieme alla creazione o all'aggiornamento |
| Microsoft.MachineLearningServices/workspaces/featuresets/delete | Eliminare set di funzionalità |
| Microsoft.MachineLearningServices/workspaces/featuresets/action | Attivare azioni sui set di funzionalità (ad esempio, un processo di backfill) |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/read | Elencare e visualizzare le entità dell'archivio funzionalità |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/write | Creare e aggiornare le entità dell'archivio funzionalità |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/delete | Eliminare entità |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/action | Attivare azioni sulle entità dell'archivio funzionalità |
Non esiste un elenco di controllo di accesso per le istanze di un'entità dell'archivio funzionalità e un set di funzionalità.