Uwierzytelnianie klientów dla punktów końcowych online

DOTYCZY: Rozszerzenie interfejsu wiersza polecenia platformy Azure w wersji 2 (current)Zestaw PYTHON SDK azure-ai-ml v2 (bieżąca)

W tym artykule opisano sposób uwierzytelniania klientów w celu wykonywania operacji płaszczyzny sterowania i płaszczyzny danych w punktach końcowych online.

Operacja płaszczyzny sterowania kontroluje punkt końcowy i zmienia go. Operacje płaszczyzny sterowania obejmują operacje tworzenia, odczytu, aktualizacji i usuwania (CRUD) w punktach końcowych online i wdrożeniach online.

Operacja płaszczyzny danych używa danych do interakcji z punktem końcowym online bez zmiany punktu końcowego. Na przykład operacja płaszczyzny danych może składać się z wysyłania żądania oceniania do punktu końcowego online i uzyskiwania odpowiedzi.

Wymagania wstępne

Przed wykonaniem kroków opisanych w tym artykule upewnij się, że masz następujące wymagania wstępne:

• Obszar roboczy usługi Azure Machine Learning. Jeśli go nie masz, wykonaj kroki opisane w artykule Szybki start: tworzenie zasobów obszaru roboczego, aby je utworzyć.

• Interfejs wiersza polecenia platformy ml Azure i rozszerzenie lub zestaw Azure Machine Edukacja python SDK w wersji 2:

  • Aby zainstalować interfejs wiersza polecenia platformy Azure i rozszerzenie, zobacz Instalowanie, konfigurowanie i używanie interfejsu wiersza polecenia (wersja 2).

    Ważne

    W przykładach interfejsu wiersza polecenia w tym artykule założono, że używasz powłoki Bash (lub zgodnej). Na przykład z systemu Linux lub Podsystem Windows dla systemu Linux.

  • Aby zainstalować zestaw PYTHON SDK w wersji 2, użyj następującego polecenia:

    pip install azure-ai-ml azure-identity
    

    Aby zaktualizować istniejącą instalację zestawu SDK do najnowszej wersji, użyj następującego polecenia:

    pip install --upgrade azure-ai-ml azure-identity
    

    Aby uzyskać więcej informacji, zobacz Install the Python SDK v2 for Azure Machine Edukacja (Instalowanie zestawu SDK języka Python w wersji 2 dla usługi Azure Machine Edukacja).

Ograniczenia

Punkty końcowe z tokenem entra firmy Microsoft (aad_token) nie obsługują oceniania przy użyciu interfejsu wiersza poleceniaaz ml online-endpoint invoke, zestawu SDK ml_client.online_endpoints.invoke()lub kart Test lub Korzystanie z usługi Azure Machine Edukacja Studio. Zamiast tego użyj ogólnego zestawu SDK języka Python lub użyj interfejsu API REST, aby przekazać token płaszczyzny sterowania. Aby uzyskać więcej informacji, zobacz Score data using the key or token (Ocenianie danych przy użyciu klucza lub tokenu).

Przygotowywanie tożsamości użytkownika

Tożsamość użytkownika jest potrzebna do wykonywania operacji płaszczyzny sterowania (czyli operacji CRUD) i operacji płaszczyzny danych (czyli wysyłania żądań oceniania) w punkcie końcowym online. W przypadku operacji płaszczyzny sterowania i płaszczyzny danych można użyć tej samej tożsamości użytkownika lub różnych tożsamości użytkowników. W tym artykule używasz tej samej tożsamości użytkownika zarówno dla operacji płaszczyzny sterowania, jak i płaszczyzny danych.

Aby utworzyć tożsamość użytkownika w obszarze Microsoft Entra ID, zobacz Konfigurowanie uwierzytelniania. Później będzie potrzebny identyfikator tożsamości.

Przypisywanie uprawnień do tożsamości

W tej sekcji przypiszesz uprawnienia do tożsamości użytkownika używanej do interakcji z punktem końcowym. Zaczynasz od użycia wbudowanej roli lub przez utworzenie roli niestandardowej. Następnie przypiszesz rolę do tożsamości użytkownika.

Używanie wbudowanej roli

Wbudowana AzureML Data Scientistrola może służyć do zarządzania punktami końcowymi i wdrożeniami oraz używania ich oraz używania symboli wieloznacznych w celu uwzględnienia następujących akcji kontroli RBAC płaszczyzny sterowania:

• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/write
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/delete
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/read
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/token/action
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/listKeys/action
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/regenerateKeys/action

i uwzględnić następującą akcję kontroli dostępu opartej na rolach płaszczyzny danych:

• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/score/action

Opcjonalnie wbudowana Azure Machine Learning Workspace Connection Secrets Reader rola może służyć do uzyskiwania dostępu do wpisów tajnych z połączeń obszaru roboczego i obejmuje następujące akcje kontroli RBAC płaszczyzny sterowania:

• Microsoft.MachineLearningServices/workspaces/connections/listsecrets/action
• Microsoft.MachineLearningServices/workspaces/metadata/secrets/read

Jeśli używasz tych wbudowanych ról, w tym kroku nie jest wymagana żadna akcja.

