Autentisera klienter för onlineslutpunkter

GÄLLER FÖR:Azure CLI ml extension v2 (current)Python SDK azure-ai-ml v2 (aktuell)

Den här artikeln beskriver hur du autentiserar klienter för att utföra kontrollplans- och dataplansåtgärder på onlineslutpunkter.

En kontrollplansåtgärd styr en slutpunkt och ändrar den. Kontrollplansåtgärder omfattar åtgärder för att skapa, läsa, uppdatera och ta bort (CRUD) på onlineslutpunkter och onlinedistributioner.

En dataplansåtgärd använder data för att interagera med en onlineslutpunkt utan att ändra slutpunkten. En dataplansåtgärd kan till exempel bestå av att skicka en bedömningsbegäran till en onlineslutpunkt och få ett svar.

Förutsättningar

Innan du följer stegen i den här artikeln kontrollerar du att du har följande förutsättningar:

• En Azure Machine Learning-arbetsyta. Om du inte har någon använder du stegen i artikeln Snabbstart: Skapa arbetsyteresurser för att skapa en.

• Azure CLI och ml tillägget eller Azure Machine Learning Python SDK v2:

  • Information om hur du installerar Azure CLI och tillägget finns i Installera, konfigurera och använda CLI (v2).

    Viktigt!

    CLI-exemplen i den här artikeln förutsätter att du använder Bash-gränssnittet (eller det kompatibla). Till exempel från ett Linux-system eller Windows-undersystem för Linux.

  • Om du vill installera Python SDK v2 använder du följande kommando:

    pip install azure-ai-ml azure-identity
    

    Om du vill uppdatera en befintlig installation av SDK:et till den senaste versionen använder du följande kommando:

    pip install --upgrade azure-ai-ml azure-identity
    

    Mer information finns i Installera Python SDK v2 för Azure Machine Learning.

Begränsningar

Slutpunkter med autentiseringsläge för Microsoft Entra-token (aad_token) stöder inte bedömning med hjälp av flikarna CLIaz ml online-endpoint invoke, SDK ml_client.online_endpoints.invoke()eller Test eller Consume i Azure Machine Learning-studio. Använd i stället en allmän Python SDK eller använd REST API för att skicka kontrollplanstoken. Mer information finns i Poängsätta data med hjälp av nyckeln eller token.

Förbereda en användaridentitet

Du behöver en användaridentitet för att utföra kontrollplansåtgärder (d.v.s. CRUD-åtgärder) och dataplansåtgärder (dvs. skicka bedömningsbegäranden) på onlineslutpunkten. Du kan använda samma användaridentitet eller olika användaridentiteter för kontrollplanets och dataplanets åtgärder. I den här artikeln använder du samma användaridentitet för både kontrollplans- och dataplansåtgärder.

Information om hur du skapar en användaridentitet under Microsoft Entra-ID finns i Konfigurera autentisering. Du behöver identitets-ID senare.

Tilldela behörigheter till identiteten

I det här avsnittet tilldelar du behörigheter till den användaridentitet som du använder för att interagera med slutpunkten. Du börjar med att antingen använda en inbyggd roll eller genom att skapa en anpassad roll. Därefter tilldelar du rollen till din användaridentitet.

Använda en inbyggd roll

Den AzureML Data Scientistinbyggda rollen kan användas för att hantera och använda slutpunkter och distributioner och den använder jokertecken för att inkludera följande RBAC-åtgärder för kontrollplanet :

• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/write
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/delete
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/read
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/token/action
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/listKeys/action
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/regenerateKeys/action

och för att inkludera följande RBAC-åtgärd för dataplanet :

• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/score/action

Du kan också använda den Azure Machine Learning Workspace Connection Secrets Reader inbyggda rollen för att komma åt hemligheter från arbetsyteanslutningar och den innehåller följande RBAC-åtgärder för kontrollplanet :

• Microsoft.MachineLearningServices/workspaces/connections/listsecrets/action
• Microsoft.MachineLearningServices/workspaces/metadata/secrets/read

Om du använder de här inbyggda rollerna behövs ingen åtgärd i det här steget.

