Управление доступом к рабочей области Машинного обучения Azure

Из этой статьи вы узнаете, как управлять доступом (авторизацией) к рабочим областям Машинного обучения Azure. Управление доступом на основе ролей Azure (Azure RBAC) используется для управления доступом к ресурсам Azure, например управления возможностью создавать новые ресурсы или использовать существующие. Пользователям в Azure Active Directory (Azure AD) назначаются определенные роли, которые предоставляют доступ к тем или иным ресурсам. Azure предоставляет как встроенные роли, так и возможность создания настраиваемых ролей.

Совет

И хотя эта статья посвящена Машинному обучению Azure, отдельные службы, на которых основывается Azure ML, предоставляют собственные параметры RBAC. Например, с помощью сведений из этой статьи можно настроить пользователей, которым разрешается отправка запросов на оценку к модели, развернутой в форме веб-службы в Службе контейнеров Azure. В то же время Служба контейнеров Azure предоставляет собственный набор ролей Azure. Сведения о данных RBAC для отдельных служб, которые могут быть полезны при работе с Машинным обучением Azure, см. по следующим ссылкам:

Предупреждение

Применение некоторых ролей может ограничить функциональность пользовательского интерфейса в Студии машинного обучения Azure для других пользователей. Например, если роль пользователя не может создавать вычислительные экземпляры, то функция создания вычислительного экземпляра будет недоступна в студии. Это ожидаемое поведение, которое не дает пользователю инициировать операции, приводящие к ошибке "отказано в доступе".

Роли по умолчанию

Рабочая область Машинного обучения Azure — это ресурс Azure. Как и в случае других ресурсов Azure, при создании рабочая область Машинного обучения Azure снабжается тремя ролями по умолчанию. В рабочую область можно добавить пользователей и назначить их одной из этих встроенных ролей.

Роль Уровень доступа
Читатель действия с доступом только для чтения в рабочей области. Читатели могут просматривать списки ресурсов и сами ресурсы (включая учетные данные хранилищ данных) в рабочей области. Читатели не могут создавать или обновлять такие ресурсы.
Участник просмотр, создание, изменение или удаление (если применимо) ресурсов в рабочей области. Например, участники могут создать эксперимент, создать или подключить вычислительный кластер, выполнить запуск и развернуть веб-службу.
Владелец полный доступ к рабочей области, включая возможность просмотра, создания, изменения или удаления (если применимо) ресурсов в ней. Кроме того, можно изменить назначения ролей.
Настраиваемая роль Позволяет настраивать доступ к конкретным операциям управления или плоскости данных в рабочей области. Например, это могут быть операции отправки запуска, создания вычисления, развертывания модели или регистрации набора данных.

Важно!

Доступ для роли можно ограничить определенными уровнями в Azure. Например, у пользователя с доступом владельца к рабочей области может не быть доступа владельца к группе ресурсов, в которой содержится эта рабочая область. Дополнительные сведения см. в статье Принцип работы Azure RBAC.

В настоящее время дополнительные встроенные роли, уникальные для Машинного обучения Azure, отсутствуют. Дополнительные сведения о встроенных ролях см. в статье Встроенные роли Azure.

Управление доступом к рабочей области

Если вы являетесь владельцем рабочей области, то вы можете добавлять и удалять роли для нее. Кроме того, можно назначать роли пользователям. Воспользуйтесь следующими ссылками, чтобы узнать, как управлять доступом:

Если установлен Интерфейс командной строки (CLI) Машинного обучения Azure, то можно использовать команды интерфейса CLI для присвоения ролей пользователям.

az ml workspace share -w <workspace_name> -g <resource_group_name> --role <role_name> --user <user_corp_email_address>

Поле user — это адрес электронной почты существующего пользователя в экземпляре доменных служб Azure Active Directory, в котором размещена родительская подписка рабочей области. Ниже приведен пример использования такой команды.

az ml workspace share -w my_workspace -g my_resource_group --role Contributor --user jdoe@contoson.com

Примечание

Команда "az ml workspace share" не работает для федеративных учетных записей из Azure Active Directory B2B. Используйте для них портал пользовательского интерфейса Azure вместо этой команды.