(Opcjonalnie) Tworzenie roli niestandardowej

Ten krok można pominąć, jeśli używasz wbudowanych ról lub innych wstępnie utworzonych ról niestandardowych.

1. Zdefiniuj zakres i akcje dla ról niestandardowych, tworząc definicje JSON ról. Na przykład poniższa definicja roli umożliwia użytkownikowi cruD punkt końcowy online w ramach określonego obszaru roboczego.

   custom-role-for-control-plane.json:

   {
       "Name": "Custom role for control plane operations - online endpoint",
       "IsCustom": true,
       "Description": "Can CRUD against online endpoints.",
       "Actions": [
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/write",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/delete",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/read",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/token/action",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/listKeys/action",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/regenerateKeys/action"
       ],
       "NotActions": [
       ],
       "AssignableScopes": [
           "/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>"
       ]
   }
   

   Poniższa definicja roli umożliwia użytkownikowi wysyłanie żądań oceniania do punktu końcowego online w określonym obszarze roboczym.

   custom-role-for-scoring.json:

   {
       "Name": "Custom role for scoring - online endpoint",
       "IsCustom": true,
       "Description": "Can score against online endpoints.",
       "Actions": [
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/*/action"
       ],
       "NotActions": [
       ],
       "AssignableScopes": [
           "/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>"
       ]
   }
   

2. Użyj definicji JSON, aby utworzyć role niestandardowe:

   az role definition create --role-definition custom-role-for-control-plane.json --subscription <subscriptionId>
   
   az role definition create --role-definition custom-role-for-scoring.json --subscription <subscriptionId>
   

   Uwaga

   Aby utworzyć role niestandardowe, potrzebujesz jednej z trzech ról:

   • owner
   • administrator dostępu użytkowników
   • rola niestandardowa z Microsoft.Authorization/roleDefinitions/write uprawnieniem (aby utworzyć/zaktualizować/usunąć role niestandardowe) i Microsoft.Authorization/roleDefinitions/read uprawnienie (aby wyświetlić role niestandardowe).

   Aby uzyskać więcej informacji na temat tworzenia ról niestandardowych, zobacz Role niestandardowe platformy Azure.

3. Sprawdź definicję roli:

   az role definition list --custom-role-only -o table
   
   az role definition list -n "Custom role for control plane operations - online endpoint"
   az role definition list -n "Custom role for scoring - online endpoint"
   
   export role_definition_id1=`(az role definition list -n "Custom role for control plane operations - online endpoint" --query "[0].id" | tr -d '"')`
   
   export role_definition_id2=`(az role definition list -n "Custom role for scoring - online endpoint" --query "[0].id" | tr -d '"')`
   

Przypisywanie roli do tożsamości

1. Jeśli używasz wbudowanej roli, użyj następującego AzureML Data Scientist kodu, aby przypisać rolę do tożsamości użytkownika.

   az role assignment create --assignee <identityId> --role "AzureML Data Scientist" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   

2. Opcjonalnie, jeśli używasz wbudowanej roli, użyj następującego Azure Machine Learning Workspace Connection Secrets Reader kodu, aby przypisać rolę do tożsamości użytkownika.

   az role assignment create --assignee <identityId> --role "Azure Machine Learning Workspace Connection Secrets Reader" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   

3. Jeśli używasz roli niestandardowej, użyj następującego kodu, aby przypisać rolę do tożsamości użytkownika.

   az role assignment create --assignee <identityId> --role "Custom role for control plane operations - online endpoint" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   
   az role assignment create --assignee <identityId> --role "Custom role for scoring - online endpoint" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   

   Uwaga

   Aby przypisać role niestandardowe do tożsamości użytkownika, potrzebujesz jednej z trzech ról:

   • owner
   • administrator dostępu użytkowników
   • rola niestandardowa, która zezwala na Microsoft.Authorization/roleAssignments/write uprawnienia (do przypisywania ról niestandardowych) i Microsoft.Authorization/roleAssignments/read (w celu wyświetlania przypisań ról).

   Aby uzyskać więcej informacji na temat różnych ról platformy Azure i ich uprawnień, zobacz Role platformy Azure i Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal.

