Ügyfelek hitelesítése online végpontokhoz

ÉRVÉNYES:Azure CLI ml-bővítmény v2 (aktuális)Python SDK azure-ai-ml v2 (aktuális)

Ez a cikk bemutatja, hogyan hitelesítheti az ügyfeleket a vezérlősík- és adatsík-műveletek online végpontokon való végrehajtásához.

A vezérlősík-művelet vezérli a végpontot, és módosítja azt. A vezérlősík-műveletek közé tartozik a létrehozási, olvasási, frissítési és törlési (CRUD) műveletek az online végpontokon és az online üzemelő példányokon.

Az adatsík-műveletek az adatokat használják az online végpontokkal való interakcióhoz a végpont módosítása nélkül. Egy adatsík-művelet például egy pontozási kérés online végpontnak való elküldését és a válasz lekérését jelentheti.

Előfeltételek

A cikkben ismertetett lépések végrehajtása előtt győződjön meg arról, hogy rendelkezik a következő előfeltételekkel:

• Egy Azure Machine Learning-munkaterület. Ha nincs ilyenje, a gyorsútmutató lépéseit követve hozzon létre egyet a munkaterület erőforrásainak létrehozása című cikkben.

• Az Azure CLI és a ml bővítmény vagy az Azure Machine Tanulás Python SDK v2:

  • Az Azure CLI és a bővítmény telepítéséhez lásd a parancssori felület (v2) telepítését, beállítását és használatát.

    Fontos

    A jelen cikkben szereplő CLI-példák feltételezik, hogy a Bash (vagy kompatibilis) rendszerhéjat használja. Például linuxos rendszerből vagy Linuxos Windows-alrendszer.

  • A Python SDK v2 telepítéséhez használja a következő parancsot:

    pip install azure-ai-ml azure-identity
    

    Ha frissíteni szeretné az SDK meglévő telepítését a legújabb verzióra, használja a következő parancsot:

    pip install --upgrade azure-ai-ml azure-identity
    

    További információ: A Python SDK v2 telepítése az Azure Machine Tanulás.

Korlátozások

A Microsoft Entra-jogkivonat (aad_token) hitelesítési móddal rendelkező végpontok nem támogatják a pontozást az Azure Machine Tanulás studio parancssori felületénekaz ml online-endpoint invoke, SDK-jának ml_client.online_endpoints.invoke()vagy Tesztelés vagy Felhasználás lapjának használatával. Ehelyett használjon egy általános Python SDK-t, vagy a REST API-val adja át a vezérlősík jogkivonatát. További információ: Adatok pontszáma a kulcs vagy a jogkivonat használatával.

Felhasználói identitás előkészítése

Szüksége van egy felhasználói identitásra a vezérlősík műveleteinek (azaz CRUD-műveleteknek) és az adatsík-műveleteknek (azaz pontozási kérések küldésének) az online végponton történő végrehajtásához. Ugyanazt a felhasználói identitást vagy eltérő felhasználói identitást használhatja a vezérlősík és az adatsík műveleteihez. Ebben a cikkben ugyanazt a felhasználói identitást használja a vezérlősík és az adatsík műveleteihez is.

Ha a Microsoft Entra ID alatt szeretne felhasználói identitást létrehozni, olvassa el a Hitelesítés beállítása című témakört. Később szüksége lesz az identitásazonosítóra.

Engedélyek hozzárendelése az identitáshoz

Ebben a szakaszban engedélyeket rendel a végponttal való interakcióhoz használt felhasználói identitáshoz. Először használjon beépített szerepkört, vagy hozzon létre egy egyéni szerepkört. Ezt követően hozzárendeli a szerepkört a felhasználói identitáshoz.

Beépített szerepkör használata

A AzureML Data Scientistbeépített szerepkör végpontok és üzemelő példányok kezelésére és használatára használható, és helyettesítő karaktereket használ a vezérlősík RBAC-műveleteinek belefoglalásához:

• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/write
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/delete
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/read
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/token/action
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/listKeys/action
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/regenerateKeys/action

és a következő adatsík RBAC-műveletének belefoglalása:

• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/score/action

Azure Machine Learning Workspace Connection Secrets Reader A beépített szerepkör használható a munkaterület-kapcsolatok titkos kulcsainak elérésére, és az alábbi RBAC-műveleteket tartalmazza:

• Microsoft.MachineLearningServices/workspaces/connections/listsecrets/action
• Microsoft.MachineLearningServices/workspaces/metadata/secrets/read

Ha ezeket a beépített szerepköröket használja, ebben a lépésben nincs szükség műveletre.