(Valfritt) Skapa en anpassad roll

Du kan hoppa över det här steget om du använder inbyggda roller eller andra färdiga anpassade roller.

1. Definiera omfånget och åtgärderna för anpassade roller genom att skapa JSON-definitioner av rollerna. Med följande rolldefinition kan användaren till exempel CRUD en onlineslutpunkt under en angiven arbetsyta.

   custom-role-for-control-plane.json:

   {
       "Name": "Custom role for control plane operations - online endpoint",
       "IsCustom": true,
       "Description": "Can CRUD against online endpoints.",
       "Actions": [
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/write",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/delete",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/read",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/token/action",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/listKeys/action",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/regenerateKeys/action"
       ],
       "NotActions": [
       ],
       "AssignableScopes": [
           "/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>"
       ]
   }
   

   Med följande rolldefinition kan användaren skicka bedömningsbegäranden till en onlineslutpunkt under en angiven arbetsyta.

   custom-role-for-scoring.json:

   {
       "Name": "Custom role for scoring - online endpoint",
       "IsCustom": true,
       "Description": "Can score against online endpoints.",
       "Actions": [
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/*/action"
       ],
       "NotActions": [
       ],
       "AssignableScopes": [
           "/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>"
       ]
   }
   

2. Använd JSON-definitionerna för att skapa anpassade roller:

   az role definition create --role-definition custom-role-for-control-plane.json --subscription <subscriptionId>
   
   az role definition create --role-definition custom-role-for-scoring.json --subscription <subscriptionId>
   

   Kommentar

   Om du vill skapa anpassade roller behöver du en av tre roller:

   • ägare
   • administratör för användaråtkomst
   • en anpassad roll med Microsoft.Authorization/roleDefinitions/write behörighet (för att skapa/uppdatera/ta bort anpassade roller) och Microsoft.Authorization/roleDefinitions/read behörighet (för att visa anpassade roller).

   Mer information om hur du skapar anpassade roller finns i Anpassade Azure-roller.

3. Verifiera rolldefinitionen:

   az role definition list --custom-role-only -o table
   
   az role definition list -n "Custom role for control plane operations - online endpoint"
   az role definition list -n "Custom role for scoring - online endpoint"
   
   export role_definition_id1=`(az role definition list -n "Custom role for control plane operations - online endpoint" --query "[0].id" | tr -d '"')`
   
   export role_definition_id2=`(az role definition list -n "Custom role for scoring - online endpoint" --query "[0].id" | tr -d '"')`
   

Tilldela rollen till identiteten

1. Om du använder den AzureML Data Scientist inbyggda rollen använder du följande kod för att tilldela rollen till din användaridentitet.

   az role assignment create --assignee <identityId> --role "AzureML Data Scientist" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   

2. Om du använder den Azure Machine Learning Workspace Connection Secrets Reader inbyggda rollen kan du använda följande kod för att tilldela rollen till din användaridentitet.

   az role assignment create --assignee <identityId> --role "Azure Machine Learning Workspace Connection Secrets Reader" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   

3. Om du använder en anpassad roll använder du följande kod för att tilldela rollen till din användaridentitet.

   az role assignment create --assignee <identityId> --role "Custom role for control plane operations - online endpoint" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   
   az role assignment create --assignee <identityId> --role "Custom role for scoring - online endpoint" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   

   Kommentar

   Om du vill tilldela anpassade roller till användaridentiteten behöver du en av tre roller:

   • ägare
   • administratör för användaråtkomst
   • en anpassad roll som tillåter Microsoft.Authorization/roleAssignments/write behörighet (för att tilldela anpassade roller) och Microsoft.Authorization/roleAssignments/read (för att visa rolltilldelningar).