4. Potwierdź przypisanie roli:

   az role assignment list --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   

Uzyskiwanie tokenu Microsoft Entra dla operacji płaszczyzny sterowania

Wykonaj ten krok , jeśli planujesz wykonywać operacje płaszczyzny sterowania za pomocą interfejsu API REST, który będzie bezpośrednio używać tokenu.

Jeśli planujesz używać innych sposobów, takich jak interfejs wiersza polecenia usługi Azure Machine Edukacja (wersja 2), zestaw PYTHON SDK (wersja 2) lub program Azure Machine Edukacja Studio, nie musisz ręcznie pobierać tokenu firmy Microsoft Entra. Zamiast tego podczas logowania tożsamość użytkownika zostałaby już uwierzytelniona, a token zostanie automatycznie pobrany i przekazany.

Token entra firmy Microsoft dla operacji płaszczyzny sterowania można pobrać z punktu końcowego zasobu platformy Azure: https://management.azure.com.

Interfejs wiersza polecenia platformy Azure

1. Zaloguj się do Azure.

   az login
   

2. Jeśli chcesz użyć określonej tożsamości, użyj następującego kodu, aby zalogować się przy użyciu tożsamości:

   az login --identity --username <identityId>
   

3. Użyj tego kontekstu, aby uzyskać token.

   export CONTROL_PLANE_TOKEN=`(az account get-access-token --resource https://management.azure.com --query accessToken | tr -d '"')`
   

REST

Z maszyny wirtualnej platformy Azure

Token można uzyskać na podstawie tożsamości zarządzanej dla maszyny wirtualnej platformy Azure (gdy maszyna wirtualna włącza tożsamość zarządzaną).

1. Aby uzyskać token entra firmy Microsoft (aad_token) dla operacji płaszczyzny sterowania na maszynie wirtualnej platformy Azure, prześlij żądanie do punktu końcowego usługi Azure Instance Metadata Service (IMDS) dla punktu końcowego management.azure.comzasobu platformy Azure:

   export CONTROL_PLANE_TOKEN=`(curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fmanagement.azure.com%2F' -H Metadata:true -s | jq -r '.access_token' )`
   

   Napiwek

   Aby wyodrębnić token z danych wyjściowych JSON, jq narzędzie jest używane jako przykład. Jednak w tym celu można użyć dowolnego odpowiedniego narzędzia.

   Aby uzyskać więcej informacji na temat uzyskiwania tokenów opartych na tożsamościach zarządzanych, zobacz Uzyskiwanie tokenu przy użyciu protokołu HTTP.

Z wystąpienia obliczeniowego

Jeśli używasz wystąpienia obliczeniowego obszaru roboczego usługi Azure Machine Edukacja, możesz uzyskać token. Aby uzyskać token, należy przekazać identyfikator klienta i wpis tajny tożsamości zarządzanej wystąpienia obliczeniowego do punktu końcowego tożsamości systemu zarządzanego (MSI), który jest skonfigurowany lokalnie w wystąpieniu obliczeniowym. Punkt końcowy msi, identyfikator klienta i wpis tajny można pobrać odpowiednio ze zmiennych MSI_ENDPOINTśrodowiskowych , DEFAULT_IDENTITY_CLIENT_IDi MSI_SECRET. Te zmienne są ustawiane automatycznie, jeśli włączysz tożsamość zarządzaną dla wystąpienia obliczeniowego.

1. Pobierz token punktu końcowego management.azure.com zasobu platformy Azure z wystąpienia obliczeniowego obszaru roboczego:

   export CONTROL_PLANE_TOKEN=`(curl $MSI_ENDPOINT'?api-version=2018-02-01&resource=https%3A%2F%2Fmanagement.azure.com%2F&clientid='$DEFAULT_IDENTITY_CLIENT_ID -H Metadata:true -H Secret:$MSI_SECRET -s | jq -r '.access_token' )`
   

Python

from azure.identity import DefaultAzureCredential, InteractiveBrowserCredential

try:
    credential = DefaultAzureCredential()
    # Check if given credential can get token successfully.
    access_token = credential.get_token("https://management.azure.com/.default")
    print(access_token)
except Exception as ex:
    # Fall back to InteractiveBrowserCredential in case DefaultAzureCredential not work
    # This will open a browser page for
    credential = InteractiveBrowserCredential()

Aby uzyskać więcej informacji, zobacz Uzyskiwanie tokenu przy użyciu biblioteki klienta tożsamości platformy Azure.

Studio

Studio nie uwidacznia tokenu Microsoft Entra.