(Nem kötelező) Egyéni szerepkör létrehozása

Ezt a lépést kihagyhatja, ha beépített szerepköröket vagy más előre elkészített egyéni szerepköröket használ.

1. Az egyéni szerepkörök hatókörének és műveleteinek meghatározása a szerepkörök JSON-definícióinak létrehozásával. Az alábbi szerepkördefiníció például lehetővé teszi, hogy a felhasználó egy online végpontot crudáljon egy adott munkaterületen.

   custom-role-for-control-plane.json:

   {
       "Name": "Custom role for control plane operations - online endpoint",
       "IsCustom": true,
       "Description": "Can CRUD against online endpoints.",
       "Actions": [
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/write",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/delete",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/read",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/token/action",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/listKeys/action",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/regenerateKeys/action"
       ],
       "NotActions": [
       ],
       "AssignableScopes": [
           "/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>"
       ]
   }
   

   Az alábbi szerepkördefiníció lehetővé teszi, hogy a felhasználó pontozási kéréseket küldjön egy online végpontnak egy megadott munkaterületen.

   custom-role-for-scoring.json:

   {
       "Name": "Custom role for scoring - online endpoint",
       "IsCustom": true,
       "Description": "Can score against online endpoints.",
       "Actions": [
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/*/action"
       ],
       "NotActions": [
       ],
       "AssignableScopes": [
           "/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>"
       ]
   }
   

2. Egyéni szerepkörök létrehozása a JSON-definíciókkal:

   az role definition create --role-definition custom-role-for-control-plane.json --subscription <subscriptionId>
   
   az role definition create --role-definition custom-role-for-scoring.json --subscription <subscriptionId>
   

   Megjegyzés:

   Egyéni szerepkörök létrehozásához három szerepkör egyikére van szükség:

   • tulajdonos
   • felhasználói hozzáférés rendszergazdája
   • egyéni szerepkör engedélyekkel Microsoft.Authorization/roleDefinitions/write (egyéni szerepkörök létrehozásához/frissítéséhez/törléséhez) és Microsoft.Authorization/roleDefinitions/read engedélyekkel (egyéni szerepkörök megtekintéséhez).

   Az egyéni szerepkörök létrehozásával kapcsolatos további információkért tekintse meg az Azure-ra vonatkozó egyéni szerepköröket.

3. Ellenőrizze a szerepkördefiníciót:

   az role definition list --custom-role-only -o table
   
   az role definition list -n "Custom role for control plane operations - online endpoint"
   az role definition list -n "Custom role for scoring - online endpoint"
   
   export role_definition_id1=`(az role definition list -n "Custom role for control plane operations - online endpoint" --query "[0].id" | tr -d '"')`
   
   export role_definition_id2=`(az role definition list -n "Custom role for scoring - online endpoint" --query "[0].id" | tr -d '"')`
   

Szerepkör hozzárendelése az identitáshoz

1. Ha a beépített szerepkört AzureML Data Scientist használja, a következő kóddal rendelje hozzá a szerepkört a felhasználói identitáshoz.

   az role assignment create --assignee <identityId> --role "AzureML Data Scientist" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   

2. Ha a beépített szerepkört használja Azure Machine Learning Workspace Connection Secrets Reader , a következő kóddal rendelje hozzá a szerepkört a felhasználói identitáshoz.

   az role assignment create --assignee <identityId> --role "Azure Machine Learning Workspace Connection Secrets Reader" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   

3. Ha egyéni szerepkört használ, a következő kóddal rendelje hozzá a szerepkört a felhasználói identitáshoz.

   az role assignment create --assignee <identityId> --role "Custom role for control plane operations - online endpoint" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   
   az role assignment create --assignee <identityId> --role "Custom role for scoring - online endpoint" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   

   Megjegyzés:

   Ha egyéni szerepköröket szeretne hozzárendelni a felhasználói identitáshoz, három szerepkör egyikére van szüksége:

   • tulajdonos
   • felhasználói hozzáférés rendszergazdája
   • egy egyéni szerepkör, amely engedélyezi Microsoft.Authorization/roleAssignments/write az engedélyeket (egyéni szerepkörök hozzárendelését) és Microsoft.Authorization/roleAssignments/read (a szerepkör-hozzárendelések megtekintését).