   Mer information om de olika Azure-rollerna och deras behörigheter finns i Azure-roller och Tilldela Azure-roller med Hjälp av Azure-portalen.

4. Bekräfta rolltilldelningen:

   az role assignment list --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   

Hämta Microsoft Entra-token för kontrollplansåtgärder

Utför det här steget om du planerar att utföra kontrollplansåtgärder med REST API, som använder token direkt.

Om du planerar att använda andra sätt som Azure Machine Learning CLI (v2), Python SDK (v2) eller Azure Machine Learning-studio behöver du inte hämta Microsoft Entra-token manuellt. I stället skulle användaridentiteten redan autentiseras under inloggningen och token hämtas och skickas automatiskt åt dig.

Du kan hämta Microsoft Entra-token för kontrollplansåtgärder från Azure-resursslutpunkten: https://management.azure.com.

Azure CLI

1. Logga in på Azure.

   az login
   

2. Om du vill använda en specifik identitet använder du följande kod för att logga in med identiteten:

   az login --identity --username <identityId>
   

3. Använd den här kontexten för att hämta token.

   export CONTROL_PLANE_TOKEN=`(az account get-access-token --resource https://management.azure.com --query accessToken | tr -d '"')`
   

REST

Från en virtuell Azure-dator

Du kan hämta token baserat på den hanterade identiteten för en virtuell Azure-dator (när den virtuella datorn aktiverar en hanterad identitet).

1. Om du vill hämta Microsoft Entra-token (aad_token) för kontrollplansåtgärden på den virtuella Azure-datorn skickar du begäran till IMDS-slutpunkten (Azure Instance Metadata Service ) för Azure-resursslutpunkten management.azure.com:

   export CONTROL_PLANE_TOKEN=`(curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fmanagement.azure.com%2F' -H Metadata:true -s | jq -r '.access_token' )`
   

   Dricks

   För att extrahera token från JSON-utdata jq används verktyget som ett exempel. Du kan dock använda alla lämpliga verktyg för detta ändamål.

   Mer information om hur du hämtar token baserat på hanterade identiteter finns i Hämta en token med HTTP.

Från en beräkningsinstans

Du kan hämta token om du använder Azure Machine Learning-arbetsytans beräkningsinstans. För att hämta token måste du skicka klient-ID:t och hemligheten för beräkningsinstansens hanterade identitet till den hanterade systemidentitetsslutpunkten (MSI) som konfigureras lokalt vid beräkningsinstansen. Du kan hämta MSI-slutpunkten, klient-ID:t och hemligheten från miljövariablerna MSI_ENDPOINT, DEFAULT_IDENTITY_CLIENT_IDrespektive MSI_SECRET. Dessa variabler anges automatiskt om du aktiverar hanterad identitet för beräkningsinstansen.

1. Hämta token för Azure-resursslutpunkten management.azure.com från arbetsytans beräkningsinstans:

   export CONTROL_PLANE_TOKEN=`(curl $MSI_ENDPOINT'?api-version=2018-02-01&resource=https%3A%2F%2Fmanagement.azure.com%2F&clientid='$DEFAULT_IDENTITY_CLIENT_ID -H Metadata:true -H Secret:$MSI_SECRET -s | jq -r '.access_token' )`
   

Python

from azure.identity import DefaultAzureCredential, InteractiveBrowserCredential

try:
    credential = DefaultAzureCredential()
    # Check if given credential can get token successfully.
    access_token = credential.get_token("https://management.azure.com/.default")
    print(access_token)
except Exception as ex:
    # Fall back to InteractiveBrowserCredential in case DefaultAzureCredential not work
    # This will open a browser page for
    credential = InteractiveBrowserCredential()

Mer information finns i Hämta en token med azure-identitetsklientbiblioteket .

Studio

Studion exponerar inte Microsoft Entra-token.