(Opcjonalnie) Weryfikowanie punktu końcowego zasobu i identyfikatora klienta dla tokenu entra firmy Microsoft

Po pobraniu tokenu Firmy Microsoft Entra możesz sprawdzić, czy token jest odpowiedni dla odpowiedniego punktu końcowego management.azure.com zasobu platformy Azure i odpowiedniego identyfikatora klienta, dekodując token za pośrednictwem jwt.ms, co spowoduje zwrócenie odpowiedzi json z następującymi informacjami:

{
    "aud": "https://management.azure.com",
    "oid": "<your-object-id>"
}

Tworzenie punktu końcowego

Poniższy przykład tworzy punkt końcowy z tożsamością przypisaną przez system (SAI) jako tożsamością punktu końcowego. Sai jest domyślnym typem tożsamości zarządzanej dla punktów końcowych. Niektóre podstawowe role są automatycznie przypisywane dla sai. Aby uzyskać więcej informacji na temat przypisywania roli dla tożsamości przypisanej przez system, zobacz Automatyczne przypisywanie roli dla tożsamości punktu końcowego.

Interfejs wiersza polecenia platformy Azure

Interfejs wiersza polecenia nie wymaga jawnego podania tokenu płaszczyzny sterowania. Zamiast tego interfejs wiersza polecenia uwierzytelnia Cię podczas logowania, a token jest automatycznie pobierany i przekazywany.

1. Utwórz plik YAML definicji punktu końcowego.

   endpoint.yml:

   $schema: https://azuremlschemas.azureedge.net/latest/managedOnlineEndpoint.schema.json
   name: my-endpoint
   auth_mode: aad_token
   

2. Możesz zastąpić auth_mode ciąg ciągiem key dla uwierzytelniania klucza lub aml_token uwierzytelniania tokenu usługi Azure Machine Edukacja. W tym przykładzie używasz aad_token uwierzytelniania tokenu Entra firmy Microsoft.

   az ml online-endpoint create -f endpoint.yml
   

3. Sprawdź stan punktu końcowego:

   az ml online-endpoint show -n my-endpoint
   

4. Jeśli chcesz przesłonić auth_mode (na przykład do aad_token) podczas tworzenia punktu końcowego, uruchom następujący kod:

   az ml online-endpoint create -n my-endpoint --auth_mode aad_token
   

5. Jeśli chcesz zaktualizować istniejący punkt końcowy i określić auth_mode (na przykład do aad_token), uruchom następujący kod:

   az ml online-endpoint update -n my-endpoint --set auth_mode=aad_token
   

REST

Wywołanie interfejsu API REST wymaga jawnego podania tokenu płaszczyzny sterowania. Użyj pobranego wcześniej tokenu płaszczyzny sterowania.

1. Tworzenie lub aktualizowanie punktu końcowego:

   export SUBSCRIPTION_ID=<SUBSCRIPTION_ID>
   export RESOURCE_GROUP=<RESOURCE_GROUP>
   export WORKSPACE=<AML_WORKSPACE_NAME>
   export ENDPOINT_NAME=<ENDPOINT_NAME>
   export LOCATION=<LOCATION_NAME>
   export API_VERSION=2023-04-01
   
   response=$(curl --location --request PUT "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
   --header "Content-Type: application/json" \
   --header "Authorization: Bearer $CONTROL_PLANE_TOKEN" \
   --data-raw "{
       \"identity\": {
          \"type\": \"systemAssigned\"
       },
       \"properties\": {
           \"authMode\": \"AADToken\"
       },
       \"location\": \"$LOCATION\"
   }")
   
   echo $response
   

   Możesz zastąpić authMode ciąg ciągiem key dla uwierzytelniania klucza lub AMLToken uwierzytelniania tokenu usługi Azure Machine Edukacja. W tym przykładzie używasz AADToken uwierzytelniania tokenu Entra firmy Microsoft.

2. Uzyskaj bieżący stan punktu końcowego online:

   response=$(curl --location --request GET "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
   --header "Content-Type: application/json" \
   --header "Authorization: Bearer $CONTROL_PLANE_TOKEN" \
   )
   
   echo $response
   

Python

Zestaw SDK języka Python nie wymaga jawnego udostępnienia tokenu płaszczyzny sterowania. Zamiast tego zestaw SDK MLClient uwierzytelnia Cię podczas logowania, a token jest automatycznie pobierany i przekazywany.

from azure.ai.ml import MLClient
from azure.ai.ml.entities import (
    ManagedOnlineEndpoint,
    ManagedOnlineDeployment,
    Model,
    Environment,
    CodeConfiguration,
)
from azure.identity import DefaultAzureCredential

subscription_id = "<SUBSCRIPTION_ID>"
resource_group = "<RESOURCE_GROUP>"
workspace = "<AML_WORKSPACE_NAME>"

ml_client = MLClient(
    DefaultAzureCredential(), subscription_id, resource_group, workspace
)

endpoint = ManagedOnlineEndpoint(
    name="my-endpoint",
    description="this is a sample online endpoint",
    auth_mode="aad_token",
    tags={"foo": "bar"},
)
ml_client.online_endpoints.begin_create_or_update(endpoint).result()

Możesz zastąpić auth_mode ciąg ciągiem key dla uwierzytelniania klucza lub aml_token uwierzytelniania tokenu usługi Azure Machine Edukacja. W tym przykładzie używasz aad_token uwierzytelniania tokenu Entra firmy Microsoft.

