Hantera åtkomstkontroll för hanterad funktionsbutik
I den här artikeln beskrivs hur du hanterar åtkomst (auktorisering) till en Azure Machine Learning-hanterad funktionsbutik. Rollbaserad åtkomstkontroll i Azure (Azure RBAC) hanterar åtkomsten till Azure-resurser, inklusive möjligheten att skapa nya resurser eller använda befintliga resurser. Användare i ditt Microsoft Entra-ID får specifika roller som ger åtkomst till resurser. Azure ger både inbyggda roller och möjlighet att skapa anpassade roller.
Identiteter och användartyper
Azure Machine Learning stöder rollbaserad åtkomstkontroll för dessa hanterad funktionsbutik resurser:
- funktionsarkiv
- funktionslagerentitet
- funktionsuppsättning
Överväg de användartyper som visas här om du vill kontrollera åtkomsten till dessa resurser. För varje användartyp kan identiteten vara antingen en Microsoft Entra-identitet, ett huvudnamn för tjänsten eller en Hanterad Azure-identitet (både systemhanterad och användartilldelad).
- Funktionsuppsättningsutvecklare (till exempel dataexpert, datatekniker och maskininlärningstekniker): De arbetar främst med arbetsytan funktionslager och hanterar
- Livscykeln för funktionshantering, från skapande till arkivering
- Materialisering och funktionsuppfyllnad
- Funktions färskhet och kvalitetsövervakning
- Funktionsuppsättningskonsumenter (till exempel dataforskare och maskininlärningstekniker): De arbetar främst på en projektarbetsyta och använder funktioner på följande sätt:
- Funktionsidentifiering för återanvändning av modell
- Experimentera med funktioner under träning för att se om dessa funktioner förbättrar modellprestanda
- Konfigurera tränings-/slutsatsdragningspipelines som använder funktionerna
- Funktionsarkivadministratörer: De hanterar vanligtvis:
- Livscykelhantering för funktionsarkiv (från skapande till tillbakadragning)
- Hantering av användaråtkomst för funktionsarkiv med livscykel
- Konfiguration av funktionslager: kvot och lagring (offline/onlinebutiker)
- Kostnadshantering
I den här tabellen beskrivs de behörigheter som krävs för varje användartyp:
| Roll | beskrivning | Behörigheter som krävs |
|---|---|---|
feature store admin |
vem kan skapa/uppdatera/ta bort funktionsarkiv | Behörigheter som krävs för feature store admin rollen |
feature set consumer |
som kan använda definierade funktionsuppsättningar i sin livscykel för maskininlärning. | Behörigheter som krävs för feature set consumer rollen |
feature set developer |
vem kan skapa/uppdatera funktionsuppsättningar eller konfigurera materialiseringar – till exempel återfyllnad och återkommande jobb. | Behörigheter som krävs för feature set developer rollen |
Om ditt funktionslager kräver materialisering krävs även följande behörigheter:
| Roll | beskrivning | Behörigheter som krävs |
|---|---|---|
feature store materialization managed identity |
Den användartilldelade hanterade Identitet i Azure som funktionslagringsjobben använder för dataåtkomst. Den här identiteten krävs om funktionsarkivet möjliggör materialisering | Behörigheter som krävs för feature store materialization managed identity rollen |
Mer information om hur du skapar roller finns i resursen skapa anpassad roll .
Resurser
Beviljande av åtkomst omfattar följande resurser:
- Azure Machine Learning Managed Feature Store
- Azure Storage-kontot (Gen2) som funktionsarkivet använder som offlinearkiv
- den användartilldelade hanterade Identitet i Azure som funktionsarkivet använder för sina materialiseringsjobb
- De Azure-användarkonton som är värdar för funktionsuppsättningens källdata
Behörigheter som krävs för feature store admin rollen
För att skapa och/eller ta bort en hanterad funktionsbutik rekommenderar vi de inbyggda rollerna och User Access Administrator rollerna i Contributor resursgruppen. Du kan också skapa en anpassad Feature store admin roll med följande minimibehörigheter:
| Omfattning | Åtgärd/roll |
|---|---|
| resourceGroup (platsen där funktionsarkivet skapas) | Microsoft.MachineLearningServices/workspaces/featurestores/read |
| resourceGroup (platsen där funktionsarkivet skapas) | Microsoft.MachineLearningServices/workspaces/featurestores/write |
| resourceGroup (platsen där funktionsarkivet skapas) | Microsoft.MachineLearningServices/workspaces/featurestores/delete |
| funktionsarkivet | Microsoft.Authorization/roleAssignments/write |
| den användartilldelade hanterade identiteten | Rollen Hanterad identitetsoperator |
När ett funktionslager etableras etableras andra resurser som standard. Du kan dock använda befintliga resurser. Om nya resurser behövs måste identiteten som skapar funktionsarkivet ha följande behörigheter för resursgruppen:
- Microsoft.Storage/storageAccounts/write
- Microsoft.Storage/storageAccounts/blobServices/containers/write
- Microsoft.Insights/components/write
- Microsoft.KeyVault/vaults/write
- Microsoft.ContainerRegistry/registries/write
- Microsoft.OperationalInsights/workspaces/write
- Microsoft.ManagedIdentity/userAssignedIdentities/write
Behörigheter som krävs för feature set consumer rollen
Använd dessa inbyggda roller för att använda de funktionsuppsättningar som definierats i funktionsarkivet:
| Omfattning | Roll |
|---|---|
| funktionsarkivet | AzureML-dataforskare |
| källdatalagringskontona. med andra ord, funktionsuppsättningens datakällor | Rollen Storage Blob Data Reader |
| lagringsfunktionens lagringskonto offline | Rollen Storage Blob Data Reader |
Kommentar
Gör AzureML Data Scientist att användarna kan skapa och uppdatera funktionsuppsättningar i funktionsarkivet.