Создание настраиваемой роли

Если встроенных ролей недостаточно, можно создать пользовательские роли. У настраиваемых ролей могут быть разрешения на чтение, запись, удаление и на ресурсы вычисления в конкретной рабочей области. Роль можно сделать доступной на определенном уровне рабочей области, на определенном уровне группы ресурсов или на определенном уровне подписки.

Примечание

Чтобы создавать настраиваемые роли в ресурсе, вы должны быть владельцем ресурса на соответствующем уровне.

Чтобы создать настраиваемую роль, сначала составьте файл JSON определения роли, который будет задавать определение и область для роли. В следующем примере определяется настраиваемая роль под именем "Data Scientist Custom" (Специалист по обработке и анализу данных, настраиваемая роль), область которой — это определенный уровень рабочей области:

data_scientist_custom_role.json :

{
    "Name": "Data Scientist Custom",
    "IsCustom": true,
    "Description": "Can run experiment but can't create or delete compute.",
    "Actions": ["*"],
    "NotActions": [
        "Microsoft.MachineLearningServices/workspaces/*/delete",
        "Microsoft.MachineLearningServices/workspaces/write",
        "Microsoft.MachineLearningServices/workspaces/computes/*/write",
        "Microsoft.MachineLearningServices/workspaces/computes/*/delete", 
        "Microsoft.Authorization/*/write"
    ],
    "AssignableScopes": [
        "/subscriptions/<subscription_id>/resourceGroups/<resource_group_name>/providers/Microsoft.MachineLearningServices/workspaces/<workspace_name>"
    ]
}

Совет

Поле AssignableScopes можно изменить, чтобы задать область для этой настраиваемой роли на уровне подписки, на уровне группы ресурсов или на уровне конкретной рабочей области. Приведенная выше настраиваемая роль является лишь примером; рекомендуемые роли см. в разделе Настраиваемые роли для Службы машинного обучения Azure.

Эта настраиваемая роль может выполнять в рабочей области все действия, за исключением следующих.

  • Она не может создавать или обновлять вычислительные ресурсы.
  • Она не может удалять вычислительные ресурсы.
  • Она не может добавлять, удалять или изменять назначения ролей.
  • Она не может удалить рабочую область.

Чтобы развернуть эту настраиваемую роль, используйте следующую команду Azure CLI.

az role definition create --role-definition data_scientist_role.json

После развертывания эта роль станет доступной в указанной рабочей области. Теперь можно добавлять роль и назначать ее на портале Microsoft Azure. Также можно назначить эту роль пользователю с помощью команды CLI az ml workspace share:

az ml workspace share -w my_workspace -g my_resource_group --role "Data Scientist" --user jdoe@contoson.com

Дополнительные сведения о настраиваемых ролях см. в статье Настраиваемые роли Azure.

Операции Машинного обучения Azure

Дополнительные сведения об операциях (как действиях, так и бездействиях), которые можно использовать с настраиваемыми ролями, см. в разделе Операции с поставщиками ресурсов. Также можно отобразить список операций с помощью следующей команды Azure CLI:

az provider operation show –n Microsoft.MachineLearningServices

Вывод списка настраиваемых ролей

Выполните в Azure CLI следующую команду:

az role definition list --subscription <sub-id> --custom-role-only true

Чтобы просмотреть определение роли для конкретной настраиваемой роли, используйте следующую команду Azure CLI. Значение <role-name> должно быть указано в том же формате, в котором его возвращает предыдущая команда:

az role definition list -n <role-name> --subscription <sub-id>

Обновление пользовательской роли

Выполните в Azure CLI следующую команду:

az role definition update --role-definition update_def.json --subscription <sub-id>

У вас должны быть разрешения на всю область определения вновь создаваемой роли. Например, если эта новая роль создается с областью, покрывающей три подписки, то у вас должны быть разрешения на все три подписки.