Studio

Studio nie wymaga jawnego podania tokenu płaszczyzny sterowania, ponieważ studio będzie już uwierzytelniać cię podczas logowania, a token zostanie automatycznie pobrany i przekazany.

Aby uzyskać więcej informacji na temat wdrażania punktów końcowych online, zobacz Wdrażanie modelu uczenia maszynowego przy użyciu punktu końcowego online (za pośrednictwem programu Studio)

Tworzenie wdrożenia

Aby utworzyć wdrożenie, zobacz Deploy an ML model with an online endpoint (Wdrażanie modelu uczenia maszynowego przy użyciu punktu końcowego online) lub Use REST to deploy an model as an online endpoint (Wdrażanie modelu uczenia maszynowego przy użyciu punktu końcowego online) lub Use REST to deploy an model as an online endpoint (Wdrażanie modelu w trybie online). Nie ma różnicy w sposobie tworzenia wdrożeń dla różnych trybów uwierzytelniania.

Interfejs wiersza polecenia platformy Azure

Poniższy kod to przykład tworzenia wdrożenia. Aby uzyskać więcej informacji na temat wdrażania punktów końcowych online, zobacz Wdrażanie modelu uczenia maszynowego przy użyciu punktu końcowego online (za pośrednictwem interfejsu wiersza polecenia)

1. Utwórz plik YAML definicji wdrożenia.

   blue-deployment.yml:

   $schema: https://azuremlschemas.azureedge.net/latest/managedOnlineDeployment.schema.json
   name: blue
   endpoint_name: my-aad-auth-endp1
   model:
     path: ../../model-1/model/
   code_configuration:
     code: ../../model-1/onlinescoring/
     scoring_script: score.py
   environment: 
     conda_file: ../../model-1/environment/conda.yml
     image: mcr.microsoft.com/azureml/openmpi4.1.0-ubuntu20.04:latest
   instance_type: Standard_DS3_v2
   instance_count: 1
   

2. Utwórz wdrożenie przy użyciu pliku YAML. W tym przykładzie ustaw cały ruch na nowe wdrożenie.

   az ml online-deployment create -f blue-deployment.yml --all-traffic
   

REST

Aby uzyskać więcej informacji na temat wdrażania punktów końcowych online przy użyciu interfejsu REST, zobacz Wdrażanie modelu jako punktu końcowego online przy użyciu interfejsu REST.

Python

Aby uzyskać więcej informacji na temat wdrażania punktów końcowych online, zobacz Wdrażanie modelu uczenia maszynowego przy użyciu punktu końcowego online (za pośrednictwem zestawu SDK)

Studio

Aby uzyskać więcej informacji na temat wdrażania punktów końcowych online, zobacz Wdrażanie modelu uczenia maszynowego przy użyciu punktu końcowego online (za pośrednictwem programu Studio)

Uzyskiwanie identyfikatora URI oceniania dla punktu końcowego

Interfejs wiersza polecenia platformy Azure

Jeśli planujesz wywołać punkt końcowy przy użyciu interfejsu wiersza polecenia, nie musisz jawnie uzyskać identyfikatora URI oceniania, ponieważ interfejs wiersza polecenia obsługuje go za Ciebie. Jednak nadal możesz użyć interfejsu wiersza polecenia, aby uzyskać identyfikator URI oceniania, aby można było go używać z innymi kanałami, takimi jak interfejs API REST.

scoringUri=$(az ml online-endpoint show -n my-endpoint --query "scoring_uri")

REST

export SUBSCRIPTION_ID=<SUBSCRIPTION_ID>
export RESOURCE_GROUP=<RESOURCE_GROUP>
export WORKSPACE=<AML_WORKSPACE_NAME>
export ENDPOINT_NAME=<ENDPOINT_NAME>
export API_VERSION=2023-04-01
response=$(curl --location --request GET "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
--header "Content-Type: application/json" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN")
scoringUri=$(echo $response | jq -r '.properties' | jq -r '.scoringUri')

echo $response
echo $scoringUri

Python

Jeśli planujesz wywołać punkt końcowy przy użyciu zestawu SDK języka Python, nie musisz jawnie uzyskać identyfikatora URI oceniania, ponieważ zestaw SDK obsługuje go za Ciebie. Jednak nadal możesz użyć zestawu SDK, aby uzyskać identyfikator URI oceniania, aby można było go używać z innymi kanałami, takimi jak interfejs API REST.