   További információ a különböző Azure-szerepkörökről és azok engedélyeiről: Azure-szerepkörök és Azure-szerepkörök hozzárendelése az Azure Portal használatával.

4. Erősítse meg a szerepkör-hozzárendelést:

   az role assignment list --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   

A Microsoft Entra-jogkivonat beszerzése vezérlősík-műveletekhez

Ezt a lépést akkor hajtsa végre, ha a vezérlősík-műveleteket a REST API-val tervezi végrehajtani, amely közvetlenül a jogkivonatot fogja használni.

Ha más módszereket is használni szeretne, például az Azure Machine Tanulás CLI -t (v2), a Python SDK-t (v2) vagy az Azure Machine Tanulás Studiót, nem kell manuálisan beszereznie a Microsoft Entra-jogkivonatot. A bejelentkezés során a rendszer már hitelesíti a felhasználói identitást, és a jogkivonat automatikusan lekéri és átadja Önnek.

Az Azure-erőforrásvégpontról lekérheti a vezérlősík műveleteihez szükséges Microsoft Entra-jogkivonatot: https://management.azure.com.

Azure CLI

1. Sign in to Azure.

   az login
   

2. Ha egy adott identitást szeretne használni, az alábbi kóddal jelentkezzen be az identitással:

   az login --identity --username <identityId>
   

3. Ezzel a környezettel szerezheti be a jogkivonatot.

   export CONTROL_PLANE_TOKEN=`(az account get-access-token --resource https://management.azure.com --query accessToken | tr -d '"')`
   

REST

Azure-beli virtuális gépről

A jogkivonatot az Azure-beli virtuális gépek felügyelt identitása alapján szerezheti be (ha a virtuális gép engedélyezi a felügyelt identitást).

1. Ha le szeretné kérni a Microsoft Entra-jogkivonatot (aad_token) az Azure-beli virtuális gépen futó vezérlősík-művelethez, küldje el a kérést az Azure-erőforrásvégpont management.azure.comAzure Instance Metadata Service (IMDS) végpontjának:

   export CONTROL_PLANE_TOKEN=`(curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fmanagement.azure.com%2F' -H Metadata:true -s | jq -r '.access_token' )`
   

   Tipp.

   A jogkivonat JSON-kimenetből való kinyeréséhez a jq segédprogramot használjuk példaként. Ehhez azonban bármilyen megfelelő eszközt használhat.

   A jogkivonatok felügyelt identitásokon alapuló lekéréséről további információt a Jogkivonat lekérése HTTP használatával című témakörben talál.

Számítási példányból

A jogkivonatot akkor szerezheti be, ha az Azure Machine Tanulás munkaterület számítási példányát használja. A jogkivonat beszerzéséhez át kell adnia a számítási példány felügyelt identitásának ügyfél-azonosítóját és titkos kulcsát a felügyelt rendszer-identitás (MSI) végpontnak, amely helyileg van konfigurálva a számítási példányon. Lekérheti az MSI-végpontot, az ügyfélazonosítót és a titkos kódot a környezeti változókbólMSI_ENDPOINTDEFAULT_IDENTITY_CLIENT_ID, illetve MSI_SECRETazok alapján. Ezek a változók automatikusan be vannak állítva, ha engedélyezi a felügyelt identitást a számítási példányhoz.

1. Szerezze be az Azure-erőforrásvégpont management.azure.com jogkivonatát a munkaterület számítási példányából:

   export CONTROL_PLANE_TOKEN=`(curl $MSI_ENDPOINT'?api-version=2018-02-01&resource=https%3A%2F%2Fmanagement.azure.com%2F&clientid='$DEFAULT_IDENTITY_CLIENT_ID -H Metadata:true -H Secret:$MSI_SECRET -s | jq -r '.access_token' )`
   

Python

from azure.identity import DefaultAzureCredential, InteractiveBrowserCredential

try:
    credential = DefaultAzureCredential()
    # Check if given credential can get token successfully.
    access_token = credential.get_token("https://management.azure.com/.default")
    print(access_token)
except Exception as ex:
    # Fall back to InteractiveBrowserCredential in case DefaultAzureCredential not work
    # This will open a browser page for
    credential = InteractiveBrowserCredential()

További információ: Jogkivonat beszerzése az Azure Identity-ügyfélkódtár használatával.

Studio

A stúdió nem teszi közzé a Microsoft Entra-jogkivonatot.

