Zarządzanie kontrolą dostępu dla magazyn zarządzanych funkcji
W tym artykule opisano sposób zarządzania dostępem (autoryzacją) do usługi Azure Machine Edukacja magazyn zarządzanych funkcji. Kontrola dostępu oparta na rolach (RBAC) platformy Azure zarządza dostępem do zasobów platformy Azure, w tym możliwość tworzenia nowych zasobów lub używania istniejących. Użytkownicy w identyfikatorze Entra firmy Microsoft mają przypisane określone role, które udzielają dostępu do zasobów. Platforma Azure oferuje zarówno wbudowane role, jak i możliwość tworzenia ról niestandardowych.
Tożsamości i typy użytkowników
Usługa Azure Machine Edukacja obsługuje kontrolę dostępu opartą na rolach dla tych zasobów magazyn zarządzanych funkcji:
- magazyn funkcji
- jednostka magazynu funkcji
- zestaw funkcji
Aby kontrolować dostęp do tych zasobów, należy wziąć pod uwagę typy użytkowników pokazane tutaj. Dla każdego typu użytkownika tożsamość może być tożsamością firmy Microsoft Entra, jednostką usługi lub tożsamością zarządzaną platformy Azure (zarówno zarządzaną przez system, jak i przypisaną przez użytkownika).
- Deweloperzy zestawu funkcji (na przykład analitycy danych, inżynierowie danych i inżynierowie uczenia maszynowego): pracują przede wszystkim z obszarem roboczym magazynu funkcji i obsługują:
- Cykl życia zarządzania funkcjami — od tworzenia do archiwum
- Materializacja i konfiguracja wypełniania funkcji
- Świeżość funkcji i monitorowanie jakości
- Użytkownicy zestawu funkcji (na przykład analitycy danych i inżynierowie uczenia maszynowego): pracują głównie w obszarze roboczym projektu i używają funkcji na następujące sposoby:
- Odnajdywanie funkcji na potrzeby ponownego użycia modelu
- Eksperymentowanie z funkcjami podczas trenowania, aby sprawdzić, czy te funkcje zwiększają wydajność modelu
- Konfigurowanie potoków trenowania/wnioskowania korzystających z funkcji
- Administracja magazynu funkcji: zwykle obsługują one:
- Zarządzanie cyklem życia magazynu funkcji (od tworzenia do wycofania)
- Zarządzanie cyklem życia dostępu użytkowników magazynu funkcji
- Konfiguracja magazynu funkcji: limit przydziału i magazynu (magazyny offline/online)
- Zarządzanie kosztami
W tej tabeli opisano uprawnienia wymagane dla każdego typu użytkownika:
| Rola | opis | Wymagane uprawnienia |
|---|---|---|
feature store admin |
kto może tworzyć/aktualizować/usuwać magazyn funkcji | Uprawnienia wymagane dla feature store admin roli |
feature set consumer |
kto może używać zdefiniowanych zestawów funkcji w cyklu życia uczenia maszynowego. | Uprawnienia wymagane dla feature set consumer roli |
feature set developer |
kto może tworzyć/aktualizować zestawy funkcji lub konfigurować materializacje — na przykład wypełnianie i powtarzanie zadań. | Uprawnienia wymagane dla feature set developer roli |
Jeśli magazyn funkcji wymaga materializacji, wymagane są również następujące uprawnienia:
| Rola | opis | Wymagane uprawnienia |
|---|---|---|
feature store materialization managed identity |
Tożsamość zarządzana przypisana przez użytkownika platformy Azure używana przez zadania materializacji magazynu funkcji na potrzeby dostępu do danych. Jest to wymagane, jeśli magazyn funkcji umożliwia materializację | Uprawnienia wymagane dla feature store materialization managed identity roli |
Aby uzyskać więcej informacji na temat tworzenia roli, zobacz Tworzenie roli niestandardowej.
Zasoby
Udzielanie dostępu obejmuje następujące zasoby:
- zarządzany magazyn funkcji usługi Azure Machine Edukacja
- konto usługi Azure Storage (Gen2), którego magazyn funkcji używa jako magazynu offline
- tożsamość zarządzana przypisana przez użytkownika platformy Azure używana przez magazyn funkcji na potrzeby zadań materializacji
- Konta magazynu użytkowników platformy Azure hostujące dane źródłowe zestawu funkcji
Uprawnienia wymagane dla feature store admin roli
Aby utworzyć i/lub usunąć magazyn zarządzanych funkcji, zalecamy wbudowane Contributor i User Access Administrator role w grupie zasobów. Możesz również utworzyć rolę niestandardową Feature store admin z następującymi minimalnymi uprawnieniami:
| Scope | Akcja/rola |
|---|---|
| resourceGroup (lokalizacja tworzenia magazynu funkcji) | Microsoft.Machine Edukacja Services/workspaces/featurestores/read |
| resourceGroup (lokalizacja tworzenia magazynu funkcji) | Microsoft.Machine Edukacja Services/workspaces/featurestores/write |
| resourceGroup (lokalizacja tworzenia magazynu funkcji) | Microsoft.Machine Edukacja Services/workspaces/featurestores/delete |
| magazyn funkcji | Microsoft.Authorization/roleAssignments/write |
| tożsamość zarządzana przypisana przez użytkownika | Rola Operator tożsamości zarządzanej |
Po aprowizacji magazynu funkcji inne zasoby są domyślnie aprowizowane. Można jednak użyć istniejących zasobów. Jeśli są potrzebne nowe zasoby, tożsamość, która tworzy magazyn funkcji, musi mieć następujące uprawnienia do grupy zasobów:
- Microsoft.Storage/storageAccounts/write
- Microsoft.Storage/storageAccounts/blobServices/containers/write
- Microsoft. Szczegółowe informacje/składniki/zapis
- Microsoft.KeyVault/vaults/write
- Microsoft.ContainerRegistry/registries/write
- Microsoft.Operational Szczegółowe informacje/workspaces/write
- Microsoft.ManagedIdentity/userAssignedIdentities/write
Uprawnienia wymagane dla feature set consumer roli
Użyj tych wbudowanych ról, aby korzystać z zestawów funkcji zdefiniowanych w magazynie funkcji:
| Scope | Rola |
|---|---|
| magazyn funkcji | Badacze danych AzureML |
| źródłowe konta magazynu danych; innymi słowy, źródła danych zestawu funkcji | Rola Czytelnik danych obiektu blob usługi Storage |
| magazyn funkcji magazynu w trybie offline — konto magazynu | Rola Czytelnik danych obiektu blob usługi Storage |
Uwaga
Funkcja AzureML Data Scientist umożliwia użytkownikom tworzenie i aktualizowanie zestawów funkcji w magazynie funkcji.