Примечание

Обновление ролей может занять от 15 минут до часа, прежде чем оно будет применено ко всем назначениям ролей в соответствующей области.

Использование шаблонов Azure Resource Manager для повторяемости

Если предполагается, что создание сложных назначений ролей придется проводить повторно, шаблон Azure Resource Manager может оказаться очень полезен. Шаблон 201-machine-learning-dependencies-role-assignment template показывает, как можно задавать назначения ролей в исходном коде, чтобы использовать их повторно.

Распространенные сценарии

В следующей таблице приведена сводка действий Машинного обучения Azure и разрешений, необходимых для их выполнения с наименьшей областью. Например, если действие может быть выполнено с областью, соответствующей рабочей области (столбец 4), то все более высокие области с этим разрешением также будут работать автоматически.

Важно!

Все пути в этой таблице, которые начинаются с /, являются относительными путями по отношению к Microsoft.MachineLearningServices/.

Действие Область уровня подписки Область уровня группы ресурсов Область уровня рабочей области
Создать рабочую область Не требуется Владелец или участник Н/Д (становится владельцем или наследует роль с более высокой областью после создания)
Запросить квоту уровня подписки Amlcompute или установить квоту уровня рабочей области Владелец, участник или настраиваемая роль,
которая разрешает /locations/updateQuotas/action
в области подписки
Не разрешено Не разрешено
Создать новый вычислительный кластер Не требуется Не требуется Владелец, участник или настраиваемая роль, которая разрешает: /workspaces/computes/write
Создать новый вычислительный экземпляр Не требуется Не требуется Владелец, участник или настраиваемая роль, которая разрешает: /workspaces/computes/write
Отправить выполнение любого типа Не требуется Не требуется Владелец, участник или настраиваемая роль, которая разрешает: "/workspaces/*/read", "/workspaces/environments/write", "/workspaces/experiments/runs/write", "/workspaces/metadata/artifacts/write", "/workspaces/metadata/snapshots/write", "/workspaces/environments/build/action", "/workspaces/experiments/runs/submit/action", "/workspaces/environments/readSecrets/action"
Публиковать конвейеры и конечные точки Не требуется Не требуется Владелец, участник или настраиваемая роль, которая разрешает: "/workspaces/endpoints/pipelines/*", "/workspaces/pipelinedrafts/*", "/workspaces/modules/*"
Развертывать зарегистрированную модель на ресурсе AKS/ACI Не требуется Не требуется Владелец, участник или настраиваемая роль, которая разрешает: "/workspaces/services/aks/write", "/workspaces/services/aci/write"
Выполнять оценку по развернутой конечной точке AKS Не требуется Не требуется Владелец, участник или настраиваемая роль, которая разрешает: "/workspaces/services/aks/score/action", "/workspaces/services/aks/listkeys/action" (если не используется проверка подлинности доменных служб Azure Active Directory) или "/workspaces/read" (при использовании проверки подлинности на основе маркеров)
Получать доступ к хранилищу с помощью интерактивных записных книжек Не требуется Не требуется Владелец, участник или настраиваемая роль, которая разрешает: "/workspaces/computes/read", "/workspaces/notebooks/samples/read", "/workspaces/notebooks/storage/*", "/workspaces/listKeys/action"
Создавать новые настраиваемые роли Владелец, участник или настраиваемая роль, которая разрешает: Microsoft.Authorization/roleDefinitions/write Не требуется Владелец, участник или настраиваемая роль, которая разрешает: /workspaces/computes/write

Совет

Если при первой попытке создания рабочей области возникнет ошибка, проверьте, разрешает ли ваша роль действие Microsoft.MachineLearningServices/register/action. Это действие позволяет зарегистрировать поставщик ресурсов Машинного обучения Azure в вашей подписке Azure.