(Nem kötelező) A Microsoft Entra-jogkivonat erőforrásvégpontjának és ügyfélazonosítójának ellenőrzése

A Microsoft Entra-jogkivonat lekérése után ellenőrizheti, hogy a jogkivonat a megfelelő Azure-erőforrásvégponthoz management.azure.com és a megfelelő ügyfél-azonosítóhoz tartozik-e a jogkivonat jwt.ms keresztül történő dekódolásával, amely json-választ ad vissza a következő információkkal:

{
    "aud": "https://management.azure.com",
    "oid": "<your-object-id>"
}

Végpont létrehozása

Az alábbi példa egy rendszer által hozzárendelt identitással (SAI) hozza létre a végpontot végponti identitásként. A végpontok felügyelt identitásának alapértelmezett identitástípusa az SAI. A rendszer automatikusan hozzárendel néhány alapvető szerepkört az SAI-hoz. A rendszer által hozzárendelt identitás szerepkör-hozzárendeléséről további információt a végponti identitás automatikus szerepkör-hozzárendelése című témakörben talál.

Azure CLI

A parancssori felület nem követeli meg, hogy explicit módon adja meg a vezérlősík jogkivonatát. Ehelyett a parancssori felület hitelesíti Önt a bejelentkezés során, és a rendszer automatikusan lekéri és átadja Önnek a jogkivonatot.

1. Hozzon létre egy végpontdefiníciós YAML-fájlt.

   endpoint.yml:

   $schema: https://azuremlschemas.azureedge.net/latest/managedOnlineEndpoint.schema.json
   name: my-endpoint
   auth_mode: aad_token
   

2. Lecserélheti auth_modekey a kulcsok hitelesítésére vagy aml_token az Azure Machine Tanulás jogkivonat-hitelesítésre. Ebben a példában a Microsoft Entra-jogkivonat hitelesítését használjaaad_token.

   az ml online-endpoint create -f endpoint.yml
   

3. Ellenőrizze a végpont állapotát:

   az ml online-endpoint show -n my-endpoint
   

4. Ha felül szeretné bírálni auth_mode (például: ) aad_tokenegy végpont létrehozásakor, futtassa a következő kódot:

   az ml online-endpoint create -n my-endpoint --auth_mode aad_token
   

5. Ha frissíteni szeretné a meglévő végpontot, és meg szeretné adni auth_mode (például erre aad_token), futtassa a következő kódot:

   az ml online-endpoint update -n my-endpoint --set auth_mode=aad_token
   

REST

A REST API-híváshoz explicit módon meg kell adnia a vezérlősík jogkivonatát. Használja a korábban lekért vezérlősík-jogkivonatot.

1. Végpont létrehozása vagy frissítése:

   export SUBSCRIPTION_ID=<SUBSCRIPTION_ID>
   export RESOURCE_GROUP=<RESOURCE_GROUP>
   export WORKSPACE=<AML_WORKSPACE_NAME>
   export ENDPOINT_NAME=<ENDPOINT_NAME>
   export LOCATION=<LOCATION_NAME>
   export API_VERSION=2023-04-01
   
   response=$(curl --location --request PUT "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
   --header "Content-Type: application/json" \
   --header "Authorization: Bearer $CONTROL_PLANE_TOKEN" \
   --data-raw "{
       \"identity\": {
          \"type\": \"systemAssigned\"
       },
       \"properties\": {
           \"authMode\": \"AADToken\"
       },
       \"location\": \"$LOCATION\"
   }")
   
   echo $response
   

   Lecserélheti authModekey a kulcsok hitelesítésére vagy AMLToken az Azure Machine Tanulás jogkivonat-hitelesítésre. Ebben a példában a Microsoft Entra-jogkivonat hitelesítését használjaAADToken.

