Azure Machine Learning へのアクセスを管理する
Azure ロールベースのアクセス制御 (Azure RBAC) は、リソースに許可されるアクセス (承認) レベルのスコープを設定するために使用されます。 たとえば、管理者または自動化プロセスがコンピューティング インスタンスを作成するためのアクセス権を持っているが使用できないようにするために、個別のロールの割り当てを構成します。一方、データ サイエンティストはそれを使用できますが、削除または作成することはできません。
Azure Machine Learning では、他の Azure リソースと同じ原則を承認に適用します。 Azure ロールベースのアクセス制御 (Azure RBAC) を使用してアクセスを管理すると、ユーザーは新しいリソースを作成したり、既存のリソースを使用したりできます。 Microsoft Entra ID のユーザーには、リソースへのアクセスを許可する特定のロールが割り当てられます。 Azure には、組み込みのロールと、Azure Machine Learning 用のカスタム ロールを作成する機能の両方が用意されています。
既定のロール
Azure Machine Learning ワークスペースに関連するロールは次のとおりです。
| ロールの | アクセス レベルの |
|---|---|
| AzureML データ サイエンティスト | コンピューティング リソースの作成または削除とワークスペース自体の変更を除き、Azure Machine Learning ワークスペース内のすべてのアクションを実行できます。 |
| AzureML コンピューティング オペレーター | ワークスペース内のコンピューティング リソースを作成、管理、削除、アクセスできます。 |
| リーダー | ワークスペース内の読み取り専用アクション。 閲覧者は、ワークスペース内のデータストア 資格情報 含む資産を一覧表示および表示できます。 閲覧者はこれらの資産を作成または更新できません。 |
| 共同作成者 | ワークスペース内の資産 (該当する場合) を表示、作成、編集、または削除します。 たとえば、共同作成者は、実験の作成、コンピューティング クラスターの作成またはアタッチ、実行の送信、Web サービスのデプロイを行うことができます。 |
| 所有者 | ワークスペース内の資産を表示、作成、編集、または削除する機能 (該当する場合) を含む、ワークスペースへのフル アクセス。 また、ロールの割り当てを変更することもできます。 |
| AzureML レジストリ ユーザー | レジストリを取得し、その中の資産を読み取り、書き込み、削除できます。 新しいレジストリ リソースを作成したり、削除したりすることはできません。 |
組み込みロールに割り当てられているアクセス許可が不十分であるか、ニーズを満たしていない場合は、カスタム ロールを作成できます。 カスタム ロールは、そのワークスペースで読み取り、書き込み、削除、コンピューティング リソースのアクセス許可を持つ場合があります。 カスタム ロールは、特定のワークスペース レベル、特定のリソース グループ レベル、または特定のサブスクリプション レベルで使用可能にすることができます。
Azure Machine Learning ワークスペースを作成すると、そのリソースの所有者のロールが自動的に割り当てられます。 所有者は、ワークスペースのロールを追加および削除し、ユーザーまたはグループにロールを割り当てることができます。
ベスト プラクティスとして、Microsoft Entra セキュリティ グループを使用してワークスペースへのアクセスを管理できます。 RBAC ロールを Entra セキュリティ グループに割り当て、グループのメンバーシップを管理することで、ロールを持つセキュリティ プリンシパルを管理します。 この方法には、次の利点があります。
プロジェクト リーダー グループの所有権のアクセス許可を割り当てることができます。 つまり、ワークスペース リソースに対する所有者ロールを直接必要とせずに、ワークスペースへのユーザー アクセスを管理できます。
ユーザーごとにアクセス許可を管理しなくても、ワークスペースやその他のリソースに対するユーザーのアクセス許可をグループとして整理、管理、取り消すことができます。 これにより、グループ メンバーシップを決定するだけで済むため、保持されているアクセス許可の監査も簡単になります。
Microsoft Entra グループを使用すると、ロールの割り当てに関するサブスクリプションの制限に達するのを回避できます。
Azure Machine Learning データ サイエンティスト ロールを割り当てるには、次の手順に従います。
Azure portal で、Azure Machine Learning リソースを開きます。
左側のメニューで [アクセス制御 (IAM)] を選択します。
[追加] ドロップダウン メニューを選択し、[ロールの割り当ての追加] を選択します。
検索ボックスに「Azure Machine Learning」と入力してロールをフィルター処理できます。
Azure Machine Learning データ サイエンティスト ロールを選択し、[次へ] をクリックします。
[メンバー] タブで、[+ メンバーの選択] リンクをクリックします。
Microsoft Entra ID から個人のアカウントを探し、[選択] を選択します。
[メンバー] タブに戻り、選択したアカウントが一覧に表示されていることを確認します。
[確認と割り当て] を 2 回選択して割り当てを終了します。
[ロールの割り当て] タブで割り当てを確認するには、探している個人の名前で結果をフィルター処理します。
または、[アクセスの確認] タブと [アクセスの確認] ボタンを選択することもできます。 サイド ウィンドウで、探している個人の名前を入力します。 [アクセスの確認] ウィンドウには、個人が割り当てられているすべてのロールが表示されます。