scoring_uri = ml_client.online_endpoints.get(name=endpoint_name).scoring_uri

Studio

Jeśli planujesz wywołać punkt końcowy za pomocą programu Studio, nie musisz jawnie pobierać identyfikatora URI oceniania, ponieważ studio je obsługuje. Jednak nadal możesz użyć programu Studio, aby uzyskać identyfikator URI oceniania, aby można było go używać z innymi kanałami, takimi jak interfejs API REST.

Identyfikator URI oceniania można znaleźć na karcie Szczegóły na stronie punktu końcowego.

Pobieranie klucza lub tokenu dla operacji płaszczyzny danych

Klucz lub token może służyć do operacji płaszczyzny danych, mimo że proces pobierania klucza lub tokenu jest operacją płaszczyzny sterowania. Innymi słowy, używasz tokenu płaszczyzny sterowania, aby uzyskać klucz lub token, którego później używasz do wykonywania operacji płaszczyzny danych.

Uzyskanie klucza lub tokenu usługi Azure Machine Edukacja wymaga, aby prawidłowa rola została przypisana do żądanej tożsamości użytkownika, zgodnie z opisem w temacie Autoryzacja dla operacji płaszczyzny sterowania. Tożsamość użytkownika nie wymaga żadnych dodatkowych ról, aby uzyskać token Entra firmy Microsoft.

Interfejs wiersza polecenia platformy Azure

Token Edukacja klucza lub maszyny platformy Azure

Jeśli planujesz wywołać punkt końcowy przy użyciu interfejsu wiersza polecenia, a jeśli punkt końcowy jest skonfigurowany do korzystania z trybu uwierzytelniania klucza lub tokenu usługi Azure Machine Edukacja (aml_token), nie musisz jawnie pobierać tokenu płaszczyzny danych, ponieważ interfejs wiersza polecenia obsługuje go za Ciebie. Jednak nadal możesz użyć interfejsu wiersza polecenia, aby uzyskać token płaszczyzny danych, aby można było go używać z innymi kanałami, takimi jak interfejs API REST.

Aby uzyskać klucz lub token usługi Azure Machine Edukacja (aml_token), użyj polecenia az ml online-endpoint get-credentials. To polecenie zwraca dokument JSON zawierający klucz lub token usługi Azure Machine Edukacja.

Klucze są zwracane w polach primaryKey i secondaryKey . W poniższym przykładzie pokazano, jak użyć parametru --query w celu zwrócenia tylko klucza podstawowego:

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query primaryKey)

Tokeny usługi Azure Machine Edukacja są zwracane w accessToken polu:

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query accessToken)

expiryTimeUtc Ponadto pola i refreshAfterTimeUtc zawierają czas wygaśnięcia i odświeżania tokenu.

Token firmy Microsoft Entra

Aby uzyskać token entra firmy Microsoft (aad_token) przy użyciu interfejsu wiersza polecenia, użyj polecenia az account get-access-token . To polecenie zwraca dokument JSON zawierający token Microsoft Entra.

Token Entra firmy Microsoft jest zwracany w accessToken polu:

export DATA_PLANE_TOKEN=`(az account get-access-token --resource https://ml.azure.com --query accessToken | tr -d '"')`

Uwaga

• Rozszerzenie interfejsu wiersza polecenia ml nie obsługuje pobierania tokenu Firmy Microsoft Entra. Zamiast tego użyj polecenia az account get-access-token , zgodnie z opisem w poprzednim kodzie.
• Token operacji płaszczyzny danych jest pobierany z punktu końcowego ml.azure.com zasobów platformy Azure zamiast management.azure.com, w przeciwieństwie do tokenu dla operacji płaszczyzny sterowania.

REST

Token Edukacja klucza lub maszyny platformy Azure

Aby uzyskać klucz lub token usługi Azure Machine Edukacja (aml_token):

response=$(curl -H "Content-Length: 0" --location --request POST "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME/token?api-version=$API_VERSION" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN")

export DATA_PLANE_TOKEN=$(echo $response | jq -r '.accessToken')

Token firmy Microsoft Entra

Z maszyny wirtualnej platformy Azure

Token można uzyskać na podstawie tożsamości zarządzanych dla maszyny wirtualnej platformy Azure (gdy maszyna wirtualna włącza tożsamość zarządzaną).