2. Az online végpont aktuális állapotának lekérése:

   response=$(curl --location --request GET "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
   --header "Content-Type: application/json" \
   --header "Authorization: Bearer $CONTROL_PLANE_TOKEN" \
   )
   
   echo $response
   

Python

A Python SDK nem követeli meg, hogy explicit módon adja meg a vezérlősík jogkivonatát. Ehelyett az SDK MLClient hitelesíti Önt a bejelentkezés során, és a jogkivonat automatikusan lekéri és átadja Önnek.

from azure.ai.ml import MLClient
from azure.ai.ml.entities import (
    ManagedOnlineEndpoint,
    ManagedOnlineDeployment,
    Model,
    Environment,
    CodeConfiguration,
)
from azure.identity import DefaultAzureCredential

subscription_id = "<SUBSCRIPTION_ID>"
resource_group = "<RESOURCE_GROUP>"
workspace = "<AML_WORKSPACE_NAME>"

ml_client = MLClient(
    DefaultAzureCredential(), subscription_id, resource_group, workspace
)

endpoint = ManagedOnlineEndpoint(
    name="my-endpoint",
    description="this is a sample online endpoint",
    auth_mode="aad_token",
    tags={"foo": "bar"},
)
ml_client.online_endpoints.begin_create_or_update(endpoint).result()

Lecserélheti auth_modekey a kulcsok hitelesítésére vagy aml_token az Azure Machine Tanulás jogkivonat-hitelesítésre. Ebben a példában a Microsoft Entra-jogkivonat hitelesítését használjaaad_token.

Studio

A stúdió nem követeli meg, hogy explicit módon adja meg a vezérlősík jogkivonatát, mivel a stúdió már a bejelentkezés során hitelesítené Önt, és a rendszer automatikusan lekéri és átadja a jogkivonatot.

További információ az online végpontok üzembe helyezéséről: Ml-modell üzembe helyezése online végponttal (a Studióban)

Üzembe helyezés létrehozása

Üzembe helyezés létrehozásához lásd : Ml-modell üzembe helyezése online végponttal , vagy a MODELL üzembe helyezése REST használatával online végpontként. Nincs különbség abban, hogyan hozhat létre üzembe helyezéseket a különböző hitelesítési módokhoz.

Azure CLI

Az alábbi kód egy példa az üzembe helyezés létrehozására. Az online végpontok üzembe helyezésével kapcsolatos további információkért lásd : Ml-modell üzembe helyezése online végponttal (cli-n keresztül)

1. Hozzon létre egy üzembehelyezési definíciós YAML-fájlt.

   blue-deployment.yml:

   $schema: https://azuremlschemas.azureedge.net/latest/managedOnlineDeployment.schema.json
   name: blue
   endpoint_name: my-aad-auth-endp1
   model:
     path: ../../model-1/model/
   code_configuration:
     code: ../../model-1/onlinescoring/
     scoring_script: score.py
   environment: 
     conda_file: ../../model-1/environment/conda.yml
     image: mcr.microsoft.com/azureml/openmpi4.1.0-ubuntu20.04:latest
   instance_type: Standard_DS3_v2
   instance_count: 1
   

2. Hozza létre az üzembe helyezést a YAML-fájllal. Ebben a példában állítsa be az összes forgalmat az új üzembe helyezésre.

   az ml online-deployment create -f blue-deployment.yml --all-traffic
   

REST

Az online végpontok REST használatával történő üzembe helyezéséről további információt a modell online végpontként történő üzembe helyezéséről a REST használata című témakörben talál.

Python

További információ az online végpontok üzembe helyezéséről: Ml-modell üzembe helyezése online végponttal (SDK-n keresztül)

Studio

További információ az online végpontok üzembe helyezéséről: Ml-modell üzembe helyezése online végponttal (a Studióban)

A végpont pontozási URI-jának lekérése

Azure CLI

Ha a parancssori felület használatával szeretné meghívni a végpontot, nem kell explicit módon lekérnie a pontozási URI-t, mivel a parancssori felület kezeli Az Ön számára. A parancssori felülettel azonban továbbra is lekérheti a pontozási URI-t, így más csatornákkal, például a REST API-val is használhatja.

scoringUri=$(az ml online-endpoint show -n my-endpoint --query "scoring_uri")

REST

export SUBSCRIPTION_ID=<SUBSCRIPTION_ID>
export RESOURCE_GROUP=<RESOURCE_GROUP>
export WORKSPACE=<AML_WORKSPACE_NAME>
export ENDPOINT_NAME=<ENDPOINT_NAME>
export API_VERSION=2023-04-01
response=$(curl --location --request GET "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
--header "Content-Type: application/json" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN")
scoringUri=$(echo $response | jq -r '.properties' | jq -r '.scoringUri')

echo $response
echo $scoringUri

Python

Ha a Python SDK-val szeretné meghívni a végpontot, nem kell explicit módon lekérnie a pontozási URI-t, mivel az SDK kezeli. Az SDK-val azonban továbbra is lekérheti a pontozási URI-t, így más csatornákkal, például a REST API-val is használhatja.

scoring_uri = ml_client.online_endpoints.get(name=endpoint_name).scoring_uri

Studio

Ha azt tervezi, hogy a stúdióval hívja meg a végpontot, nem kell explicit módon lekérnie a pontozási URI-t, mivel a stúdió kezeli Az Ön számára. A pontozási URI-t azonban továbbra is használhatja a studióval, hogy más csatornákkal, például a REST API-val is használhassa.