(Valfritt) Verifiera resursslutpunkten och klient-ID:t för Microsoft Entra-token

När du har hämtat Microsoft Entra-token kan du kontrollera att token är för rätt Azure-resursslutpunkt management.azure.com och rätt klient-ID genom att avkoda token via jwt.ms, vilket returnerar ett json-svar med följande information:

{
    "aud": "https://management.azure.com",
    "oid": "<your-object-id>"
}

Skapa en slutpunkt

I följande exempel skapas slutpunkten med en systemtilldelad identitet (SAI) som slutpunktsidentitet. SAI är standardidentitetstypen för den hanterade identiteten för slutpunkter. Vissa grundläggande roller tilldelas automatiskt för SAI. Mer information om rolltilldelning för en systemtilldelad identitet finns i Automatisk rolltilldelning för slutpunktsidentitet.

Azure CLI

CLI kräver inte att du uttryckligen anger kontrollplanstoken. I stället autentiserar CLI dig under inloggningen och token hämtas och skickas automatiskt åt dig.

1. Skapa en YAML-fil för slutpunktsdefinition.

   endpoint.yml:

   $schema: https://azuremlschemas.azureedge.net/latest/managedOnlineEndpoint.schema.json
   name: my-endpoint
   auth_mode: aad_token
   

2. Du kan ersätta auth_mode med key för nyckelautentisering eller aml_token för Azure Machine Learning-tokenautentisering. I det här exemplet använder aad_token du för Microsoft Entra-tokenautentisering.

   az ml online-endpoint create -f endpoint.yml
   

3. Kontrollera slutpunktens status:

   az ml online-endpoint show -n my-endpoint
   

4. Om du vill åsidosätta auth_mode (till exempel till aad_token) när du skapar en slutpunkt kör du följande kod:

   az ml online-endpoint create -n my-endpoint --auth_mode aad_token
   

5. Om du vill uppdatera den befintliga slutpunkten och ange auth_mode (till exempel till aad_token) kör du följande kod:

   az ml online-endpoint update -n my-endpoint --set auth_mode=aad_token
   

REST

REST API-anropet kräver att du uttryckligen anger kontrollplanstoken. Använd kontrollplanstoken som du hämtade tidigare.

1. Skapa eller uppdatera en slutpunkt:

   export SUBSCRIPTION_ID=<SUBSCRIPTION_ID>
   export RESOURCE_GROUP=<RESOURCE_GROUP>
   export WORKSPACE=<AML_WORKSPACE_NAME>
   export ENDPOINT_NAME=<ENDPOINT_NAME>
   export LOCATION=<LOCATION_NAME>
   export API_VERSION=2023-04-01
   
   response=$(curl --location --request PUT "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
   --header "Content-Type: application/json" \
   --header "Authorization: Bearer $CONTROL_PLANE_TOKEN" \
   --data-raw "{
       \"identity\": {
          \"type\": \"systemAssigned\"
       },
       \"properties\": {
           \"authMode\": \"AADToken\"
       },
       \"location\": \"$LOCATION\"
   }")
   
   echo $response
   

   Du kan ersätta authMode med key för nyckelautentisering eller AMLToken för Azure Machine Learning-tokenautentisering. I det här exemplet använder AADToken du för Microsoft Entra-tokenautentisering.

2. Hämta den aktuella statusen för onlineslutpunkten:

   response=$(curl --location --request GET "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
   --header "Content-Type: application/json" \
   --header "Authorization: Bearer $CONTROL_PLANE_TOKEN" \
   )
   
   echo $response
   

Python

Python SDK kräver inte att du uttryckligen anger kontrollplanstoken. I stället autentiserar SDK MLClient dig under inloggningen och token hämtas och skickas automatiskt åt dig.