Назначаемое пользователем управляемое удостоверение и вычислительный кластер Машинного обучения Azure

Чтобы присвоить назначаемое пользователем удостоверение вычислительному кластеру Машинного обучения Azure, необходимы разрешения на запись для создания вычислений и Роли оператора управляемого удостоверения. Дополнительные сведения об Azure RBAC с управляемыми удостоверениями см. в статье Управление назначенными пользователями удостоверениями.

Операции MLflow

Для выполнения операций MLflow в рабочей области Машинного обучения Azure используйте следующие области для настраиваемой роли.

Операция MLflow Область
Перечисление всех экспериментов в хранилище отслеживания рабочих областей, получение эксперимента по идентификатору, получение эксперимента по имени Microsoft.MachineLearningServices/workspaces/experiments/read
Создание эксперимента с именем, задание тега для эксперимента, восстановление эксперимента, помеченного для удаления Microsoft.MachineLearningServices/workspaces/experiments/write
Удаление эксперимента Microsoft.MachineLearningServices/workspaces/experiments/delete
Получение выполнения и связанных с ним данных и метаданных, получение списка всех значений для указанной метрики в заданном выполнении, получение списка артефактов для выполнения Microsoft.MachineLearningServices/workspaces/experiments/runs/read
Создание нового выполнения в эксперименте, удаление запусков, восстановление удаленных запусков, регистрация в журнале метрик в текущем выполнении, задание тегов для выполнения, удаление тегов для выполнения, регистрация в журнале параметров (пар "ключ-значение") для выполнения, запись в журнале пакета метрик, параметров и тегов для выполнения, обновление состояния выполнения Microsoft.MachineLearningServices/workspaces/experiments/runs/write
Получение зарегистрированной модели по имени, получение списка всех зарегистрированных моделей в реестре, поиск зарегистрированных моделей, получение моделей последних версий для каждого из этапов запроса, получение версии зарегистрированной модели, поиск по версиям моделей, получение URI, по которому хранятся артефакты версии модели, поиск выполнений по идентификаторам экспериментов Microsoft.MachineLearningServices/workspaces/models/read
Создание новой зарегистрированной модели, обновление имени/описания зарегистрированной модели, переименование существующей зарегистрированной модели, создание новой версии модели, обновление описания версии модели, перевод зарегистрированной модели на один из этапов Microsoft.MachineLearningServices/workspaces/models/write
Удаление зарегистрированной модели вместе со всеми ее версиями, удаление конкретных версий зарегистрированной модели Microsoft.MachineLearningServices/workspaces/models/delete

Примеры настраиваемых ролей

Специалист по обработке и анализу данных

Позволяет специалисту по обработке и анализу данных выполнять все операции внутри рабочей области, за исключением следующих:

  • создание вычисления;
  • развертывание моделей в рабочем кластере AKS;
  • развертывание конечной точки конвейера в рабочей среде.

data_scientist_custom_role.json :

{
    "Name": "Data Scientist Custom",
    "IsCustom": true,
    "Description": "Can run experiment but can't create or delete compute or deploy production endpoints.",
    "Actions": [
        "Microsoft.MachineLearningServices/workspaces/*/read",
        "Microsoft.MachineLearningServices/workspaces/*/action",
        "Microsoft.MachineLearningServices/workspaces/*/delete",
        "Microsoft.MachineLearningServices/workspaces/*/write"
    ],
    "NotActions": [
        "Microsoft.MachineLearningServices/workspaces/delete",
        "Microsoft.MachineLearningServices/workspaces/write",
        "Microsoft.MachineLearningServices/workspaces/computes/*/write",
        "Microsoft.MachineLearningServices/workspaces/computes/*/delete", 
        "Microsoft.Authorization/*",
        "Microsoft.MachineLearningServices/workspaces/computes/listKeys/action",
        "Microsoft.MachineLearningServices/workspaces/listKeys/action",
        "Microsoft.MachineLearningServices/workspaces/services/aks/write",
        "Microsoft.MachineLearningServices/workspaces/services/aks/delete",
        "Microsoft.MachineLearningServices/workspaces/endpoints/pipelines/write"
    ],
    "AssignableScopes": [
        "/subscriptions/<subscription_id>"
    ]
}