A pontozási URI a végpont lapJának Részletek lapján található.

Adatsík-műveletek kulcsának vagy jogkivonatának lekérése

Egy kulcs vagy jogkivonat adatsík-műveletekhez használható, annak ellenére, hogy a kulcs vagy a jogkivonat lekérésének folyamata vezérlősík-művelet. Más szóval egy vezérlősík-jogkivonatot használ az adatsík műveleteinek végrehajtásához később használt kulcs vagy jogkivonat lekéréséhez.

A kulcs vagy az Azure Machine Tanulás jogkivonat lekéréséhez a megfelelő szerepkört kell hozzárendelni az azt kérő felhasználói identitáshoz a vezérlősík műveleteinek engedélyezésében leírtak szerint. A felhasználói identitásnak nincs szüksége további szerepkörökre a Microsoft Entra-jogkivonat beszerzéséhez.

Azure CLI

Kulcs- vagy Azure Machine-Tanulás-jogkivonat

Ha a parancssori felület használatával kívánja meghívni a végpontot, és ha a végpont úgy van beállítva, hogy a kulcs vagy az Azure Machine Tanulás token hitelesítési módját használja (aml_token), akkor nem kell explicit módon lekérnie az adatsík-jogkivonatot, mivel a parancssori felület kezeli. A parancssori felülettel azonban továbbra is lekérheti az adatsík-jogkivonatot, így más csatornákkal, például a REST API-val is használhatja.

A kulcs vagy az Azure Machine Tanulás token (aml_token) lekéréséhez használja az az ml online-endpoint get-credentials parancsot. Ez a parancs egy JSON-dokumentumot ad vissza, amely tartalmazza a kulcsot vagy az Azure Machine Tanulás tokent.

A rendszer visszaadja a kulcsokat a primaryKey mezőkben secondaryKey . Az alábbi példa bemutatja, hogyan használhatja a paramétert --query csak az elsődleges kulcs visszaadására:

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query primaryKey)

Az Azure Machine Tanulás tokenek a accessToken következő mezőben jelennek meg:

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query accessToken)

Emellett a mezők tartalmazzák refreshAfterTimeUtc a expiryTimeUtc jogkivonat lejárati és frissítési idejét is.

Microsoft Entra-jogkivonat

A Microsoft Entra-jogkivonat (aad_token) parancssori felülettel való lekéréséhez használja az az account get-access-token parancsot. Ez a parancs egy Microsoft Entra-jogkivonatot tartalmazó JSON-dokumentumot ad vissza.

A Microsoft Entra-jogkivonat a accessToken következő mezőben lesz visszaadva:

export DATA_PLANE_TOKEN=`(az account get-access-token --resource https://ml.azure.com --query accessToken | tr -d '"')`

Megjegyzés:

• A CLI-bővítmény ml nem támogatja a Microsoft Entra-jogkivonat beszerzését. Használja az account get-access-token helyette az előző kódban leírtak szerint.
• Az adatsík-műveletek jogkivonata management.azure.coma vezérlősík műveleteihez használt jogkivonat helyett az Azure-erőforrásvégpontról ml.azure.com lesz lekérve.

REST

Kulcs- vagy Azure Machine-Tanulás-jogkivonat

A kulcs vagy az Azure Machine Tanulás jogkivonatának lekérése (aml_token):

response=$(curl -H "Content-Length: 0" --location --request POST "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME/token?api-version=$API_VERSION" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN")

export DATA_PLANE_TOKEN=$(echo $response | jq -r '.accessToken')

Microsoft Entra-jogkivonat

Azure-beli virtuális gépről

A jogkivonatot az Azure-beli virtuális gépek felügyelt identitásai alapján szerezheti be (ha a virtuális gép engedélyezi a felügyelt identitást).