1. Aby uzyskać token entra firmy Microsoft (aad_token) dla operacji płaszczyzny danych na maszynie wirtualnej platformy Azure z tożsamością zarządzaną, prześlij żądanie do punktu końcowego usługi Azure Instance Metadata Service (IMDS) dla punktu końcowego ml.azure.comzasobu platformy Azure:

   export DATA_PLANE_TOKEN=`(curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F' -H Metadata:true -s | jq -r '.access_token' )`
   

   Napiwek

   Aby wyodrębnić token z danych wyjściowych JSON, jq narzędzie jest używane jako przykład. Jednak w tym celu można użyć dowolnego odpowiedniego narzędzia.

   Aby uzyskać więcej informacji na temat uzyskiwania tokenów opartych na tożsamościach zarządzanych, zobacz Uzyskiwanie tokenu przy użyciu protokołu HTTP.

Z wystąpienia obliczeniowego

Jeśli używasz wystąpienia obliczeniowego obszaru roboczego usługi Azure Machine Edukacja, możesz uzyskać token. Aby uzyskać token, należy przekazać identyfikator klienta i wpis tajny tożsamości zarządzanej wystąpienia obliczeniowego do punktu końcowego tożsamości systemu zarządzanego (MSI), który jest skonfigurowany lokalnie w wystąpieniu obliczeniowym. Punkt końcowy msi, identyfikator klienta i wpis tajny można pobrać odpowiednio ze zmiennych MSI_ENDPOINTśrodowiskowych , DEFAULT_IDENTITY_CLIENT_IDi MSI_SECRET. Te zmienne są ustawiane automatycznie, jeśli włączysz tożsamość zarządzaną dla wystąpienia obliczeniowego.

1. Pobierz token punktu końcowego ml.azure.com zasobu platformy Azure z wystąpienia obliczeniowego obszaru roboczego:

   export CONTROL_PLANE_TOKEN=`(curl $MSI_ENDPOINT'?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F&clientid='$DEFAULT_IDENTITY_CLIENT_ID -H Metadata:true -H Secret:$MSI_SECRET -s | jq -r '.access_token' )`
   

Python

Token Edukacja klucza lub maszyny platformy Azure

Jeśli planujesz wywołanie punktu końcowego przy użyciu zestawu SDK języka Python, a punkt końcowy ma używać trybu uwierzytelniania klucza lub tokenu usługi Azure Machine Edukacja (aml_token), nie musisz jawnie pobierać tokenu płaszczyzny danych, ponieważ zestaw SDK obsługuje go za Ciebie. Można jednak nadal używać zestawu SDK do pobierania tokenu płaszczyzny danych, aby można było go używać z innymi kanałami, takimi jak interfejs API REST.

Aby uzyskać klucz lub token usługi Azure Machine Edukacja (aml_token), użyj metody get_keys w OnlineEndpointOperations klasie .

Klucze są zwracane w polach primary_key i secondary_key :

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).primary_key

Tokeny usługi Azure Machine Edukacja są zwracane w accessToken polu:

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).access_token

expiry_time_utc Ponadto pola i refresh_after_time_utc zawierają czas wygaśnięcia i odświeżania tokenu.

Aby na przykład pobrać element expiry_time_utc:

print(ml_client.online_endpoints.get_keys(name=endpoint_name).expiry_time_utc)

Token firmy Microsoft Entra

Aby uzyskać token entra firmy Microsoft (aad_token) przy użyciu zestawu SDK, użyj biblioteki klienta tożsamości platformy Azure:

from azure.identity import DefaultAzureCredential, InteractiveBrowserCredential

try:
    credential = DefaultAzureCredential()
    # Check if given credential can get token successfully.
    access_token = credential.get_token("https://ml.azure.com/.default")
    print(access_token)
except Exception as ex:
    # Fall back to InteractiveBrowserCredential in case DefaultAzureCredential not work
    # This will open a browser page for
    credential = InteractiveBrowserCredential()

Aby uzyskać więcej informacji, zobacz Uzyskiwanie tokenu przy użyciu biblioteki klienta tożsamości platformy Azure.

Studio

Token Edukacja klucza lub maszyny platformy Azure

Klucz lub token można znaleźć na karcie Użycie na stronie punktu końcowego.

Token firmy Microsoft Entra

Token Microsoft Entra nie jest uwidoczniony w studio.