Специалист по обработке и анализу данных, ограниченная

Более ограниченное определение роли, без подстановочных знаков в разрешенных действиях. Может выполнять все операции внутри рабочей области, за исключением следующих:

  • создание вычисления;
  • развертывание моделей в рабочем кластере AKS;
  • развертывание конечной точки конвейера в рабочей среде.

data_scientist_restricted_custom_role.json :

{
    "Name": "Data Scientist Restricted Custom",
    "IsCustom": true,
    "Description": "Can run experiment but can't create or delete compute or deploy production endpoints",
    "Actions": [
        "Microsoft.MachineLearningServices/workspaces/*/read",
        "Microsoft.MachineLearningServices/workspaces/computes/start/action",
        "Microsoft.MachineLearningServices/workspaces/computes/stop/action",
        "Microsoft.MachineLearningServices/workspaces/computes/restart/action",
        "Microsoft.MachineLearningServices/workspaces/computes/applicationaccess/action",
        "Microsoft.MachineLearningServices/workspaces/notebooks/storage/read",
        "Microsoft.MachineLearningServices/workspaces/notebooks/storage/write",
        "Microsoft.MachineLearningServices/workspaces/notebooks/storage/delete",
        "Microsoft.MachineLearningServices/workspaces/notebooks/samples/read",
        "Microsoft.MachineLearningServices/workspaces/experiments/runs/write",
        "Microsoft.MachineLearningServices/workspaces/experiments/write",
        "Microsoft.MachineLearningServices/workspaces/experiments/runs/submit/action",
        "Microsoft.MachineLearningServices/workspaces/pipelinedrafts/write",
        "Microsoft.MachineLearningServices/workspaces/metadata/snapshots/write",
        "Microsoft.MachineLearningServices/workspaces/metadata/artifacts/write",
        "Microsoft.MachineLearningServices/workspaces/environments/write",
        "Microsoft.MachineLearningServices/workspaces/models/write",
        "Microsoft.MachineLearningServices/workspaces/modules/write",
        "Microsoft.MachineLearningServices/workspaces/datasets/registered/write", 
        "Microsoft.MachineLearningServices/workspaces/datasets/registered/delete",
        "Microsoft.MachineLearningServices/workspaces/datasets/unregistered/write",
        "Microsoft.MachineLearningServices/workspaces/datasets/unregistered/delete",
        "Microsoft.MachineLearningServices/workspaces/computes/listNodes/action",
        "Microsoft.MachineLearningServices/workspaces/environments/build/action"
    ],
    "NotActions": [
        "Microsoft.MachineLearningServices/workspaces/computes/write",
        "Microsoft.MachineLearningServices/workspaces/write",
        "Microsoft.MachineLearningServices/workspaces/computes/delete",
        "Microsoft.MachineLearningServices/workspaces/delete",
        "Microsoft.MachineLearningServices/workspaces/computes/listKeys/action",
        "Microsoft.MachineLearningServices/workspaces/listKeys/action",
        "Microsoft.Authorization/*",
        "Microsoft.MachineLearningServices/workspaces/datasets/registered/profile/read",
        "Microsoft.MachineLearningServices/workspaces/datasets/registered/preview/read",
        "Microsoft.MachineLearningServices/workspaces/datasets/unregistered/profile/read",
        "Microsoft.MachineLearningServices/workspaces/datasets/unregistered/preview/read",
        "Microsoft.MachineLearningServices/workspaces/datasets/registered/schema/read",    
        "Microsoft.MachineLearningServices/workspaces/datasets/unregistered/schema/read",
        "Microsoft.MachineLearningServices/workspaces/datastores/write",
        "Microsoft.MachineLearningServices/workspaces/datastores/delete"
    ],
    "AssignableScopes": [
        "/subscriptions/<subscription_id>"
    ]
}