Aby uniknąć korzystania z AzureML Data Scientist roli, możesz użyć następujących akcji:
| Scope | Akcja/rola |
|---|---|
| magazyn funkcji | Microsoft.Machine Edukacja Services/workspaces/featurestores/read |
| magazyn funkcji | Microsoft.Machine Edukacja Services/workspaces/featuresets/read |
| magazyn funkcji | Microsoft.Machine Edukacja Services/workspaces/featurestoreentities/read |
| magazyn funkcji | Microsoft.Machine Edukacja Services/workspaces/datastores/listSecrets/action |
| magazyn funkcji | Microsoft.Machine Edukacja Services/workspaces/jobs/read |
Uprawnienia wymagane dla feature set developer roli
Aby opracować zestawy funkcji w magazynie funkcji, użyj następujących wbudowanych ról:
| Scope | Rola |
|---|---|
| magazyn funkcji | Badacze danych AzureML |
| źródłowe konta magazynu danych | Rola Czytelnik danych obiektu blob usługi Storage |
| konto magazynu funkcji w trybie offline | Rola Czytelnik danych obiektu blob usługi Storage |
Aby uniknąć korzystania z AzureML Data Scientist roli, można użyć tych pojedynczych akcji (oprócz akcji wymienionych dla Featureset consumerelementu )
| Scope | Rola |
|---|---|
| magazyn funkcji | Microsoft.Machine Edukacja Services/workspaces/featuresets/write |
| magazyn funkcji | Microsoft.Machine Edukacja Services/workspaces/featuresets/delete |
| magazyn funkcji | Microsoft.Machine Edukacja Services/workspaces/featuresets/action |
| magazyn funkcji | Microsoft.Machine Edukacja Services/workspaces/featurestoreentities/write |
| magazyn funkcji | Microsoft.Machine Edukacja Services/workspaces/featurestoreentities/delete |
| magazyn funkcji | Microsoft.Machine Edukacja Services/workspaces/featurestoreentities/action |
Uprawnienia wymagane dla feature store materialization managed identity roli
Oprócz wszystkich uprawnień wymaganych feature set consumer przez rolę należy przyznać następujące wbudowane role:
| Scope | Akcja/rola |
|---|---|
| magazyn funkcji | Rola badacze dancyh usługi AzureML |
| konto magazynu funkcji magazynu funkcji w trybie offline | Rola Współautor danych obiektu blob usługi Storage |
| konta magazynu danych źródłowych | Rola Czytelnik danych obiektu blob usługi Storage |
Nowe akcje utworzone dla magazyn zarządzanych funkcji
Te nowe akcje są tworzone dla magazyn zarządzanych funkcji użycia:
| Czynność | opis |
|---|---|
| Microsoft.Machine Edukacja Services/workspaces/featurestores/read | Wyświetlanie listy, pobieranie magazynu funkcji |
| Microsoft.Machine Edukacja Services/workspaces/featurestores/write | Tworzenie i aktualizowanie magazynu funkcji (konfigurowanie magazynów materializacji, przetwarzanie materializacji itp.) |
| Microsoft.Machine Edukacja Services/workspaces/featurestores/delete | Usuwanie magazynu funkcji |
| Microsoft.Machine Edukacja Services/workspaces/featuresets/read | Wyświetlanie i wyświetlanie zestawów funkcji |
| Microsoft.Machine Edukacja Services/workspaces/featuresets/write | Tworzenie i aktualizowanie zestawów funkcji. Może skonfigurować ustawienia materializacji wraz z tworzeniem lub aktualizowaniem |
| Microsoft.Machine Edukacja Services/workspaces/featuresets/delete | Usuwanie zestawów funkcji |
| Microsoft.Machine Edukacja Services/workspaces/featuresets/action | Wyzwalanie akcji w zestawach funkcji (na przykład zadanie wypełniania danych) |
| Microsoft.Machine Edukacja Services/workspaces/featurestoreentities/read | Wyświetlanie i wyświetlanie jednostek magazynu funkcji |
| Microsoft.Machine Edukacja Services/workspaces/featurestoreentities/write | Tworzenie i aktualizowanie jednostek magazynu funkcji |
| Microsoft.Machine Edukacja Services/workspaces/featurestoreentities/delete | Usuwanie jednostek |
| Microsoft.Machine Edukacja Services/workspaces/featurestoreentities/action | Wyzwalanie akcji w jednostkach magazynu funkcji |
Nie ma listy ACL dla wystąpień jednostki magazynu funkcji i zestawu funkcji.