Weryfikowanie punktu końcowego zasobu i identyfikatora klienta tokenu entra firmy Microsoft

Po otrzymaniu tokenu Entra możesz sprawdzić, czy token jest odpowiedni dla odpowiedniego punktu końcowego ml.azure.com zasobu platformy Azure i odpowiedniego identyfikatora klienta, dekodując token za pośrednictwem jwt.ms, co spowoduje zwrócenie odpowiedzi json z następującymi informacjami:

{
    "aud": "https://ml.azure.com",
    "oid": "<your-object-id>"
}

Ocenianie danych przy użyciu klucza lub tokenu

Interfejs wiersza polecenia platformy Azure

Token Edukacja klucza lub maszyny platformy Azure

Możesz użyć dla az ml online-endpoint invoke punktów końcowych z kluczem lub tokenem usługi Azure Machine Edukacja. Interfejs wiersza polecenia automatycznie obsługuje klucz lub token usługi Azure Machine Edukacja, aby nie trzeba było go jawnie przekazywać.

az ml online-endpoint invoke -n my-endpoint -r request.json

Token firmy Microsoft Entra

Używanie dla az ml online-endpoint invoke punktów końcowych z tokenem Entra firmy Microsoft nie jest obsługiwane. Zamiast tego użyj interfejsu API REST i użyj identyfikatora URI oceniania punktu końcowego, aby wywołać punkt końcowy.

REST

Podczas wywoływania punktu końcowego online do oceniania przekaż klucz, token usługi Azure Machine Edukacja lub token Microsoft Entra w nagłówku autoryzacji. Poniższy kod pokazuje, jak używać narzędzia curl do wywoływania punktu końcowego online przy użyciu klucza lub tokenu:

curl --request POST "$scoringUri" --header "Authorization: Bearer $DATA_PLANE_TOKEN" --header 'Content-Type: application/json' --data @endpoints/online/model-1/sample-request.json

Python

Token Edukacja klucza lub maszyny platformy Azure

Zestaw AZURE Machine Edukacja SDK using ml_client.online_endpoints.invoke() jest obsługiwany dla klucza lub tokenu usługi Azure Machine Edukacja. Oprócz korzystania z zestawu AZURE Machine Edukacja SDK można również użyć ogólnego zestawu SDK języka Python do wysłania żądania POST do identyfikatora URI oceniania.

Token firmy Microsoft Entra

Zestaw SDK usługi Azure Machine Edukacja przy użyciu ml_client.online_endpoints.invoke() nie jest obsługiwany dla tokenu Entra firmy Microsoft. Zamiast tego użyj ogólnego zestawu SDK języka Python lub użyj interfejsu API REST, aby wysłać żądanie POST do identyfikatora URI oceniania.

Podczas wywoływania punktu końcowego online do oceniania przekaż klucz lub token w nagłówku autoryzacji. Poniższy kod pokazuje, jak wywołać punkt końcowy online przy użyciu klucza lub tokenu z ogólnym zestawem SDK języka Python. W kodzie zastąp zmienną api_key kluczem lub tokenem.

import urllib.request
import json
import os

data = {"data": [
    [1,2,3,4,5,6,7,8,9,10], 
    [10,9,8,7,6,5,4,3,2,1]
]}

body = str.encode(json.dumps(data))

url = '<scoring URI as retrieved earlier>'
api_key = '<key or token as retrieved earlier>'
headers = {'Content-Type':'application/json', 'Authorization':('Bearer '+ api_key)}

req = urllib.request.Request(url, body, headers)

try:
    response = urllib.request.urlopen(req)

    result = response.read()
    print(result)
except urllib.error.HTTPError as error:
    print("The request failed with status code: " + str(error.code))

    # Print the headers - they include the requert ID and the timestamp, which are useful for debugging the failure
    print(error.info())
    print(error.read().decode("utf8", 'ignore'))

Studio

Token Edukacja klucza lub maszyny platformy Azure

Karta Test na stronie szczegółów wdrożenia obsługuje ocenianie punktów końcowych przy użyciu klucza lub uwierzytelniania tokenu usługi Azure Machine Edukacja.

Token firmy Microsoft Entra

Karta Test na stronie szczegółów wdrożenia nie obsługuje oceniania punktów końcowych przy użyciu uwierzytelniania tokenu Entra firmy Microsoft.

Rejestrowanie i monitorowanie ruchu

Aby włączyć rejestrowanie ruchu w ustawieniach diagnostycznych punktu końcowego, wykonaj kroki opisane w temacie Jak włączyć/wyłączyć dzienniki.

Jeśli ustawienie diagnostyczne jest włączone, możesz sprawdzić tabelę AmlOnlineEndpointTrafficLogs , aby wyświetlić tryb uwierzytelniania i tożsamość użytkownika.

Powiązana zawartość

• Uwierzytelnianie zarządzanego punktu końcowego online
• Wdrażanie modelu uczenia maszynowego przy użyciu punktu końcowego online
• Włączanie izolacji sieci dla zarządzanych punktów końcowych online