Специалист по обработке и анализу данных MLflow

Позволяет специалисту по обработке анализу данных выполнять все поддерживаемые операции MLflow AzureML, за исключением следующих:

  • создание вычисления;
  • развертывание моделей в рабочем кластере AKS;
  • развертывание конечной точки конвейера в рабочей среде.

mlflow_data_scientist_custom_role.json :

{
    "Name": "MLFlow Data Scientist Custom",
    "IsCustom": true,
    "Description": "Can perform azureml mlflow integrated functionalities that includes mlflow tracking, projects, model registry",
    "Actions": [
        "Microsoft.MachineLearningServices/workspaces/experiments/read",
        "Microsoft.MachineLearningServices/workspaces/experiments/write",
        "Microsoft.MachineLearningServices/workspaces/experiments/delete",
        "Microsoft.MachineLearningServices/workspaces/experiments/runs/read",
        "Microsoft.MachineLearningServices/workspaces/experiments/runs/write",
        "Microsoft.MachineLearningServices/workspaces/models/read",
        "Microsoft.MachineLearningServices/workspaces/models/write",
        "Microsoft.MachineLearningServices/workspaces/models/delete"
    ],
    "NotActions": [
        "Microsoft.MachineLearningServices/workspaces/delete",
        "Microsoft.MachineLearningServices/workspaces/write",
        "Microsoft.MachineLearningServices/workspaces/computes/*/write",
        "Microsoft.MachineLearningServices/workspaces/computes/*/delete", 
        "Microsoft.Authorization/*",
        "Microsoft.MachineLearningServices/workspaces/computes/listKeys/action",
        "Microsoft.MachineLearningServices/workspaces/listKeys/action",
        "Microsoft.MachineLearningServices/workspaces/services/aks/write",
        "Microsoft.MachineLearningServices/workspaces/services/aks/delete",
        "Microsoft.MachineLearningServices/workspaces/endpoints/pipelines/write"
    ],
    "AssignableScopes": [
        "/subscriptions/<subscription_id>"
    ]
}

MLOps

Позволяет назначить роль субъекту-службе и использовать ее для автоматизации конвейеров MLOps. Например, для отправки выполнений в уже опубликованный конвейер:

mlops_custom_role.json :

{
    "Name": "MLOps Custom",
    "IsCustom": true,
    "Description": "Can run pipelines against a published pipeline endpoint",
    "Actions": [
        "Microsoft.MachineLearningServices/workspaces/read",
        "Microsoft.MachineLearningServices/workspaces/endpoints/pipelines/read",
        "Microsoft.MachineLearningServices/workspaces/metadata/artifacts/read",
        "Microsoft.MachineLearningServices/workspaces/metadata/snapshots/read",
        "Microsoft.MachineLearningServices/workspaces/environments/read",    
        "Microsoft.MachineLearningServices/workspaces/metadata/secrets/read",
        "Microsoft.MachineLearningServices/workspaces/modules/read",
        "Microsoft.MachineLearningServices/workspaces/experiments/runs/read",
        "Microsoft.MachineLearningServices/workspaces/datasets/registered/read",
        "Microsoft.MachineLearningServices/workspaces/datastores/read",
        "Microsoft.MachineLearningServices/workspaces/environments/write",
        "Microsoft.MachineLearningServices/workspaces/experiments/runs/write",
        "Microsoft.MachineLearningServices/workspaces/metadata/artifacts/write",
        "Microsoft.MachineLearningServices/workspaces/metadata/snapshots/write",
        "Microsoft.MachineLearningServices/workspaces/environments/build/action",
        "Microsoft.MachineLearningServices/workspaces/experiments/runs/submit/action"
    ],
    "NotActions": [
        "Microsoft.MachineLearningServices/workspaces/computes/write",
        "Microsoft.MachineLearningServices/workspaces/write",
        "Microsoft.MachineLearningServices/workspaces/computes/delete",
        "Microsoft.MachineLearningServices/workspaces/delete",
        "Microsoft.MachineLearningServices/workspaces/computes/listKeys/action",
        "Microsoft.MachineLearningServices/workspaces/listKeys/action",
        "Microsoft.Authorization/*"
    ],
    "AssignableScopes": [
        "/subscriptions/<subscription_id>"
    ]
}

Администратор рабочей области

Позволяет выполнять все операции в области действия рабочей области, за исключением следующих:

  • Создание новой рабочей области
  • назначение подписки или квот уровня рабочей области.