from azure.ai.ml import MLClient
from azure.ai.ml.entities import (
    ManagedOnlineEndpoint,
    ManagedOnlineDeployment,
    Model,
    Environment,
    CodeConfiguration,
)
from azure.identity import DefaultAzureCredential

subscription_id = "<SUBSCRIPTION_ID>"
resource_group = "<RESOURCE_GROUP>"
workspace = "<AML_WORKSPACE_NAME>"

ml_client = MLClient(
    DefaultAzureCredential(), subscription_id, resource_group, workspace
)

endpoint = ManagedOnlineEndpoint(
    name="my-endpoint",
    description="this is a sample online endpoint",
    auth_mode="aad_token",
    tags={"foo": "bar"},
)
ml_client.online_endpoints.begin_create_or_update(endpoint).result()

Du kan ersätta auth_mode med key för nyckelautentisering eller aml_token för Azure Machine Learning-tokenautentisering. I det här exemplet använder aad_token du för Microsoft Entra-tokenautentisering.

Studio

Studion kräver inte att du uttryckligen anger kontrollplanstoken, eftersom studion redan skulle autentisera dig under inloggningen, och token hämtas och skickas automatiskt åt dig.

Mer information om hur du distribuerar onlineslutpunkter finns i Distribuera en ML-modell med en onlineslutpunkt (via Studio)

Skapa en distribution

Information om hur du skapar en distribution finns i Distribuera en ML-modell med en onlineslutpunkt eller Använd REST för att distribuera en modell som en onlineslutpunkt. Det finns ingen skillnad i hur du skapar distributioner för olika autentiseringslägen.

Azure CLI

Följande kod är ett exempel på hur du skapar en distribution. Mer information om hur du distribuerar onlineslutpunkter finns i Distribuera en ML-modell med en onlineslutpunkt (via CLI)

1. Skapa en YAML-fil för distributionsdefinition.

   blue-deployment.yml:

   $schema: https://azuremlschemas.azureedge.net/latest/managedOnlineDeployment.schema.json
   name: blue
   endpoint_name: my-aad-auth-endp1
   model:
     path: ../../model-1/model/
   code_configuration:
     code: ../../model-1/onlinescoring/
     scoring_script: score.py
   environment: 
     conda_file: ../../model-1/environment/conda.yml
     image: mcr.microsoft.com/azureml/openmpi4.1.0-ubuntu20.04:latest
   instance_type: Standard_DS3_v2
   instance_count: 1
   

2. Skapa distributionen med YAML-filen. I det här exemplet anger du all trafik till den nya distributionen.

   az ml online-deployment create -f blue-deployment.yml --all-traffic
   

REST

Mer information om hur du distribuerar onlineslutpunkter med REST finns i Använda REST för att distribuera en modell som en onlineslutpunkt.

Python

Mer information om hur du distribuerar onlineslutpunkter finns i Distribuera en ML-modell med en onlineslutpunkt (via SDK)

Studio

Mer information om hur du distribuerar onlineslutpunkter finns i Distribuera en ML-modell med en onlineslutpunkt (via Studio)

Hämta bedömnings-URI:n för slutpunkten

Azure CLI

Om du planerar att använda CLI för att anropa slutpunkten behöver du inte hämta bedömnings-URI:n explicit, eftersom CLI hanterar den åt dig. Du kan dock fortfarande använda CLI för att hämta bedömnings-URI:n så att du kan använda den med andra kanaler, till exempel REST API.

scoringUri=$(az ml online-endpoint show -n my-endpoint --query "scoring_uri")

REST

export SUBSCRIPTION_ID=<SUBSCRIPTION_ID>
export RESOURCE_GROUP=<RESOURCE_GROUP>
export WORKSPACE=<AML_WORKSPACE_NAME>
export ENDPOINT_NAME=<ENDPOINT_NAME>
export API_VERSION=2023-04-01
response=$(curl --location --request GET "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
--header "Content-Type: application/json" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN")
scoringUri=$(echo $response | jq -r '.properties' | jq -r '.scoringUri')

echo $response
echo $scoringUri

Python

Om du planerar att använda Python SDK för att anropa slutpunkten behöver du inte hämta bedömnings-URI:n explicit, eftersom SDK hanterar den åt dig. Du kan dock fortfarande använda SDK:n för att hämta bedömnings-URI:n så att du kan använda den med andra kanaler, till exempel REST API.