Om du vill undvika att använda AzureML Data Scientist rollen kan du använda följande enskilda åtgärder:
| Omfattning | Åtgärd/roll |
|---|---|
| funktionsarkivet | Microsoft.MachineLearningServices/workspaces/featurestores/read |
| funktionsarkivet | Microsoft.MachineLearningServices/workspaces/featuresets/read |
| funktionsarkivet | Microsoft.MachineLearningServices/workspaces/featurestoreentities/read |
| funktionsarkivet | Microsoft.MachineLearningServices/workspaces/datastores/listSecrets/action |
| funktionsarkivet | Microsoft.MachineLearningServices/workspaces/jobs/read |
Behörigheter som krävs för feature set developer rollen
Om du vill utveckla funktionsuppsättningar i funktionsarkivet använder du följande inbyggda roller:
| Omfattning | Roll |
|---|---|
| funktionsarkivet | AzureML-dataforskare |
| källdatalagringskontona | Rollen Storage Blob Data Reader |
| lagringskontot för funktionsarkivet offline | Rollen Storage Blob Data Reader |
För att undvika användning av AzureML Data Scientist rollen kan du använda dessa enskilda åtgärder (utöver de åtgärder som anges för Featureset consumer)
| Omfattning | Roll |
|---|---|
| funktionsarkivet | Microsoft.MachineLearningServices/workspaces/featuresets/write |
| funktionsarkivet | Microsoft.MachineLearningServices/workspaces/featuresets/delete |
| funktionsarkivet | Microsoft.MachineLearningServices/workspaces/featuresets/action |
| funktionsarkivet | Microsoft.MachineLearningServices/workspaces/featurestoreentities/write |
| funktionsarkivet | Microsoft.MachineLearningServices/workspaces/featurestoreentities/delete |
| funktionsarkivet | Microsoft.MachineLearningServices/workspaces/featurestoreentities/action |
Behörigheter som krävs för feature store materialization managed identity rollen
Utöver alla behörigheter som feature set consumer rollen kräver använder du dessa inbyggda roller:
| Omfattning | Åtgärd/roll |
|---|---|
| funktionsarkiv | AzureML-Dataforskare roll |
| lagringskonto för funktionsarkiv offlinelagring | Rollen Storage Blob Data-deltagare |
| lagringskonton för källdata | Rollen Storage Blob Data Reader |
Nya åtgärder som skapats för hanterad funktionsbutik
Dessa nya åtgärder skapas för hanterad funktionsbutik användning:
| Åtgärd | beskrivning |
|---|---|
| Microsoft.MachineLearningServices/workspaces/featurestores/read | Lista, hämta funktionsarkiv |
| Microsoft.MachineLearningServices/workspaces/featurestores/write | Skapa och uppdatera funktionsarkivet (konfigurera materialiseringslager, materialiseringsberäkning osv.) |
| Microsoft.MachineLearningServices/workspaces/featurestores/delete | Ta bort funktionsarkiv |
| Microsoft.MachineLearningServices/workspaces/featuresets/read | Lista och visa funktionsuppsättningar |
| Microsoft.MachineLearningServices/workspaces/featuresets/write | Skapa och uppdatera funktionsuppsättningar. Kan konfigurera materialiseringsinställningar tillsammans med skapa eller uppdatera |
| Microsoft.MachineLearningServices/workspaces/featuresets/delete | Ta bort funktionsuppsättningar |
| Microsoft.MachineLearningServices/workspaces/featuresets/action | Utlösa åtgärder på funktionsuppsättningar (till exempel ett återfyllnadsjobb) |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/read | Visa entiteter för funktionsarkiv |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/write | Skapa och uppdatera funktionsarkiventiteter |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/delete | Ta bort entiteter |
| Microsoft.MachineLearningServices/workspaces/featurestoreentities/action | Utlösa åtgärder för funktionslagerentiteter |
Det finns ingen ACL (åtkomstkontrollista) för instanser av en funktionsarkiventitet och en funktionsuppsättning.