1. Ha le szeretné kérni a Microsoft Entra-jogkivonatot (aad_token) az adatsík-művelethez az Azure-beli virtuális gépen felügyelt identitással, küldje el a kérést az Azure-erőforrásvégpont ml.azure.comAzure-példány metaadat-szolgáltatás (IMDS) végpontjának:

   export DATA_PLANE_TOKEN=`(curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F' -H Metadata:true -s | jq -r '.access_token' )`
   

   Tipp.

   A jogkivonat JSON-kimenetből való kinyeréséhez a jq segédprogramot használjuk példaként. Ehhez azonban bármilyen megfelelő eszközt használhat.

   A jogkivonatok felügyelt identitásokon alapuló lekéréséről további információt a Jogkivonat lekérése HTTP használatával című témakörben talál.

Számítási példányból

A jogkivonatot akkor szerezheti be, ha az Azure Machine Tanulás munkaterület számítási példányát használja. A jogkivonat beszerzéséhez át kell adnia a számítási példány felügyelt identitásának ügyfél-azonosítóját és titkos kulcsát a felügyelt rendszer-identitás (MSI) végpontnak, amely helyileg van konfigurálva a számítási példányon. Lekérheti az MSI-végpontot, az ügyfélazonosítót és a titkos kódot a környezeti változókbólMSI_ENDPOINTDEFAULT_IDENTITY_CLIENT_ID, illetve MSI_SECRETazok alapján. Ezek a változók automatikusan be vannak állítva, ha engedélyezi a felügyelt identitást a számítási példányhoz.

1. Szerezze be az Azure-erőforrásvégpont ml.azure.com jogkivonatát a munkaterület számítási példányából:

   export CONTROL_PLANE_TOKEN=`(curl $MSI_ENDPOINT'?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F&clientid='$DEFAULT_IDENTITY_CLIENT_ID -H Metadata:true -H Secret:$MSI_SECRET -s | jq -r '.access_token' )`
   

Python

Kulcs- vagy Azure Machine-Tanulás-jogkivonat

Ha a Python SDK-val szeretné meghívni a végpontot, és ha a végpont a kulcs vagy az Azure Machine Tanulás token hitelesítési módjára van beállítva (aml_token), akkor nem kell explicit módon lekérnie az adatsík-jogkivonatot, mivel az SDK kezeli. Az SDK-val azonban továbbra is lekérheti az adatsík-jogkivonatot, így más csatornákkal, például a REST API-val is használhatja.

A kulcs vagy az Azure Machine Tanulás token (aml_token) lekéréséhez használja az osztály get_keys metódusátOnlineEndpointOperations.

A kulcsok a primary_key következő mezőkben jelennek secondary_key meg:

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).primary_key

Az Azure Machine Tanulás tokenek a accessToken következő mezőben jelennek meg:

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).access_token

Emellett a mezők tartalmazzák refresh_after_time_utc a expiry_time_utc jogkivonat lejárati és frissítési idejét is.

Például a következő lekéréséhez expiry_time_utc:

print(ml_client.online_endpoints.get_keys(name=endpoint_name).expiry_time_utc)

Microsoft Entra-jogkivonat

A Microsoft Entra-jogkivonat (aad_token) SDK-val való lekéréséhez használja az Azure Identity-ügyfélkódtárat:

from azure.identity import DefaultAzureCredential, InteractiveBrowserCredential

try:
    credential = DefaultAzureCredential()
    # Check if given credential can get token successfully.
    access_token = credential.get_token("https://ml.azure.com/.default")
    print(access_token)
except Exception as ex:
    # Fall back to InteractiveBrowserCredential in case DefaultAzureCredential not work
    # This will open a browser page for
    credential = InteractiveBrowserCredential()

További információ: Jogkivonat beszerzése az Azure Identity-ügyfélkódtár használatával.

Studio

Kulcs- vagy Azure Machine-Tanulás-jogkivonat

A kulcs vagy a jogkivonat a végpont lapJának Felhasználás lapján található.

Microsoft Entra-jogkivonat

A Microsoft Entra-jogkivonat nem érhető el a studióban.