scoring_uri = ml_client.online_endpoints.get(name=endpoint_name).scoring_uri

Studio

Om du planerar att använda studion för att anropa slutpunkten behöver du inte hämta bedömnings-URI:n explicit, eftersom studion hanterar den åt dig. Du kan dock fortfarande använda studion för att hämta bedömnings-URI:n så att du kan använda den med andra kanaler, till exempel REST API.

Du hittar bedömnings-URI: n på fliken Information på slutpunktens sida.

Hämta nyckeln eller token för dataplansåtgärder

En nyckel eller token kan användas för dataplansåtgärder, även om processen med att hämta nyckeln eller token är en kontrollplansåtgärd. Med andra ord använder du en kontrollplanstoken för att hämta nyckeln eller token som du senare använder för att utföra dina dataplansåtgärder.

För att hämta nyckeln eller Azure Machine Learning-token krävs att rätt roll tilldelas till användaridentiteten som begär den, enligt beskrivningen i auktorisering för kontrollplansåtgärder. Användaridentiteten behöver inga extra roller för att hämta Microsoft Entra-token.

Azure CLI

Nyckel- eller Azure Machine Learning-token

Om du planerar att använda CLI för att anropa slutpunkten, och om slutpunkten har konfigurerats för att använda ett autentiseringsläge för nyckel eller Azure Machine Learning-token (aml_token), behöver du inte hämta dataplanstoken explicit, eftersom CLI hanterar den åt dig. Du kan dock fortfarande använda CLI för att hämta dataplanstoken så att du kan använda den med andra kanaler, till exempel REST API.

Om du vill hämta nyckeln eller Azure Machine Learning-token (aml_token) använder du kommandot az ml online-endpoint get-credentials . Det här kommandot returnerar ett JSON-dokument som innehåller nyckeln eller Azure Machine Learning-token.

Nycklar returneras i fälten primaryKey och secondaryKey . I följande exempel visas hur du använder parametern --query för att endast returnera primärnyckeln:

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query primaryKey)

Azure Machine Learning-token returneras i fältet accessToken :

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query accessToken)

Fälten expiryTimeUtc och refreshAfterTimeUtc innehåller också förfallo- och uppdateringstiderna för token.

Microsoft Entra-token

Om du vill hämta Microsoft Entra-token (aad_token) med CLI använder du kommandot az account get-access-token . Det här kommandot returnerar ett JSON-dokument som innehåller Microsoft Entra-token.

Microsoft Entra-token returneras i fältet accessToken :

export DATA_PLANE_TOKEN=`(az account get-access-token --resource https://ml.azure.com --query accessToken | tr -d '"')`

Kommentar

• CLI-tillägget ml stöder inte hämtar Microsoft Entra-token. Använd az account get-access-token i stället enligt beskrivningen i föregående kod.
• Token för dataplansåtgärder hämtas från Azure-resursslutpunkten ml.azure.com i stället för management.azure.com, till skillnad från token för kontrollplansåtgärder.

REST

Nyckel- eller Azure Machine Learning-token

Hämta nyckeln eller Azure Machine Learning-token (aml_token):

response=$(curl -H "Content-Length: 0" --location --request POST "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME/token?api-version=$API_VERSION" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN")

export DATA_PLANE_TOKEN=$(echo $response | jq -r '.accessToken')

Microsoft Entra-token

Från en virtuell Azure-dator

Du kan hämta token baserat på hanterade identiteter för en virtuell Azure-dator (när den virtuella datorn aktiverar en hanterad identitet).