Администратор рабочей области также не может создавать новые роли. Он может назначать только существующие встроенные или настраиваемые роли в области действия своей рабочей области.

workspace_admin_custom_role.json :

{
    "Name": "Workspace Admin Custom",
    "IsCustom": true,
    "Description": "Can perform all operations except quota management and upgrades",
    "Actions": [
        "Microsoft.MachineLearningServices/workspaces/*/read",
        "Microsoft.MachineLearningServices/workspaces/*/action",
        "Microsoft.MachineLearningServices/workspaces/*/write",
        "Microsoft.MachineLearningServices/workspaces/*/delete",
        "Microsoft.Authorization/roleAssignments/*"
    ],
    "NotActions": [
        "Microsoft.MachineLearningServices/workspaces/write"
    ],
    "AssignableScopes": [
        "/subscriptions/<subscription_id>"
    ]
}

Разметчик данных

Позволяет определить роль, ограниченную только добавлением меток данных.

labeler_custom_role.json :

{
    "Name": "Labeler Custom",
    "IsCustom": true,
    "Description": "Can label data for Labeling",
    "Actions": [
        "Microsoft.MachineLearningServices/workspaces/read",
        "Microsoft.MachineLearningServices/workspaces/labeling/projects/read",
        "Microsoft.MachineLearningServices/workspaces/labeling/labels/write"
    ],
    "NotActions": [
        "Microsoft.MachineLearningServices/workspaces/labeling/projects/summary/read"
    ],
    "AssignableScopes": [
        "/subscriptions/<subscription_id>"
    ]
}

Устранение неполадок

При использовании управления доступом на основе ролей Azure (Azure RBAC) следует учитывать перечисленные ниже моменты.

  • При создании в Azure ресурса, например рабочей области, вы не являетесь непосредственным владельцем ресурса. Ваша роль наследуется от роли с самой высокой областью действия, на которую вы имеете право в данной подписке. Например, если вы являетесь администратором сети и имеете разрешения на создание рабочей области Машинного обучения Azure, относительно этой рабочей области вам будет присвоена роль "администратор сети", а не роль "владелец".

  • Для выполнения операций с квотами в рабочей области требуются разрешения уровня подписки. Это означает, что установка либо квот уровня подписки, либо квот уровня рабочей области для ваших управляемых вычислительных ресурсов возможна лишь при наличии у вас разрешений на запись в области подписки.

  • Если одному и тому же пользователю доменных служб Azure Active Directory произведено два назначения ролей с конфликтующими разделами "Actions"/"NotActions", операции, указанные в NotActions для одной из ролей, могут не вступать в силу, если они также указаны как Actions для другой из ролей. Дополнительные сведения о том, как Azure анализирует назначения ролей, см. в статье Как RBAC Azure определяет право доступа пользователя к ресурсу

  • Чтобы развернуть вычислительные ресурсы в виртуальной сети, необходимо иметь явные разрешения на следующие действия.

    • Microsoft.Network/virtualNetworks/*/read на ресурсах виртуальной сети.
    • Microsoft.Network/virtualNetworks/subnet/join/action на ресурсе подсети.

    Дополнительные сведения об Azure RBAC при работе с сетью см. в разделе Встроенные роли сети.

  • Иногда на то, чтобы новые назначения ролей вступили в силу и заменили кэшированные разрешения по всему стеку, может потребоваться до 1 часа.

  • В настоящее время Условный доступ не поддерживается в Машинном обучении Azure.

Дальнейшие действия