A Microsoft Entra-jogkivonat erőforrásvégpontjának és ügyfélazonosítójának ellenőrzése

Az Entra-jogkivonat lekérése után ellenőrizheti, hogy a jogkivonat a megfelelő Azure-erőforrásvégponthoz ml.azure.com és a megfelelő ügyfél-azonosítóhoz tartozik-e a jogkivonat jwt.ms keresztül történő dekódolásával, amely json-választ ad vissza az alábbi információkkal:

{
    "aud": "https://ml.azure.com",
    "oid": "<your-object-id>"
}

Adatok pontozása a kulcs vagy a jogkivonat használatával

Azure CLI

Kulcs- vagy Azure Machine-Tanulás-jogkivonat

Kulcsokkal vagy Azure Machine-Tanulás-jogkivonattal rendelkező végpontokhoz is használhatóaz ml online-endpoint invoke. A parancssori felület automatikusan kezeli a kulcsot vagy az Azure Machine Tanulás tokent, így önnek nem kell explicit módon átadnia.

az ml online-endpoint invoke -n my-endpoint -r request.json

Microsoft Entra-jogkivonat

A az ml online-endpoint invoke Végpontok Használata Microsoft Entra-jogkivonattal nem támogatott. Használja inkább a REST API-t, és használja a végpont pontozási URI-ját a végpont meghívásához.

REST

Az online végpont pontozáshoz való meghívásakor adja át a kulcsot, az Azure Machine Tanulás tokent vagy a Microsoft Entra-jogkivonatot az engedélyezési fejlécben. Az alábbi kód bemutatja, hogyan hívhatja meg az online végpontot kulcs vagy jogkivonat használatával a curl segédprogrammal:

curl --request POST "$scoringUri" --header "Authorization: Bearer $DATA_PLANE_TOKEN" --header 'Content-Type: application/json' --data @endpoints/online/model-1/sample-request.json

Python

Kulcs- vagy Azure Machine-Tanulás-jogkivonat

Az Azure Machine Tanulás SDK használata ml_client.online_endpoints.invoke() kulcs- vagy Azure Machine-Tanulás-jogkivonat esetén támogatott. Az Azure Machine Tanulás SDK használata mellett egy általános Python SDK-val is elküldheti a POST-kérelmet a pontozó URI-nak.

Microsoft Entra-jogkivonat

A Microsoft Entra-jogkivonat nem támogatja az Azure Machine Tanulás SDK használatátml_client.online_endpoints.invoke(). Ehelyett használjon egy általános Python SDK-t, vagy a REST API-val küldje el a POST-kérelmet a pontozó URI-nak.

Amikor az online végpontot pontozásra hívja meg, adja át a kulcsot vagy a jogkivonatot az engedélyezési fejlécben. Az alábbi kód bemutatja, hogyan hívhatja meg az online végpontot egy kulcs vagy jogkivonat használatával egy általános Python SDK-val. A kódban cserélje le a változót a api_key kulcsra vagy a jogkivonatra.

import urllib.request
import json
import os

data = {"data": [
    [1,2,3,4,5,6,7,8,9,10], 
    [10,9,8,7,6,5,4,3,2,1]
]}

body = str.encode(json.dumps(data))

url = '<scoring URI as retrieved earlier>'
api_key = '<key or token as retrieved earlier>'
headers = {'Content-Type':'application/json', 'Authorization':('Bearer '+ api_key)}

req = urllib.request.Request(url, body, headers)

try:
    response = urllib.request.urlopen(req)

    result = response.read()
    print(result)
except urllib.error.HTTPError as error:
    print("The request failed with status code: " + str(error.code))

    # Print the headers - they include the requert ID and the timestamp, which are useful for debugging the failure
    print(error.info())
    print(error.read().decode("utf8", 'ignore'))

Studio

Kulcs- vagy Azure Machine-Tanulás-jogkivonat

Az üzembe helyezés részletes lapjának Teszt lapja támogatja a kulcs- vagy Azure Machine-Tanulás-jogkivonat-hitelesítéssel rendelkező végpontok pontozását.

Microsoft Entra-jogkivonat

Az üzemelő példány részletes lapjának Teszt lapja nem támogatja a Microsoft Entra-jogkivonat hitelesítésével rendelkező végpontok pontozását.

Forgalom naplózása és figyelése

Ha engedélyezni szeretné a forgalomnaplózást a végpont diagnosztikai beállításaiban, kövesse a naplók engedélyezésének/letiltásának lépéseit.

Ha a diagnosztikai beállítás engedélyezve van, a táblában megtekintheti a AmlOnlineEndpointTrafficLogs hitelesítési módot és a felhasználói identitást.

Kapcsolódó tartalom

• Hitelesítés felügyelt online végponthoz
• Gépi tanulási modell üzembe helyezése online végpont használatával
• Hálózati elkülönítés engedélyezése felügyelt online végpontokhoz