1. Om du vill hämta Microsoft Entra-token (aad_token) för dataplansåtgärdenpå den virtuella Azure-datorn med hanterad identitet skickar du begäran till IMDS-slutpunkten (Azure Instance Metadata Service) för Azure-resursslutpunktenml.azure.com:

   export DATA_PLANE_TOKEN=`(curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F' -H Metadata:true -s | jq -r '.access_token' )`
   

   Dricks

   För att extrahera token från JSON-utdata jq används verktyget som ett exempel. Du kan dock använda alla lämpliga verktyg för detta ändamål.

   Mer information om hur du hämtar token baserat på hanterade identiteter finns i Hämta en token med HTTP.

Från en beräkningsinstans

Du kan hämta token om du använder Azure Machine Learning-arbetsytans beräkningsinstans. För att hämta token måste du skicka klient-ID:t och hemligheten för beräkningsinstansens hanterade identitet till den hanterade systemidentitetsslutpunkten (MSI) som konfigureras lokalt vid beräkningsinstansen. Du kan hämta MSI-slutpunkten, klient-ID:t och hemligheten från miljövariablerna MSI_ENDPOINT, DEFAULT_IDENTITY_CLIENT_IDrespektive MSI_SECRET. Dessa variabler anges automatiskt om du aktiverar hanterad identitet för beräkningsinstansen.

1. Hämta token för Azure-resursslutpunkten ml.azure.com från arbetsytans beräkningsinstans:

   export CONTROL_PLANE_TOKEN=`(curl $MSI_ENDPOINT'?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F&clientid='$DEFAULT_IDENTITY_CLIENT_ID -H Metadata:true -H Secret:$MSI_SECRET -s | jq -r '.access_token' )`
   

Python

Nyckel- eller Azure Machine Learning-token

Om du planerar att använda Python SDK för att anropa slutpunkten, och om slutpunkten är inställd på att använda ett autentiseringsläge för nyckel eller Azure Machine Learning-token (aml_token), behöver du inte hämta dataplanstoken explicit, eftersom SDK hanterar den åt dig. Du kan dock fortfarande använda SDK:n för att hämta dataplanstoken så att du kan använda den med andra kanaler, till exempel REST API.

Om du vill hämta nyckeln eller Azure Machine Learning-token (aml_token) använder du metoden get_keys i OnlineEndpointOperations klassen.

Nycklar returneras i fälten primary_key och secondary_key :

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).primary_key

Azure Machine Learning-token returneras i fältet accessToken :

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).access_token

Fälten expiry_time_utc och refresh_after_time_utc innehåller också förfallo- och uppdateringstiderna för token.

Till exempel för att hämta expiry_time_utc:

print(ml_client.online_endpoints.get_keys(name=endpoint_name).expiry_time_utc)

Microsoft Entra-token

Om du vill hämta Microsoft Entra-token (aad_token) med SDK använder du Azure Identity-klientbiblioteket:

from azure.identity import DefaultAzureCredential, InteractiveBrowserCredential

try:
    credential = DefaultAzureCredential()
    # Check if given credential can get token successfully.
    access_token = credential.get_token("https://ml.azure.com/.default")
    print(access_token)
except Exception as ex:
    # Fall back to InteractiveBrowserCredential in case DefaultAzureCredential not work
    # This will open a browser page for
    credential = InteractiveBrowserCredential()

Mer information finns i Hämta en token med azure-identitetsklientbiblioteket .

Studio

Nyckel- eller Azure Machine Learning-token

Du hittar nyckeln eller token på fliken Förbruka på slutpunktens sida.

Microsoft Entra-token

Microsoft Entra-token exponeras inte i studion.

Verifiera resursslutpunkten och klient-ID:t för Microsoft Entra-token

När du har hämtat Entra-token kan du kontrollera att token är för rätt Azure-resursslutpunkt ml.azure.com och rätt klient-ID genom att avkoda token via jwt.ms, vilket returnerar ett json-svar med följande information:

{
    "aud": "https://ml.azure.com",
    "oid": "<your-object-id>"
}

Poängsätta data med hjälp av nyckeln eller token

Azure CLI

Nyckel- eller Azure Machine Learning-token

Du kan använda az ml online-endpoint invoke för slutpunkter med en nyckel eller Azure Machine Learning-token. CLI hanterar nyckeln eller Azure Machine Learning-token automatiskt så att du inte behöver skicka den explicit.

az ml online-endpoint invoke -n my-endpoint -r request.json

Microsoft Entra-token

Det går inte att använda az ml online-endpoint invoke för slutpunkter med en Microsoft Entra-token. Använd REST API i stället och använd slutpunktens bedömnings-URI för att anropa slutpunkten.

REST

När du anropar onlineslutpunkten för bedömning skickar du nyckeln, Azure Machine Learning-token eller Microsoft Entra-token i auktoriseringshuvudet. Följande kod visar hur du använder curl-verktyget för att anropa onlineslutpunkten med hjälp av en nyckel eller token:

curl --request POST "$scoringUri" --header "Authorization: Bearer $DATA_PLANE_TOKEN" --header 'Content-Type: application/json' --data @endpoints/online/model-1/sample-request.json

Python

Nyckel- eller Azure Machine Learning-token

Azure Machine Learning SDK med hjälp av ml_client.online_endpoints.invoke() stöds för nyckel- eller Azure Machine Learning-token. Förutom att använda Azure Machine Learning SDK kan du också använda en allmän Python SDK för att skicka POST-begäran till bedömnings-URI:n.

Microsoft Entra-token

Azure Machine Learning SDK med hjälp av ml_client.online_endpoints.invoke() stöds inte för Microsoft Entra-token. Använd i stället en allmän Python SDK eller använd REST API för att skicka POST-begäran till bedömnings-URI:n.

När du anropar onlineslutpunkten för bedömning skickar du nyckeln eller token i auktoriseringshuvudet. Följande kod visar hur du anropar onlineslutpunkten med hjälp av en nyckel eller token med en allmän Python SDK. I koden ersätter du variabeln api_key med din nyckel eller token.

import urllib.request
import json
import os

data = {"data": [
    [1,2,3,4,5,6,7,8,9,10], 
    [10,9,8,7,6,5,4,3,2,1]
]}

body = str.encode(json.dumps(data))

url = '<scoring URI as retrieved earlier>'
api_key = '<key or token as retrieved earlier>'
headers = {'Content-Type':'application/json', 'Authorization':('Bearer '+ api_key)}

req = urllib.request.Request(url, body, headers)

try:
    response = urllib.request.urlopen(req)

    result = response.read()
    print(result)
except urllib.error.HTTPError as error:
    print("The request failed with status code: " + str(error.code))

    # Print the headers - they include the requert ID and the timestamp, which are useful for debugging the failure
    print(error.info())
    print(error.read().decode("utf8", 'ignore'))

Studio

Nyckel- eller Azure Machine Learning-token

Fliken Test på distributionens informationssida stöder bedömning av slutpunkter med nyckel- eller Azure Machine Learning-tokenautentisering.

Microsoft Entra-token

Fliken Test på distributionens informationssida stöder inte bedömning av slutpunkter med Microsoft Entra-tokenautentisering.

Logga och övervaka trafik

Om du vill aktivera trafikloggning i diagnostikinställningarna för slutpunkten följer du stegen i Aktivera/inaktivera loggar.

Om diagnostikinställningen är aktiverad kan du kontrollera AmlOnlineEndpointTrafficLogs tabellen för att se autentiseringsläget och användaridentiteten.

Relaterat innehåll

• Autentisering för hanterad onlineslutpunkt
• Distribuera en maskininlärningsmodell med hjälp av en onlineslutpunkt
• Aktivera nätverksisolering för hanterade onlineslutpunkter